MasterLu - Fotolia

Ping Identity aide à la concrétisation de la fusion Lafarge-Holcim

La solution de single sign-on a permis à la DSI de Lafarge généraliser, en un temps record, l’accès à certaines applications clés à l’échelle du nouveau groupe. Un impératif né de la fusion.

Lorsqu’il intervient dans un atelier organisé aux Assises de la Sécurité, début octobre, Matthew Mason, Global Infrastructure Manager, Lafarge Services Groupe, décrit une situation fortement contrainte. Certes, Lafarge avait adopté la solution de single sign-on (SSO) de Ping Identity courant 2013, à l’occasion d’une évolution stratégique : passer certaines applications d’un déploiement local à un mode Cloud – « la migration de Lotus Notes vers les Google Apps, puis le choix de Workday pour le SIRH », notamment.

Mais la fusion de Lafarge et de Holcim, annoncée en avril 2014 et finalisée en juillet 2015, a conduit le groupe à un déploiement plus étendu de la solution de SSO. L’occasion, surtout, d’en apprécier l’ouverture et la flexibilité.

Des contraintes considérables

Car comme le souligne Matthew Mason, « l’échéance avait été définie par le conseil d’administration ». La DSI n’avait donc aucun contrôle sur le calendrier. Qui plus est, « le périmètre ne cessait pas de bouger : on parle là de deux entreprises qui ne se connaissaient pas, et qui ont commencé à discuter dans un cadre légal très strict ». En outre, la fusion allait conduire les deux entreprises à se désengager de certaines activités afin de répondre à certains impératifs réglementaires. Mais au final, il s’est avéré très difficile de déterminer précisément, et largement à l’avance, le périmètre. Surtout que, « avec ces désengagements, nous avions obligation de fournir le même niveau de service afin que les activités concernées puissent continuer d’opérer ». Et cela recouvrait également le SSO.

Des bases techniques variées

Holcim avait également basculé sur les Google Apps au préalable. Mais avec d’importantes différences : « ils avaient créé leur propre SSO avec Google App Engine, en s’appuyant sur OpenID Connect ». Surtout, cela s’était fait sans « implémentation standard », explique Matthew Mason : les implémentations variaient selon les applications. D’où un processus de migration potentiellement plus lent et plus difficile.

Malgré cela, il était nécessaire d’enrôler quelque 70 000 utilisateurs au jour même où la fusion serait effective, sans même disposer d’une infrastructure réseau commune : il s’agissait d’envoyer « un signal fort au marché » pour montrer le sérieux de l’opération, en changeant par exemple l’adresse e-mail de tous les employés en @lafarge-holcim.com.

Mais ce n’est pas tout : l’ambition était également de permettre, par exemple, aux salariés de tout le groupe de postuler pour les nouveaux postes créés à l’occasion de la fusion. « Avec le Cloud et la fédération d’identité, on peut intégrer des applications telles que celles permettant cela », explique Matthiew Mason, soulignant au passage que les demandes d’intégration de ce type sont désormais de plus en plus nombreuses.

Concrètement, les solutions de Ping Identity ont permis de monter un prototype en moins de deux semaines, pour démontrer la capacité de la DSI à intégrer les applications nécessaires dans le SSO, et tout en fédérant les identités en s’appuyant sur les référentiels des Google Apps. Une façon de contourner la difficulté née de l’absence d’accès direct aux bases d’identités d’Holcim. Quelques jours plus tard, la solution était en production… Les développements spécifiques nécessaires ont été couverts par les licences existantes. Mais la réactivité de Ping Identity, Matthew Mason la qualifie là « d’assez bluffante ; c’est ça qui a fait la différence ».

Pour le Jour J, seules les applications SaaS ont été concernées, ainsi que l’accès à l’intranet. Mais depuis, deux applications internes sont couvertes, l’une avec SAML, l’autre grâce au kit d’intégration de Ping Identity.

Une mise en œuvre très simple

Le volet des désinvestissements n’a pas été plus trivial. Là, encore, le calendrier s’est avéré serré. En particulier, certaines activités cédées n’étaient pas sûres de conserver les plateformes Jive et Knowledge Plazza utilisées chez Lafarge. « Mais 4 semaines avant clôture, ils ont décidé de les prendre », raconte Matthew Mason. D’où l’impératif, pour ses équipes, de fournir le SSO alors que même que les infrastructures allaient être complètement séparées. Sans temps ni ressources pour « monter des plateformes à part et mettre en place tous les flux de données pour assurer la bonne connectique », les équipes de Matthew Mason se sont tournées vers l’offre PingOne « pour rattacher les annuaires Active Directory créés pour les entités désinvesties ».

La mise en place a nécessité « quelques semaines ». Un temps principalement conscré à la documentation et à la formation des administrateurs concernés. Et même ca, « c’est simple, il suffit d’expliquer ».

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)