Synchronisation des utilisateurs entre PMSIPilot et le serveur BI

Principe général

Il est possible de synchroniser les comptes utilisateurs entre le serveur PMSIpilot et BI en utilisant le serveur BI comme service d’authentification principal de sorte que :

L’utilisateur se connecte sur PMSIpilot avec ses identifiants
Le serveur Pilot transfère les identifiants au serveur BI
Le serveur BI vérifie que :
1. Le couple login/mdp existe et soit bien valide
2. L’utilisateur en question soit bien “actif” / ne soit pas “expiré”
Puis renvoie au serveur PMSIPilot que l’utilisateur est bien autorisé à se connecter
L’utilisateur est alors connecté à PMSIpilot

De cette manière, toute l’administration générale des utilisateurs se fait dans le serveur BI (modification du nom, prénom, de la date de naissance, des mots de passe, etc.). Seule l’administration spécifique et notamment la gestion des droits et privilèges reste sur les deux serveurs de façon bien séparée.

Les avantages principaux et inconvénients de cette fonctionnalité sont :

AVANTAGES :

Les utilisateurs n’ont à retenir qu’un seul login / mdp, qui est donc toujours le même entre Pilot et BI.
Les informations sur les utilisateurs (nom, prénom, mail…) entre Pilot et BI sont donc toujours cohérentes entre elles.
Possibilité de coupler le serveur BI à un annuaire LDAP afin de gérer les mots de passe et paramètres “actif/inactif” via un annuaire central. De cette manière, les utilisateurs pourraient se connecter avec leur mot de passe Windows par exemple. Cette fonctionnalité n’est pas disponible dans PMSIpilot.

INCONVENIENTS :

Absolument tous les utilisateurs du serveur BI sont nécessairement copiés dans Pilot. S’il y a beaucoup plus d’utilisateurs BI que Pilot, cela peut venir “polluer” d’une certain façon la base d’utilisateurs Pilot. Par contre s’il y a une relative équivalence entre les utilisateurs BI et Pilot, alors cela ne pose aucun problème.
Un utilisateur ayant un compte actif sur le serveur BI pourra forcément se connecter dans Pilot, mais il n’aura potentiellement accès à rien par contre, car des droits devraient être définis au préalable dans PMSIpilot. Cela peut créer de la confusion.
La synchronisation entre PMSIpilot et le serveur BI reste manuelle. Il faut cliquer sur un bouton pour que tous les utilisateurs du serveur BI basculent dans PMSIpilot / pour que les mises à jour des noms/prénoms du serveur BI “écrasent” les informations de PMSIpilot (cf. section 3 sur l’utilisation quotidienne).
Si le serveur BI n’est plus accessible, les utilisateurs de la plateforme PMSIpilot ne pourront plus e connecter.

LDAP

Attention, si un LDAP a été paramétré sur la plateforme BI, bien vérifier que les « login » sur la plateforme PMSIpilot sont les mêmes que ceux du LDAP.
Si ce n’est pas le cas, nous vous conseillons vivement de les renommer sur la plateforme PMSIpilot.
En effet, suite à la bascule des comptes, s’ils sont différents, il existera deux identifiants sur la plateforme BI. Il faudra ainsi désactiver l’utilisateur non « LDAP » car il n’est pas possible de supprimer un utilisateur.

Mise en oeuvre

Par défaut, les utilisateurs de PMSIpilot et du serveur BI sont gérés de façon entièrement séparées. Pour activer la fonctionnalité de synchronisation des utilisateurs, il faut le faire en deux grandes étapes :

Action unique et irréversible : bascule des utilisateurs PMSIPilot dans la BI.
Mises à jour manuelles et régulières (selon les besoins) de la BI vers PMSIpilot.

Ces deux étapes sont explicitées ci-après.

Bascule des utilisateurs PMSIpilot vers la plateforme BI

Depuis l’interface web de PMSIpilot, il faut dans premier temps renseigner l’adresse IP du serveur PMSIpilot BI.

Pour cela allez dans Administration Générale > Maintenance > Serveur décisionnel PSIH :

Cliquez ensuite surr le bouton Enregistrer pour valider et si la communication entre les deux serveurs est réussi, vous devez avoir indiquer serveur trouvé.

Une fois cela effectué, il faut aller dans Administration Générale > Configuration > Bascule vers l’authentification BI.

