Construire

un annuaire
dentreprise
avec LDAP
Marcel Rizcallah

ditions Eyrolles
ISBN : 2-212-09154-0
2000

1
Gnralits
sur les annuaires
Introduction
Il nous semble important de bien comprendre ce quest un annuaire et quoi il sert, avant de
dcrire le standard LDAP (Lightweight Directory Access Protocol) lui-mme.
En effet, le standard LDAP et un annuaire, LDAP ou non, sont deux choses diffrentes : le
premier dfinit linterface daccs un annuaire et le deuxime est une sorte de base de
donnes permettant de retrouver facilement des personnes ou des ressources comme des
imprimantes, des ordinateurs et des applications.
La ncessit de dfinir un standard pour laccs aux annuaires, est issue dun certain nombre
de besoins caractristiques de ces derniers. Les annuaires ne sont pas que des bases de
donnes, ils doivent offrir de plus des services particuliers comme la recherche, le classement
ou lorganisation des informations, qui les rendent plus aptes lusage. Cest ce que nous
allons tenter de mettre en avant dans la suite de ce chapitre.
Nous aboutirons ainsi lidentification des caractristiques dun annuaire et la ncessit
dtablir un standard, dcrivant linterface daccs celui-ci. Cest ce rle que joue LDAP,
que nous dcrirons en dtail dans la suite de ce livre.

Quest-ce quun annuaire ?

Nous sommes tous familiers des annuaires que nous utilisons quotidiennement, comme notre
carnet dadresses tlphonique, lannuaire 3611 de France Tlcom ou encore les Pages Blanches et les Pages Jaunes que nous recevons dans nos botes aux lettres.
Leur point commun est quils sont tous destins faciliter la localisation dune personne ou
dune entreprise partir de diffrents critres comme le nom, le code postal, voire la fonction

Les annuaires et leurs applications

PARTIE 1

pour les personnes ou encore le type de service rendu pour les entreprises. Le rsultat de cette
recherche donne un numro de tlphone, une adresse postale complte, une adresse de site
Web, une adresse de messagerie lectronique
Ils doivent donc offrir des critres de recherche puissants et simples dusage. Citons titre
dexemple lindex alphabtique pour la recherche de noms dans les Pages Blanches ou dans
le carnet dadresses personnel. Les Pages Jaunes offrent un classement par mtiers pour faciliter la recherche. Le Minitel contient un guide des services que lon peut interroger en
langage naturel.
Un annuaire est dautant plus utile quil est simple utiliser, notamment lorsquon recherche
quelque chose avec trs peu dinformation. A lextrme, cette information peut ntre quune
ide en tte, par exemple : Je veux distraire ma grand-mre . Dailleurs, si vous tapez cette
phrase dans la zone de recherche du guide Minitel, vous aller retrouver les services relatifs
aux aides sociales des personnes ges, et les tablissements sanitaires ou sociaux.
Les annuaires lectroniques et en ligne, cest--dire ceux qui sont accessibles travers un
rseau local ou tendu, comme les annuaires Minitel ou les annuaires Internet et les intranets,
ont la mme vocation que les annuaires papier, mais ils apportent en plus les avantages
suivants : ils sont dynamiques, flexibles, scuriss et personnalisables.

Laspect dynamique
La rduction du temps de diffusion de linformation

Par opposition lannuaire Pages Blanches, mis jour une fois par an, lannuaire 3611 du
Minitel reflte immdiatement tout changement dadresse et de numro de tlphone. En
gnral, les annuaires en ligne peuvent tre mis jour simplement par un administrateur et
refltent ainsi tout changement de donnes en temps rel. Ainsi, lannuaire dune entreprise
accessible par un intranet, reflte plus rapidement quun annuaire papier tout changement
dadresse, de numro de tlphone ou de responsabilit.
La dlgation des responsabilits la source

Mais au-del de la rduction des dlais de diffusion de linformation, lavantage des annuaires
en ligne est quils permettent de dlguer les responsabilits de la mise jour aux propritaires mmes des informations. Plus linformation est proche de sa source et plus elle est
prcise et diffuse temps. Ainsi, par exemple, le responsable de la logistique dune entreprise pourra lui-mme mettre jour les numros des collaborateurs sur lannuaire de lintranet
de lentreprise. De mme le responsable du serveur de messagerie effectuera lui-mme la mise
jour des adresses e-mail sur ce mme annuaire.
De nouvelles opportunits dapplications

La disponibilit dun annuaire constamment mis jour offre de nouvelles opportunits dapplications. Par exemple, lautorisation daccs lintranet dune entreprise, rserv ses seuls
collaborateurs, pourrait sappuyer sur lannuaire afin de vrifier lappartenance de lutilisateur
lentreprise et le fait quil soit bien un collaborateur et non un prestataire externe. Ou encore, la
diffusion de messages lensemble des cadres peut sappuyer sur lannuaire ; on constitue
ainsi des listes de diffusion dynamiques bases sur des critres de recherche (par exemple tous
les employs qui sont cadres), beaucoup plus pratiques utiliser que des listes contenant des
noms explicites.

