Exchange : emprunt d'identité pour les comptes de service Exchange

Pour la connexion Exchange nous préconisons la configuration d'un compte de service GEOLYS avec un rôle d'impersonation. Cette article a pour but de vous expliquer en quoi consiste ce rôle, sa sécurité et comment il garanti à vos utilisateurs une expérience optimale et cohérente avec Outlook.

Qu'est-ce que l'emprunt d'identité (impersonation) ?

Le terme "emprunt d'identité" correspond à la capacité d'un logiciel à créer des éléments pour le compte des utilisateurs et ceci sans avoir besoin de connaître tous les mots de passe de ces derniers.

Concrètement avec un seul paramétrage d'emprunt d'identité, Geolys sera capable de créer des réservations d'espace comme si l'utilisateur était devant son Outlook.

Actuellement deux types d'emprunts d'identité sont possibles dans Geolys :

 

Emprunt d'identité au niveau utilisateur   Emprunt d'identité au niveau de la salle/espace
L'utilisateur sera le réel organisateur de la réunion L'utilisateur, ne sera pas l'organisateur, ce sera la salle
L'utilisateur ne verra aucune différence entre une réunion créée depuis Outlook et une réunion créée dans Geolys L'utilisateur ne pourra pas agir directement sur les réunions créées depuis Geolys. Les modifications restent possibles en passant par les applications web et mobile Geolys ou via le plugin Outlook Geolys
Les réponses des participants sont directement transmises à l'utilisateur (qui est le réel organisateur) Les réponses des participants sont transmises au calendrier de la salle

 

Dans un contexte de réservation d'espace : nous recommandons l'emprunt d'identité au niveau de la salle.
Dans un contexte de meeting : nous recommandons l'emprunt d'identité au niveau de l'utilisateur.

Pourquoi Microsoft recommande-t-il l'emprunt d'identité pour les applications ?

L'emprunt d'identité a été conçu pour prendre en charge les applications d'entreprise car il s'agit d'une méthodologie d'accès administrativement contrôlée ne nécessitant aucune intervention du propriétaire de la boîte aux lettres.

De plus, l'emprunt d'identité apporte beaucoup plus de possibilité pour vérifier comment les applications accèdent à vos données :

  • Audit : tTous les accès peuvent être consignées à la fois par la fonctionnalité de journalisation native de IIS et par l'API EWS, fournissant ainsi de multiples pistes d'audit.
  • Utilisation : l'emprunt d'identité ne peut être utilisé que par l'API Exchange (EWS)
  • Centralisation : 
    • les autorisations octroyées à un compte de service sont toujours les même (contrairement à un mode de sécurité par délégation).
    • l'ajout de nouveaux utilisateurs ne nécessite pas de reparamétrage côté administration

Rôle Exchange "ApplicationImpersonation"

Le rôle ApplicationImpersonation est un rôle intégré à Exchange permettant aux applications d'emprunter l’identité des utilisateurs dans une organisation pour effectuer des réservations à la place d'un utilisateur. 

En appliquant ce rôle à un compte de service Geolys, les utilisateurs pourront créer des réunions quasiment de la même manière qu'avec Outlook, tout en profitant des apports fonctionnels (recherches de disponibilités multi-critère, accès à des commandes de services, etc.)

Exchange 2007 gère l'emprunt d'identité un peu différemment. Cet article MSDN vous aidera à exécuter les équivalents

Références supplémentaires

MSDN - How to Configure Impersonation
MSDN - Impersonation and EWS in Exchange

Support