Il est souvent difficile pour les grands groupes de gérer les collaborateurs et leurs accès aux outils internes.

VINCI Concessions avait besoin de moderniser son système de gestion des identités et des accès. L’objectif était de faciliter l’accès des collaborateurs aux applications utilisées par leur société. Pour ce faire, il fallait instaurer un contrôle d’identité par entité.

Le groupe souhaitait disposer d’un référentiel complet des collaborateurs adossé à un outil d’IAM performant et sécurisé. Un IAM sert à vérifier l’identité des utilisateurs avant de les authentifier auprès d’applications. L’IAM à implémenter devait se charger d’authentifier chaque collaborateur en vérifiant la correspondance de l’identifiant, du mot de passe et du rattachement à une entité spécifique.

Le groupe souhaitait remplacer son ancien système basé sur Authentic2 qui comportait des failles de performances et de sécurité. VINCI Concessions disposait initialement d’un Identity Provider (IDP) central qui récupérait les informations relatives aux utilisateurs dans les Lightweight Directory Access Protocol (LDAP) des différentes entités pour les authentifier via un mécanisme de Single-Sign On (SSO). Un IDP est un outil qui crée puis vérifie les identités numériques lors de la connexion à une application. Un LDAP est un protocole qui sert à interroger un annuaire pour accéder à son contenu.

Cette solution posait des problèmes à différents niveaux :

• Sécurité : risques d’attaques via les LDAP locaux
• Performances et robustesse : processus d’authentification ralenti si l’un des LDAP locaux tardait à répondre.
• Responsabilités : l’IDP central prenait la responsabilité d’authentifier des utilisateurs sur la base d’informations non fiables fournies par les LDAP locaux.

L’architecture informatique a été entièrement repensée. La nouvelle architecture est constituée d’un Identity Provider (IDP) central basé sur l’outil d’IAM Keycloak, d’un IDP par entité et d’un LDAP consolidé.

Keycloak est un IAM Open Source hautement configurable qui intègre un système de Single Sign-On (SSO) pour faciliter l’authentification unique. Des composants spécifiques indépendants ont été développés pour adapter Keycloak au processus d’authentification du groupe.

Le thème web de l’application Keycloak a également été personnalisé. L’interface de connexion réalisée est intuitive et simple d’utilisation. L’utilisateur renseigne son identifiant et sélectionne sa société parmi les propositions. L’IDP central vérifie que l’identifiant saisi par l’utilisateur est correct et qu’il est bien rattaché à l’entreprise sélectionnée. Pour ce faire, l’IDP central consulte les informations stockées dans le LDAP consolidé. L’IDP central redirige ensuite l’utilisateur vers l’IDP de l’entité correspondante. C’est donc l’IDP de l’entité concernée qui assure l’authentification de ses utilisateurs. Les responsabilités de chaque composant ont clairement été définies pour faciliter la gestion des potentielles erreurs.

Pour renforcer la sécurité, l’utilisateur reçoit un mot de passe complémentaire à durée limitée (One-Time Password – OTP) via une application mobile synchronisée avec Keycloak. Une fois authentifié, le collaborateur accède à l’ensemble des applications de sa société.