VINCI Concessions
Gérer l’authentification de collaborateurs appartenant à diverses entités
VINCI Concessions est un spécialiste de la concession d’infrastructures en exploitation. Le groupe présent dans 23 pays construit et opère plus de 80 aéroports, autoroutes et projets ferroviaires. L’entreprise a réalisé un chiffre d’affaires de 7 milliards d’euros en 2021. VINCI Concessions compte plus de 20 000 collaborateurs répartis dans diverses entités.
Problématique
Il est souvent difficile pour les grands groupes de gérer les collaborateurs et leurs accès aux outils internes.
VINCI Concessions avait besoin de moderniser son système de gestion des identités et des accès. L’objectif était de faciliter l’accès des collaborateurs aux applications utilisées par leur société. Pour ce faire, il fallait instaurer un contrôle d’identité par entité.
IAM
Mettre en place un système de gestion des identités et des accès
Besoins
Le groupe souhaitait disposer d’un référentiel complet des collaborateurs adossé à un outil d’IAM performant et sécurisé. Un IAM sert à vérifier l’identité des utilisateurs avant de les authentifier auprès d’applications. L’IAM à implémenter devait se charger d’authentifier chaque collaborateur en vérifiant la correspondance de l’identifiant, du mot de passe et du rattachement à une entité spécifique.
Le groupe souhaitait remplacer son ancien système basé sur Authentic2 qui comportait des failles de performances et de sécurité. VINCI Concessions disposait initialement d’un Identity Provider (IDP) central qui récupérait les informations relatives aux utilisateurs dans les Lightweight Directory Access Protocol (LDAP) des différentes entités pour les authentifier via un mécanisme de Single-Sign On (SSO). Un IDP est un outil qui crée puis vérifie les identités numériques lors de la connexion à une application. Un LDAP est un protocole qui sert à interroger un annuaire pour accéder à son contenu.
Cette solution posait des problèmes à différents niveaux :
- Sécurité : risques d’attaques via les LDAP locaux
- Performances et robustesse : processus d’authentification ralenti si l’un des LDAP locaux tardait à répondre.
- Responsabilités : l’IDP central prenait la responsabilité d’authentifier des utilisateurs sur la base d’informations non fiables fournies par les LDAP locaux.
Solution
L’architecture informatique a été entièrement repensée. La nouvelle architecture est constituée d’un Identity Provider (IDP) central basé sur l’outil d’IAM Keycloak, d’un IDP par entité et d’un LDAP consolidé.
Keycloak est un IAM Open Source hautement configurable qui intègre un système de Single Sign-On (SSO) pour faciliter l’authentification unique. Des composants spécifiques indépendants ont été développés pour adapter Keycloak au processus d’authentification du groupe.
Le thème web de l’application Keycloak a également été personnalisé. L’interface de connexion réalisée est intuitive et simple d’utilisation. L’utilisateur renseigne son identifiant et sélectionne sa société parmi les propositions. L’IDP central vérifie que l’identifiant saisi par l’utilisateur est correct et qu’il est bien rattaché à l’entreprise sélectionnée. Pour ce faire, l’IDP central consulte les informations stockées dans le LDAP consolidé. L’IDP central redirige ensuite l’utilisateur vers l’IDP de l’entité correspondante. C’est donc l’IDP de l’entité concernée qui assure l’authentification de ses utilisateurs. Les responsabilités de chaque composant ont clairement été définies pour faciliter la gestion des potentielles erreurs.
Pour renforcer la sécurité, l’utilisateur reçoit un mot de passe complémentaire à durée limitée (One-Time Password – OTP) via une application mobile synchronisée avec Keycloak. Une fois authentifié, le collaborateur accède à l’ensemble des applications de sa société.
Conclusion
Ce nouveau système est performant et robuste car l’IDP central n’échange plus qu’avec les IDP des entités et non plus avec les LDAP locaux. La sécurité est également renforcée grâce à une structure cloisonnée où les LDAP locaux ne sont plus directement reliés à l’IDP central. La solution permet une gestion fine des droits d’accès par entité. Les collaborateurs gagnent du temps grâce à la connexion automatique à toutes les applications utilisées au sein de leur société (SSO). L’identification de la provenance des erreurs est grandement facilitée grâce à l’attribution de responsabilités aux IDP des entités. Les entités du groupe localisent et corrigent les erreurs avec une grande réactivité.