Information Un message d’erreur commun peut être affiché à ce moment-là : “✘ Utilisateurs actifs requalifiés”. Cela signifie que tous les utilisateurs n’ont pas un “propriétaire” de renseigné. Cela pose un problème de sécurité car personne n’est responsable du compte si ce dernier est utilisé pour mener des actions qui n’auraient pas été autorisées. Pour corriger ce problème c’est très simple, il suffit de vérifier que tous les comptes ont bien : un nom, un prénom et une adresse mail.

Une fois tous les prérequis remplis, cela se fait en deux étapes :

Etape 1 : Copie des utilsateurs

Cette étape permet de copier les utilisateurs sur la plateforme BI.

Vous pouvez passer par là dès que vous avez créé un nouvel utilisateur sur Pilot, évitant ainsi de faire la même manipulation sur la plateforme BI (l’ajout des droits (groupes) devra être réaliser sur BI).

Pour cela Il faut cliquer en bas à droite sur le bouton “Copie des utilisateurs” .

Les utilisateurs qui ne sont pas présents dans la BI seront créés
Ceux qui existent déjà dans BI (c’est à dire le même login existe), ne seront pas basculés, les informations BI ne seront pas modifiées par les informations de Pilot.

Etape 2 : Bascule

Une fois la copie effectuée, il faudra cliquer sur le bouton “Activer la bascule” (également en bas à droite).

Une popup vous indique que cette action est irréversible, qu’il n’y aura pas de retour arrière possible. Dès lors, tout nouveau utilisateur devra être créer sur la plateforme BI, vous n’aurez plus la possibilité de le faire sur la plateforme Pilot.

Une fois valider, le message suivant apparaîtra indiquant que la bascule c’est déroulé avec succès.

Mise à jour de PMSIpilot avec les informations du serveur BI

Une fois la bascule effectuée, la page d’administration des utilisateurs PMSIpilot sera légèrement différente car elle les liens présents redirigeront à présent vers le serveur BI :

– AVANT –

Les possibilités étaient “Créer un utilisateur”, “Importer des utilisateurs” mais aussi “Requalifier”, “Supprimer”, “Editer”,
“Dupliquer” directement :

– APRES –

Les possibilités sont seulement “Importer les utilisateurs de la BI”, “Gérer l’annuaire d’utilisateurs”, “Gérer les droits” :

Droit de modifier son mot de passe

Si l’utilisateur avait le droit de modifier son propre mot de passe (administration globale) :

Celui-ci n’a plus la l’option depuis son Profil, le lien n’apparait plus :

Utilisation quotidienne

Au quotidien, toute l’administration se fera depuis le serveur BI. Cependant la mise à jour des informations de PMSIpilot avec le serveur BI ne se fera pas ensuite automatiquement. Il faudra cliquer sur “Importer les utilisateurs de la BI” pour rafraîchir les données.

Donc par exemple, dans le cas où un nouvel utilisateur devait être créé, il faudrait :

Créer ce nouvel utilisateur dans le serveur BI (nom, prénom, mdp etc.)
Depuis PMSIpilot, cliquer sur “Importer les utilisateurs de la BI”
Et enfin, le plus important : donner les bons droits dans PMSIpilot au nouvel utilisateur en cliquant sur le lien “Gérer les droits”.

Suivi du log de connexion des utilisateurs sur PILOT

Lors de la bascule des comptes, le log de connexions des utilisateurs n’est plus visible sur la plateforme PILOT mais directement depuis la plateforme BI.

Allez dans l’application Superviseur : https://adresse IP du serveur BI/superviseur/

Une fois connectée, rendez-vous dans : Superviseur > Utilisateurs > Onglet Suivi

Ensuite suivre les étapes ci-dessous :

Etape 1 : Cliquez sur Filtrage.
Etape 2 : au niveau de “Dates”, sélectionnez la période souhaitée (sera en surbrillance).
Etape 3 : au niveau de “Clients”, sélectionnez “pmsipilot” qui correspond à la plateforme PILOT(sera en surbrillance).
Etape 4 : le filtre se fait automatiquement, le résultat s’affichant directement. Les identifiants apparaîtront dans la colonne Utilisateur.
Etape 5 : pour modifier ou supprimer le filtre, cliquez sur Annuler le filtre.

PMSI Pilot - administration