rvlsoft - Fotolia

Generali remplace sa solution SSO maison par Sign&Go d’Ilex

L’assurance profite des capacités de personnalisation de l’outil pour lisser dans le temps sa migration, sans pousser ses applications patrimoniales à quelconque « big bang », ni retarder sa transformation numérique.

La compagnie d’assurance Generali est une grande dame à l’âge plus qu’honorable. Elle qui emploie plus de 84 000 personnes à travers le monde, dont 10 000 en France, affiche un vaste patrimoine applicatif, complexe, après plus de 200 applications aux architectures variées : progiciel, mainframe, distribué, client/serveur, etc. A l’occasion d’un atelier aux Assises de la Sécurité, la semaine passée, à Monaco, Nathalie Mantilla, responsable architecture technique pour Generali France, soulignait sans surprise « des intégrations [avec des produits tiers] plus ou moins compliquées ».

Une équipe d’architectes est dès lors chargée, en interne, de définir des principes et des standards d’architecture, de maintenir un schéma directeur de l’ensemble des technologies présentes dans l’environnement, et de faire le choix des solutions qui seront implémentées. Le tout en lien étroit avec le groupe.

Fluidifier le travail des métiers au quotidien

L’authentification unique (SSO) n’est un concept étranger à Generali. Depuis quinze ans, le groupe s’attache à éviter à ses utilisateurs de s’identifier une nouvelle fois à chaque ouverture de session sur une application. Un développement interne a été conçu dans cette idée, baptisée GEF2. Mais, explique Nathalie Mantilla, « nous sommes arrivés à ses limites d’utilisation, parce qu’elle ne supporte pas des standards tels que SAMLv2 ou OpenID Connect ». Et justement, dans un contexte de transformation numérique croissante, avec l’ouverture à des partenaires qu’elle suppose, cette limitation constituait « un frein ».

Mais ce n’est pas tout. Generali souhaitait également intégrer le SSO à ses portails, en particulier pour répondre aux besoins des agents, gestionnaires et autres courtiers : « il leur arrive parfois de revenir sur la page d’authentification trois ou quatre fois ». Dès lors, le SSO constituant « une demande très forte de nos métiers ».

Courant 2016, Generali s’est donc tourné vers le marché, en quête d’une alternative. Un démonstrateur à été réalisé sur deux solutions, et c’est celle d’Ilex qui a retenu l’attention de l’assureur : elle s’est présentée comme celle « qui pouvait s’intégrer le mieux à notre existant ». Et donc supporter une phase de cohabitation avec GEF2.

Mais aussi renforcer la gestion des comptes

Dans le détail, il y a en fait quatre chantiers. Le premier touche à la gestion du SSO en interne. Là, l’utilisateur s’identifie auprès de Sign&Go, qui génère un jeton d’accès doublé d’un cookie. Ce dernier permet la navigation d’application en application sans avoir à s’authentifier à nouveau : un nouveau jeton d’accès est demandé à Sign&Go sur cette base ; le produit d’Ilex se charge de générer le nouveau jeton nécessaire à la nouvelle application. Le jeton est systématiquement normalisé – SAMLv2 ou OAuth, ou encore JWT OpenID Connect, selon l’application.

Cette approche permet d’avancer sur un second chantier parallèle, sur le périmètre interne à Generali : la consolidation de la gestion des identités dans un annuaire unique, alors qu’historiquement, certaines applications peuvent intégrer leur propre mécanisme de gestion de comptes.

Pour les partenaires externes, c’est une approche de fédération des identités qui est nécessaire. Dans ce cas, la logique reste essentiellement comparable : le cookie continue d’être envoyé à l’application tierce, et celle-ci interroge le serveur Sign&Go qui retourne ensuite le jeton, dans le format souhaité par l’application. La toute première fois, l’application tierce valide la fédération. Et si elle n’a pas eu lieu, elle renvoie une fenêtre d’ouverture de session à l’utilisateur, avec son compte sur l’application tierce, pour réconcilier les comptes.

Dernier cas, lorsqu’il n’y a pas de base de données utilisateurs chez le tiers, qu’il soit service Cloud ou SaaS, par exemple. Là, c’est le jeton d’accès, fort des informations dont il est porteur, qui permet seul l’ouverture de session.

En route pour la transformation numérique

Mais il faut aussi compter avec les chantiers de transformation numérique, avec l’ouverture d’application patrimoniales à d’autres, plus modernes, pour terminaux mobiles, notamment. Sign & Co intervient, comme fournisseur de jetons d’authentification, mais également Apigee pour apporter des API REST aux applications qui n’en sont pas dotées nativement. Lequel s’appuie sur les jetons produits par l’outil d’Ilex. Profil, rôle, ou encore attributs de l’utilisateur sont récupérés au passage. Les équipes de Generali soulignent là l’une des forces de Sign&Go : sa capacité à supporter des plug-ins pour s’intégrer avec les applications et services patrimoniaux qui stockent ces informations de profil utilisateur.

Le dernier chantier, est bien sûr la cohabitation avec GEF2, pour éviter toute forme de « big bang », et respecter le calendrier d’évolution de chaque application existante pour abandonner GEF2. La personnalisation du jeton d’accès, avec un jeton spécifique GEF2, permet justement aux applications de l’environnement de disposer à la fois d’un jeton standard, et d’un jeton patrimonial. C’est l’ajout de scripts à Sign&Go – de manière native, sans altérer le produit – qui permet ce niveau de personnalisation… et donc de lisser dans le temps le retrait de la solution SSO historique. 

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close