Gnralits sur les annuaires

CHAPITRE 1

La flexibilit
La possibilit de modifier la structure des donnes

Le dveloppement des outils et des moyens de communication a fait apparatre de nouveaux

types de mdias, dont le rythme ne fait que sacclrer, comme la messagerie lectronique, le
tlphone mobile, les pagers, la tlphonie sur IP, la vido confrence Chaque personne peut
tre accessible par lun de ces mdias ou non. La flexibilit des annuaires en ligne permet de
rajouter un nouvel attribut permettant dadresser ceux qui le sont travers ces nouveaux mdias
par exemple un numro de tlphone mobile ou un numro de tlphone sur IP (adresse IP)
pour ceux qui en ont et ceci sans altrer les informations existantes pour le reste de lannuaire.
La possibilit de modifier lorganisation des donnes

Les donnes dans un annuaire sont gnralement classes partir du nom et par ordre alphabtique. Mais, dans le cas dun annuaire volumineux, un tel classement peut rendre la
recherche fastidieuse et nuire la visibilit des informations affiches. Il est donc souhaitable
dorganiser ou de classer celles-ci de faon plus fine. Par exemple, dans le cas dun annuaire
des collaborateurs, il est possible de les classer par services ou par filiales. Contrairement aux
annuaires papier, les annuaires en ligne permettent de modifier ce classement afin de reflter
tout changement organisationnel dans lentreprise, comme le rachat de filiale et la fusion de
branches ou de services. Dans la majorit des cas, il suffira de changer la vue offerte aux utilisateurs des donnes, mais pas les donnes elles-mmes.

La scurit
Le contrle des informations affiches

Les annuaires en ligne permettent de contrler les informations affiches en fonction de diffrents
critres comme lidentit de lutilisateur ou simplement sa localisation gographique. Un mcanisme dauthentification, laide dun nom et dun mot de passe par exemple, permet dinterdire
laccs un sous-ensemble de lannuaire et certains attributs de lannuaire, par exemple la fonction dans lentreprise. Il est aussi possible dexprimer les rgles dattribution de droits daccs
laide de critres de recherche dans lannuaire, par exemple autoriser laccs en lecture du numro
de tlphone mobile dun individu son responsable hirarchique. Ceci peut tre exprim sous
forme dune rgle, vitant ainsi de devoir dsigner explicitement ce responsable.
Il est aussi possible de filtrer les informations affiches lorsquun client dune entreprise
accde son annuaire de lextrieur par Internet ou par un extranet. On nautorisera par
exemple que la visualisation des nom, prnom et adresse de messagerie de certains contacts,
le numro de tlphone ntant visible quaux collaborateurs.
Laccs aux informations en ligne

Les annuaires en ligne offrent un niveau de scurit suprieur aux annuaires papier, notamment dans le cas des entreprises. En effet, un annuaire papier, quoique rserv un usage
interne, et malgr le fait que ceci soit crit en rouge et en caractres gras sur la premire page,
peut facilement tre transport lextrieur et utilis des fins malveillantes. Un annuaire en
ligne, accessible travers un rseau local, sera plus difficile emporter. En effet, il faudra soit
limprimer dans sa totalit, ce qui peut ne pas tre offert par lapplication, soit emporter la
totalit de la base de donnes, ce qui ncessite un accs la salle machine !

Les annuaires et leurs applications

PARTIE 1

Le contrle des responsabilits de mise jour

Comme nous lavons prcis prcdemment, les annuaires en ligne permettent de dlguer les
responsabilits de mise jour la source, cest--dire de permettre uniquement ceux qui
possdent linformation, de la saisir et de la publier. On peut ainsi mieux contrler ceux qui
effectuent ces mises jour laide dune authentification approprie, mais surtout mmoriser
toutes les modifications effectues, assurant ainsi une meilleure responsabilisation des administrateurs de lannuaire et donc une meilleure qualit des informations saisies.

