Comprendre Accred


Objectifs

Accred est un système de contrôle d’accès qui permet de répondre à la question Qui a droit à Quoi et Quand?

De plus en plus de services mis à disposition par le VPSI utilisent Accred pour faire le contrôle d’accès, par exemple les accès au réseau informatique interne de l’École, les accès aux bâtiments (CAMIPRO), les accès aux inventaires, etc.

Une réponse correcte à cette question Qui a droit à Quoi et Quand? devient donc de plus en plus primordiale car les tentatives d’intrusion augmentent régulièrement avec le temps qui passe.

L’EPFL est une institution où beaucoup de monde étudie ou travaille dans de nombreux laboratoires de recherche ou unités administratives, il est donc essentiel de disposer d’un registre complet de toutes les personnes ayant une activité dans ces unités de l’EPFL et d’utiliser ce registre comme base pour le contrôle d’accès.

En résumé, les objectifs sont :

  • Disposer d’un registre officiel de toutes les personnes ayant besoin d’avoir accès à des ressources de l’EPFL, en coordonnant les informations provenant de différents services de l’EPFL (SAP-RH, SAC, …)
  • Permettre une gestion décentralisée du registre afin de permettre à chaque unité de l’Ecole de travailler de manière indépendante
  • Gérer les accès de certaines applications clientes, informatiques et logistiques, de l’Ecole (réseau, courrier électronique, annuaire, réquisitions de travaux, …)
  • Contrôler les droits lors de mutation ou de départ des personnes

Comment fonctionne la gestion des accès

Chaque unité de l’EPFL, quelque que soit son niveau (Faculté, Vice-présidence, Institut, Labo, etc) est responsable de gérer les accès à son propre patrimoine, elle ne peut en aucun cas gérer le patrimoine d’une autre unité.

La responsabilité de l’octroi d’un droit d’accès à une personne incombe au responsable d’unité, et dans certains cas (RH, Finance), l’octroi doit être confirmé par une validation administrative.

L'accréditation

L’accréditation d’une personne dans une unité permet de déterminer administrativement si la personne fait partie de cette unité. Les accréditations des personnes se font uniquement dans les unités de niveau 4 (labo).

Les membres du personnel ainsi que les étudiants reçoivent automatiquement une accréditation venant des RH ou du SAC.

Pour qu’une personne puisse obtenir des droits d’accès, il est impératif qu’elle possède au moins une accréditation valide. Par contre, une personne n’a pas besoin d’être accréditée dans une unité pour y obtenir des droits d’accès.

Les rôles

Les rôles permettent la gestion des droits et l’attribution de ceux-ci à d’autres personnes. Ils sont répartis en fonction de responsabilités adminstrative, technique et logistique. Chaque rôle chapeaute un certain nombre de droits.

Les droits

Les droits donnent accès à des ressources fournies par différents services de l’EPFL. Ils peuvent être d’accès ou de gestion. Le titulaire d’un droit ne peut pas le déléguer à d’autres personnes. Une politique d’attribution par défaut est définie pour chaque droit.

Les propriétés

Les propriétés sont des droits acquis uniquement dans l’unité où la personne est accréditée, elles sont par conséquent directement rattachée à l’accréditation, par exemple la présence dans la mailing liste de l’unité, le droit de disposer d’un espace de stockage dans l’unité, etc.

Les classes

Les classes sont principalement utilisées pour la création des listes de distributions (mailing-lists) générées automatiquement tous les soirs.

Cette notion permet de classer les personnes accréditées par type.

Les prestations de base

Les prestations de base permettent d’obtenir l’accès à des ressources logistiques ou administratives de l’EPFL. Elles sont accessibles via une application disponible depuis l’accréditation (site web ou Accred).