willcao911 - Fotolia
Comment GRDF adapte son SSO à l’heure du SaaS avec Okta
Le système d'information du transporteur de gaz traverse une lourde transformation, en profondeur. Elle passe par l'adoption d'applications en mode SaaS. Et pour assurer aux utilisateurs finaux une expérience fluide, c'est l'offre d'Okta qui a été retenue.
C’est en 2015 que GRDF a lancé son projet de nouveau système d’ouverture de session unique (SSO). Non pas qu’il n’y en avait pas déjà, mais les solutions alors déployées n’auraient pas fonctionné avec le nouvel intranet qui devait être construit en s’appuyant sur SharePoint Online. Et pas question d’avancer sans cette brique de SSO. Ce n’est donc pas sans une certaine urgence que GRDF a dû lancer un nouveau projet SSO courant 2015. Mais c’était loin d’être une mauvaise chose : ce recours à SharePoint Online n’était en fait qu’une première étape de l’adoption plus large du SaaS et en particulier des services Microsoft, avec Skype For Business, Yammer, OneDrive, ainsi que la messagerie électronique. Mais l’infrastructure du distributeur de gaz n’est pas exempte de complexités liées à son histoire.
De fait, GRDF est filiale d’Engie à 100 % et continue d’utiliser une partie de son infrastructure, mais la réglementation l’oblige à l’autonomie complète, soulignait Alexis Moreau, responsable du pôle Réseau et IAM au sein du distributeur.
Dans la pratique, en 2015, GRDF utilisait plusieurs annuaires, entre « tête de filiale » et structures régionales, avec un parc de postes de travail très hétérogène… et comportant encore « du Windows Vista » - aujourd’hui, l’ensemble est passé sous Windows 8.1. Le SSO était déjà présent, entre CA SiteMinder, fédération d’identité pour l’accès aux applications, Enterprise SSO, et outil local de saisie automatique des identifiants/mots de passe.
C’est avec l’aide d’Avanade que GRDF a retenu les outils d’Okta, notamment pour pouvoir s’appuyer sur deux annuaires Active Directory de confiance. Deux agents sont déployés pour remonter les comptes et jouer les systèmes d’authentification. Là, trois scénarios sont en place : les utilisateurs de tête de filiale profitent, en interne, d’IWA ; ceux des structures régionales, d’Enterprise SSO. Les accès externes passaient quant à eux par la saisie de l’identifiant et du mot de passe.
A ce jour, 35 applications sont supportées par Okta chez GRDF et 25 en autres sont en cours de migration. Pour certaines, la migration est simple, dès qu’elles supportent les ADFS, qui supportent eux-mêmes SAMLv2. Pour d’autres, notamment intégrées à CA SiteMinder, c’est parfois plus délicat : des développements personnalisés peuvent être requis.
Mais le projet n’est pas allé sans difficultés. Tout d’abord, il a fallu constituer une équipe IAM – et donc passer de zéro à une dizaine de personnes en deux ans. En parallèle, un chantier a dû être mené pour simplifier l’environnement Active Directory – les structures régionales doivent rejoindre, dans l’année à venir, l’annuaire de la tête de filiale.
Et au moment du déploiement, il a notamment fallu réconcilier des comptes Yammer – quelques milliers, tout de même – qui avaient été créés directement, sans centralisation dans l’annuaire.