La personnalisation
La personnalisation du contenu

En nous basant sur lexemple des listes rouges, nous pouvons dire que les annuaires traditionnels noffrent pas de niveau de personnalisation. En effet, nous avons soit la possibilit
dapparatre pour tous dans lannuaire, soit dtre en liste rouge et de napparatre pour personne,
sans aucune autre alternative.
Avec les annuaires en ligne, il est possible, partir de lidentit de lutilisateur qui le consulte,
de dcider quelles informations il a accs, mais aussi de ne lui montrer que ce qui lintresse
en priorit et de relguer sur un second plan le reste des informations. Par exemple, un
employ dune socit multinationale consultera plus frquemment lannuaire de son site
contenant ses collaborateurs les plus proches, que ceux des autres sites. Mais, occasionnellement il doit pouvoir accder aux autres annuaires, sil est amen devoir communiquer ou
retrouver les coordonnes dautres collaborateurs.
De plus, les annuaires en ligne peuvent tenir compte des prfrences de chaque utilisateur, afin
de leur permettre daccder plus rapidement aux informations les plus proches de ses centres
dintrt ou de ses besoins. Ainsi par exemple, un utilisateur utilisant frquemment la consultation de squences vido pour son travail, peut le prciser dans ses prfrences : les routeurs
rseau pourront par consquent lui allouer plus de bande passante. Ou encore, les prfrences
dun utilisateur en matire de livres, par exemple les livres dHistoire et les romans policiers,
peuvent tre utilises par un site de commerce lectronique pour personnaliser le contenu de
la page daccueil et les messages publicitaires envoys linternaute.
La gestion des profils

Ces prfrences, que lon peut aussi dsigner par profils dutilisateurs, peuvent tre sauvegardes dans un annuaire. Par exemple, un annuaire de personnes peut tre utilis pour dsigner
le niveau dhabilitation de chaque personne quant la mise jour de lannuaire lui-mme. Il
contiendrait ainsi un attribut spcifique pour chacune delle, indiquant si cest un administrateur ou non. Seules les personnes dsignes comme administrateurs pourront mettre jour les
autres attributs des personnes sauvegards dans lannuaire.
La gestion des profils dutilisateurs dans lannuaire lui-mme apporte des avantages indniables : scuriser les donnes du profil, les rendre flexibles et dynamiques, au mme titre que les
autres informations relatives aux personnes comme ladresse de messagerie ou le numro de
tlphone. En effet, des informations de ce type sur un utilisateur (le fait quil soit un administrateur ou non, quil soit utilisateur accrdit lire les listes rouges ou non, etc.) sont des
informations sensibles quil faut protger aussi bien en criture quen lecture au mme titre
quun mot de passe. De plus, ces informations peuvent changer et de nouveaux attributs caractrisant un profil peuvent tre rajouts. Il est ncessaire dans ce cas de pouvoir les rajouter

Gnralits sur les annuaires

CHAPITRE 1

dans lannuaire sans avoir reconstruire celui-ci, et de reflter immdiatement ces changements dans tous les services utilisant ces nouveaux attributs.
Notons enfin, que le fait de grer les profils dun utilisateur dans le mme annuaire dcrivant
les autres donnes propres cet utilisateur, permet de navoir quune seule entre contenant
lensemble de ces attributs. Ce qui, videmment, en facilite normment la gestion.
Notons que la personnalisation est un sujet en soi, dont les avantages sont indniables dans
le cadre du commerce lectronique et des extranets. En effet, elle permet de fidliser la clientle en lui donnant plus facilement des rponses ses attentes sans la submerger par des
informations ne la concernant pas. De plus, elle permet, travers lidentification des utilisateurs et la gestion de leurs profils, de connatre et danalyser leurs comportements. Et enfin,
elle offre la possibilit deffectuer des actions marketing personnalises comme le crossselling (ou ventes croises) travers une segmentation de la clientle, rendant ainsi ces
actions plus efficaces. Les annuaires constituent une brique de base des outils de personnalisation,
comme nous le verrons plus loin dans ce chapitre.

A quoi sert un annuaire ?

Localiser des ressources
Comme nous lavons vu prcdemment, un annuaire sert avant tout localiser quelque chose,
quil sagisse de personnes, laide de Pages Blanches, ou dentreprises, avec les Pages Jaunes.
En fait, les annuaires lectroniques peuvent servir localiser nimporte quoi. Pour cela, ils
offrent en gnral un espace de noms comprhensibles par des utilisateurs. A chaque nom sont
associes des caractristiques ou des proprits qui permettent de localiser plus prcisment la
personne ou la ressource en question. Par exemple, lannuaire va associer au nom Pierre
DUPOND un ensemble dadresses comme ladresse de sa messagerie ou son adresse postale
ou encore son numro de tlphone mobile.
Voici quelques exemples dutilisation dun annuaire pour localiser diffrents types dobjets :
Objet

Description

Personnes

Lannuaire contient des informations comme les nom, prnom, numro de tlphone fixe,
numro de tlphone mobile, fonction dans lentreprise, catgorie demploy (cadre ou
non, CDD, CDI) On trouve des annuaires de ce type en libre accs sur Internet, comme
Four11 ou BigFoot, o chacun peut mettre jour les informations qui le concernent.

Groupe de personnes

La premire application dun annuaire de personnes consiste crer des groupes titre
dinformation ou pour servir de listes de diffusion. Ces groupes sont rfrencs dans un
annuaire afin dtre partags par tous.

Salles de runion

Lannuaire contient par exemple la localisation dune salle de runion (numro de bureau,
tage, immeuble, plan dtage), mais aussi le nombre de participants quelle peut
accueillir et le fait quelle contienne un rtroprojecteur ou non.

Voitures de fonction

Les voitures de fonction peuvent tre enregistres dans lannuaire, afin den localiser le
conducteur actuel. Il peut contenir des informations sur la marque de la voiture, le nombre
de places, le numro dimmatriculation permettant de lidentifier

A titre dexemple, nous pouvons citer le carnet dadresses personnel, comme celui du logiciel
de messagerie Outlook de Microsoft :

Les annuaires et leurs applications

PARTIE 1

Figure 1.1

Exemple de carnet
dadresses

Pour effectuer une recherche, le carnet dadresses offre une fonction permettant de spcifier
des critres comme le nom ou le numro de tlphone :
Figure 1.2

Exemple de recherche
dans un carnet
dadresses

Gnralits sur les annuaires

CHAPITRE 1

Grer un parc de ressources

Les annuaires sont aussi utiliss pour grer un parc de ressources informatiques et rseau :
Objet

Description

Parc de
micro-ordinateurs

Les micro-ordinateurs peuvent aussi tre dcrits dans un annuaire, permettant ainsi de
localiser leur emplacement gographique (bureau, tage), mais aussi leur affectation
telle ou telle personne. Lannuaire peut aussi contenir des adresses rseau comme
ladresse IP ou ladresse MAC de la carte rseau, le nom de machine Windows (WINS), les
applications qui sont installes

Imprimantes

Les systmes dexploitation ddis aux rseaux locaux dentreprise contiennent des
annuaires qui rfrencent les imprimantes et les autorisations daccs celles-ci. Ces
annuaires contiennent des informations comme son adresse IP, le nombre de bacs et ses
caractristiques, sa marque, ltage et le bureau o elle se situe, couleur ou noir et blanc,
etc. Ce type dannuaire est utilis par une personne lorsquelle veut slectionner une imprimante en fonction de lendroit o elle se trouve et du type dimpression souhait.

Espaces disque

L aussi, les systmes dexploitation rfrencent tous les volumes disque disponibles dans
un rseau local. Contenant aussi la liste des personnes, ils permettent en outre de contrler les droits daccs aux donnes.

Routeurs rseau

De nouvelles gnrations de routeurs, comme ceux de la socit CISCO, utilisent des

annuaires pour allouer une bande passante par type dapplication en fonction des privilges des utilisateurs.
Par exemple, si une personne consulte sur son ordinateur un film vido, le routeur lui attribuera plus de bande passante mais uniquement durant le temps de droulement du film.
Ou encore, si deux personnes communiquent entre elles laide dun logiciel de tlphonie
sur IP, le routeur leur garantira un dbit minimal suffisant pendant toute la dure de la conversation pour ne pas altrer la qualit du son.

Un bon exemple permettant dillustrer un annuaire grant un parc de ressources est Novell
Netware. Il est souvent prsent comme un systme dexploitation rseau, dont la vocation est
de permettre le partage des ressources de lentreprise entre diffrents utilisateurs. En fait, sa
principale force, cest de pouvoir grer dans un mme rfrentiel, partag par tous, lensemble
des profils utilisateurs et des caractristiques des ressources auxquelles ils accdent comme
les espaces disque, les serveurs et les imprimantes.

Localiser des applications et des droits daccs

Les annuaires permettent aussi de localiser des applications et ventuellement les droits
daccs celles-ci.
Objet
Sites Web

Description
Des annuaires comme Yahoo!, NetCenter de Netscape ou Voil de France Tlcom permettent de
localiser des sites Web. Ces annuaires contiennent les adresses URL des sites, mais aussi un descriptif sommaire et un classement thmatique de ceux-ci.

Les annuaires et leurs applications

PARTIE 1

A titre dexemple dannuaire de sites Web, nous pouvons citer le site de Yahoo!.

Figure 1.3

Exemple dannuaire de sites Web

Yahoo! prsente un classement thmatique et hirarchique des sites Web. A chaque site est
associe une URL, cest--dire son adresse Web, et une description sommaire sur quelques
lignes.
Il est possible de rechercher des sites laide de mots cls quil faut saisir dans la zone ddie
cet effet. Ces mots cls sont ensuite recherchs dans les descriptifs de sites, dans les diffrents thmes du classement et dans les URL (ou dans les adresses de sites). Si les mots cls
saisis ne sont pas trouvs, Yahoo! fait appel alors un moteur qui recherche ces mots dans les
pages des sites Web.
NOTE

Yahoo! offre donc deux mthodes de recherche : lune par navigation dans les thmes, et lautre par
recherche de mots cls. Notons que le classement des thmes est hirarchique, et que celle-ci est base
sur une smantique des thmes de plus en plus fine.

Gnralits sur les annuaires

CHAPITRE 1

Objet
Applications
en entreprise

Description
Avec la prolifration des applications en entreprise, notamment dans les grands comptes, il
devient difficile de savoir quelles sont les applications disponibles et notamment den contrler les
droits daccs de faon centralise et homogne. Un annuaire de personnes unique et un
annuaire dapplications facilitent la gestion des droits.
Les intranets sont un bon exemple : ils favorisent la diffusion des informations, ce qui engendre
rapidement une multitude de services accessibles et donc exige de rfrencer ces services et de
contrler les droits daccs ceux-ci. Nous pouvons citer titre dexemple, les produits de la
socit iPlanet, issue de lAlliance Sun/Netscape. Ils utilisent le serveur dannuaire afin de rfrencer toutes les applications de lintranet ainsi que les droits daccs des utilisateurs.
Un autre exemple est Windows NT. Toutes les applications fonctionnant sous ce systme dexploitation utilisent une base de donnes, dnomme base de registre, comme un annuaire. En effet,
celles-ci sont rfrences dans la base de registre avec des informations du type : emplacement
disque, nom de lapplication, nom de lditeur, version, paramtres Ce rfrentiel est utilis par
toute application fonctionnant sous Windows NT pour excuter les applications et contrler ventuellement les droits daccs des utilisateurs.

Pour illustrer un exemple dannuaire dapplications, prenons la base de registre de

Windows NT, Windows 98 ou Windows 2000. Pour y accder, il suffit de lancer la commande
regedit dans lun ou lautre des systmes :
Figure 1.4

Exemple dannuaire
dapplications

La rubrique Software contient la liste des applications installes sur le poste de travail. Notons
au passage que le classement des applications est hirarchique : en effet on voit en premier une
liste de noms de socits ditrices de logiciels, comme Abobe ou America OnLine, puis si on
clique sur lune delles, la liste des applications installes pour la socit slectionne apparat.

10

Les annuaires et leurs applications

PARTIE 1

Pour savoir dans quel rpertoire lapplication Acrobat Reader est installe, il suffit de regarder
lattribut InstallPath dans la base de registre.
NOTE

Il nexiste pas dattribut gnrique dans la base de registre pour dsigner le chemin daccs un
programme sous Windows NT. Cest ici quun standard, comme LDAP, peut apporter une forte valeur
ajoute : il permet de dfinir des attributs normaliss pour dcrire les caractristiques dune application, et
ceci quel que soit le systme dexploitation.

Il est aussi possible de rechercher une application laide dun mot cl, comme le montre le
schma suivant :
Figure 1.5

Exemple de recherche
dans un annuaire
dapplications

La base de registre de Windows NT offre donc une mthode de recherche par navigation dans
les thmes ou par recherche laide de mots cls.

Recherche et navigation dans un annuaire

Lorsque nous recherchons une information dans un annuaire, nous ne disposons pas ncessairement de tous les critres requis pour retrouver cette information. Par exemple, si nous
recherchons une personne dans des Pages Blanches, il se peut que nous ne connaissions pas
lorthographe exacte de son nom. Nous essayons alors de retrouver la personne laide dun
mot phontiquement similaire. Prenons un exemple classique : DUPOND ou DUPONT ?
Lannuaire doit tre en mesure de retrouver tous les noms phontiquement similaires ; nous
effectuons alors une navigation dans la liste jusqu trouver le bon nom.

Gnralits sur les annuaires

CHAPITRE 1

La navigation est une caractristique essentielle des annuaires. Cest souvent ltape ultime
dune recherche permettant de trouver la bonne information. Mais la navigation peut aussi tre
utilise pour affiner les critres dune recherche avant deffectuer celle-ci. Par exemple, si
nous recherchons une personne sur un site donn dans un annuaire dentreprise, il est possible
de le prciser avant de lancer la recherche. Une bonne analogie est la recherche dans une arborescence de fichiers laide de lexplorateur de Windows : on commence par choisir le rpertoire en naviguant dans larborescence, puis on appelle la fonction de recherche que lon
invoque par un clic droit de souris. On prcise alors les critres comme lextension des fichiers
ou la date de dernire mise jour, et enfin on navigue dans une liste de fichiers constituant le
rsultat de la recherche.

En rsum
Ainsi, si nous voulons dfinir ce quest un annuaire et quoi il sert, nous pouvons le rsumer
de la faon suivante :
Un annuaire est un rfrentiel partag de personnes et de ressources, dont la vocation est de
les localiser laide de fonctions labores de navigation et de recherche, et doffrir des fonctions de scurit pour laccs ces informations.
Notons que ces particularits font des annuaires un composant indispensable du systme
dinformation dune entreprise. En effet, que se passerait-il si un annuaire ntait plus disponible et tombait en panne ? Dans le cas dun annuaire de messagerie par exemple, il ne sera
plus possible denvoyer des messages sans prciser ladresse exacte ni de recevoir des
messages, et dans le cas dun annuaire de ressources, comme des disques durs et des imprimantes, il ne sera plus possible denregistrer les documents ni de les imprimer !
Ainsi, les annuaires doivent tre constamment oprants, afin de rpondre aux sollicitations des
utilisateurs qui peuvent survenir de partout et tout moment. Ils deviennent donc des fournisseurs de services, au mme titre quun serveur de messagerie lectronique ou quun serveur
de base de donnes, et constituent une brique indispensable du systme dinformation des
entreprises.

Quelles sont les particularits des annuaires ?

Il nous semble important de mettre en avant les particularits des annuaires, afin de bien
comprendre les diffrences quils peuvent avoir avec des bases de donnes. Ceci vous
permettra de juger par vous-mme de lutilit (ou non) de la mise en place dun annuaire, et
didentifier sa valeur ajoute, dans votre cas par rapport une base de donnes relationnelles.
Mais surtout, ceci va vous permettre didentifier les annuaires qui existent dj dans votre
entreprise, mais qui sont en fait grs par des bases de donnes ou par dautres systmes. Vous
pourrez ainsi juger de lutilit dune migration de certaines de vos bases dans un ou plusieurs
annuaires, dont nous dcrirons par la suite les enjeux associs et les ventuels retours sur
investissement engendrs.
Revenons la comparaison : en fait, un annuaire est une base de donnes, mais linverse nest
pas vrai. Cest donc une base de donnes qui a des particularits, que nous dcrivons en dtail
ci-dessous.

11

12

Les annuaires et leurs applications

PARTIE 1

Les annuaires sont plus sollicits en lecture quen criture

Comme nous lavons signal plus haut, les annuaires sont destins localiser des ressources,
par consquent ils sont beaucoup plus souvent sollicits pour lire des informations que pour
les mettre jour. Par exemple, chaque fois que vous voulez appeler une personne dont vous
navez pas le numro de tlphone, vous le recherchez dans un annuaire. Or le numro de tlphone ne change que si la personne dmnage ou change de bureau, ce qui est certainement
moins frquent que la recherche.

Les annuaires ne sont pas destins grer des transactions complexes

En effet, les mises jour de donnes dans un annuaire se rduisent souvent la mise jour de
quelques informations concernant une personne ou une ressource. Ceux-ci ne reprsentent pas
en gnral un large volume de donnes, et nimpliquent pas une gestion dintgrit des
donnes complexe dans plusieurs tables. On y effectue rarement des transactions critiques
comme cest le cas avec les bases de donnes. Celles-ci doivent assurer que toutes les transactions russissent en mme temps afin de ne pas crer des cas dincohrence, comme dans le
cas de la mise jour de plusieurs informations simultanment pour enregistrer le dbit dun
compte bancaire pour en crditer un autre.

Les annuaires doivent pouvoir tre sollicits distance par tous,

et travers des dbits rseau faibles
Louverture et laccs distant sont des caractristiques importantes des annuaires. En effet, interroger un annuaire de Pages Blanches, situ aux Etats Unis depuis la France, doit tre possible
malgr lhtrognit des systmes qui dialoguent entre eux, et doit tre performant mme si
les dbits rseau sont faibles et si le volume des donnes recherches est important.
En effet, un logiciel de messagerie, quel quil soit, par exemple Outlook de Microsoft ou Netscape Messenger de Netscape, doit tre en mesure dinterroger un annuaire dentreprise priv
ou un annuaire public sur Internet dans nimporte quel pays.
Ils doivent donc offrir un protocole rseau lger et performant, permettant une interrogation
distance, o les dbits rseau sont souvent faibles, comme cest le cas sur Internet. Quant aux
bases de donnes, elles ont t conues pour une utilisation dans lentreprise, o le client et le
serveur de donnes se situent gnralement sur le mme rseau local. Ce client possde un
connecteur, comme ODBC (Open Database Connectivity), lui permettant de transmettre des
ordres SQL vers le serveur de base donnes. Il est quand mme possible dinterroger
distance une base de donnes, mais dans ce cas il est ncessaire de mettre en place une infrastructure particulire entre le poste de travail de lutilisateur et la base de donnes. Cette
infrastructure peut tre par exemple un serveur Web changeant des pages HTML avec le
poste client, et muni dun client ODBC pour interroger la base de donnes. Le serveur Web et
la base de donnes sont gnralement sur le mme rseau local.
De plus, pour permettre le dialogue entre deux systmes distants, notamment lchelle
mondiale, comme cest le cas sur Internet, il est important que ces deux systmes utilisent le
mme langage dinterrogation et danalyse des rponses. Pour cela, il est important de
disposer dun standard ouvert et simple dusage qui puisse tre adopt par tous. Celui-ci doit
donc concerner le contenant et le contenu, cest dire aussi bien la faon dinterroger
lannuaire que la faon de reprsenter les donnes qui sy trouvent. Ainsi, il est important de

Gnralits sur les annuaires

CHAPITRE 1

disposer dune smantique partage des champs. Par exemple, lattribut adresse de messagerie doit tre reconnu par tous de la mme faon, et doit tre cod lors de lchange de faon
normalise.
LDAP (Lightweight Directory Access Protocol) est issu dun consensus entre les principaux
acteurs du monde Internet, en tablissant un standard au mme titre que HTTP pour le Web ou
SMTP pour la messagerie. De mme, la lgret du protocole est une des caractristiques
principales de LDAP, comme son nom lindique. Nous en parlerons plus en dtail dans la suite
de ce livre.

Les annuaires doivent pouvoir communiquer entre eux

Il est souvent utopique de centraliser lensemble des informations concernant des personnes
ou des ressources en un seul endroit. Par exemple, il est impossible davoir un seul annuaire
des adresses e-mail lchelle mondiale. Et pourtant, avec la forte tendance la mondialisation et lavnement dInternet, il est de plus en plus utile de pouvoir rechercher ladresse
dune personne lchelle mondiale.
La solution est de pouvoir faire communiquer les annuaires entre eux. Elle consiste disposer
dun ensemble dannuaires, relis par un rseau local ou tendu, et capable de se transmettre
les requtes. Ainsi par exemple, si un annuaire ne contient pas linformation recherche, un
autre annuaire effectue la recherche dans ses donnes avant de renvoyer le rsultat au demandeur,
et ceci de faon compltement transparente.
La Figure 1.6 illustre ce mcanisme de coopration entre annuaires.

Site A

Entreprise
Martin TlSystmes
Service
Informatique

1. Recherche
de M. Grard
M. Daurard

M. Bertrand

2-Envoi de la requte
l'annuaire du site B
Entreprise
Martin TlSystmes

3-Envoi du rsultat
au demandeur

Site B
Figure 1.6

Exemple de coopration entre annuaires

Service
Financier

M. Grard

13

14

Les annuaires et leurs applications

PARTIE 1

Dans cet exemple, lutilisateur qui se trouve sur le site A recherche une personne appartenant
lannuaire du site B. Il interroge lannuaire auquel il est rattach, cest--dire celui du site A.
Nayant pas la rponse cette requte, cet annuaire transmet celle-ci lannuaire du site B qui
renvoie la rponse lutilisateur.

Les informations gres par un annuaire sont classes de faon

hirarchique
Comme nous lavons vu prcdemment, la navigation est une fonction essentielle de
lannuaire. Mais pour retrouver un lment, il est plus commode de classer ce quil contient
dans une hirarchie de thmes. Par exemple, pour retrouver des personnes dans une entreprise,
il est facile de classer celles-ci dans les services auxquels elles appartiennent. Ainsi cet
annuaire permettrait de naviguer dans la liste des socits et filiales de lentreprise, puis dans
la liste des services de lentreprise, comme le service commercial ou financier
Le schma suivant illustre une organisation hirarchique des donnes relatives aux employs
dune entreprise :

Entreprise Martin
Entreprise Martin
Tl-Systmes
Tl-Systmes

Service
Service
Informatique
Informatique

M. Daurard
M. Daurard

M. Bertrand
M.
Bertrand

Service
Service
Financier
Financier

M. Grard
M. Grard

Service
Service
Commercial
Commercial

Mme Jean
Mme Jean

M. Antoine
M. Antoine

Figure 1.7

Exemple dorganisation hirarchique des donnes

Ce nest pas le cas des bases de donnes relationnelles, dans lesquelles les donnes sont lies
entre elles par des index. Par exemple, si une personne appartient un service particulier, on
trouvera dans un des attributs dcrivant la personne un index sur lenregistrement dcrivant le
service.

Gnralits sur les annuaires

CHAPITRE 1

Le schma suivant reprend le mme exemple que le prcdent, mais avec une base de donnes
relationnelles :
Figure 1.8

Table des personnes

Exemple dorganisation
relationnelle
des donnes

Table des services

M. ANTOINE

Service
Informatique

M.
BERTRAND

Service
Financier

M.
DAURARD

Service
commercial

M.
GERARD

Mme JEAN

Les schmas de la Figure 1.7 et de la Figure 1.8 reprsentent exactement la mme chose. Mais
on constate que le premier est plus proche du modle conceptuel, cest--dire de la vue que lon
souhaite donner aux utilisateurs de lannuaire. En revanche, le deuxime ncessite une application qui exige de reproduire une vue hirarchique des donnes partir dune organisation relationnelle. Ceci est bien sr possible, mais plus complexe raliser que dans le premier cas.

Les annuaires offrent un espace de noms homognes

Cette particularit des annuaires est une des plus importantes. Afin de localiser rapidement un
lment dcrit dans un annuaire, il est important de pouvoir nommer cet lment de faon homogne, quelle que soit sa nature. Ainsi, nommer une entre de lannuaire dsignant une personne,
un groupe de personne, ou une imprimante, doit pouvoir s'effectuer de la mme manire.
Par opposition, analysons la faon de nommer un enregistrement dans une base de donnes :
cest au concepteur de la base de dfinir les index qui seront utiliss pour accder de faon non
quivoque aux enregistrements. Mais entre deux tables, lune dcrivant des personnes et
lautre des applications par exemple, rien noblige ce concepteur utiliser le mme type
dindex. Rsultat : il ne sera pas possible de localiser indiffremment une application ou une
personne. Il faudra dans ce cas, construire deux outils diffrents pour interroger la base et en
extraire les donnes.
Un bon exemple despace de noms homognes est celui utilis par Internet : les URL
(Universal Resource Locator). Une URL permet aussi bien dadresser un site Web quun
fichier. Par exemple, pour adresser le site Web de la socit Durand & Co, il faut utiliser
lURL : [Link] et pour adresser le document [Link], il faut utiliser
lURL : [Link] Rsultat : pour accder un site Web ou un
fichier, vous utilisez toujours votre navigateur ou vous tapez lURL recherche dans la zone
ddie cet effet. Malheureusement, il nexiste pas dannuaire universel contenant toutes les
URL du monde !

15

16

Les annuaires et leurs applications

PARTIE 1

Les annuaires doivent pouvoir grer les habilitations sur les donnes
de lannuaire lui-mme
Comme nous lavons vu plus haut, les annuaires servent localiser des ressources, par exemple
connatre ladresse postale ou ladresse de messagerie dune personne, et peuvent tre personnalisables afin de nafficher que les informations autorises la personne qui effectue la recherche.
Ainsi, dans le cas dun annuaire dentreprise, une personne anonyme naura pas accs aux coordonnes des personnes en liste rouge, mais un administrateur ou un gestionnaire de la direction
des ressources humaines pourra y accder. Un annuaire doit donc permettre de dfinir des habilitations diffrentes sur les donnes en fonction du profil des utilisateurs.
Afin de bien illustrer la diffrence entre un annuaire et une base de donnes relationnelles dans
le cadre de cette gestion des habilitations, nous allons essayer de raliser le contrle daccs
sur des donnes avec une base de donnes MS-Access, logiciel de base de donnes personnelles de Microsoft.
Nous allons donc effectuer les tapes suivantes :
1. Crer une table de personnes dans laquelle chaque personne est caractrise par un nom,
un prnom, un numro de tlphone, une adresse de messagerie et une adresse postale.
Le schma suivant montre la structure d'une table de personnes cre avec MS-Access :

Figure 1.9

Table de personnes sous MS-Access

Gnralits sur les annuaires

CHAPITRE 1

2. Nous allons ensuite entrer trois enregistrements dans cette table : par exemple Marc
DURAND, Jean DUFFY, et Elsa FLORES.
3. Nous crerons ensuite un groupe Utilisateurs , un groupe Gestionnaires et un
groupe Administrateurs laide du choix Gestionnaire des utilisateurs et des groupes,
du menu Scurit.
Puis nous allons essayer de dsigner Marc DURAND comme gestionnaire ayant les droits
de mise jour des donnes, Elsa FLORES comme administrateur ayant les droits de mise
jour des donnes et de la structure de la base, et Jean DUFFY comme utilisateur.
Nous constatons alors la chose suivante : la liste des utilisateurs pour la gestion de la scurit
na rien voir avec la liste des enregistrements dans la table de personnes, comme le montre
la Figure 1.10.
Figure 1.10

Gestion des droits

daccs aux tables
sous MS-Access

En effet, dans MS-Access, la liste des utilisateurs pour le contrle daccs se trouve dans une
table de paramtres compltement diffrente des tables de donnes. Ceci est le cas pour la
plupart des bases de donnes du march. Notons que dans certaines bases de donnes, il est
toujours possible dcrire un script charg de dupliquer la liste des utilisateurs autoriss
accder aux donnes, dans lune des tables de la base, ou rciproquement. Nanmoins, ceci
doit tre fait avec prcaution et avec laccord de ladministrateur de la base de donnes.
Notons aussi que la gestion des habilitations ne sapplique pas quaux personnes : elle peut
sappliquer tout objet gr par un annuaire. Par exemple, si un annuaire contient la liste des
serveurs dimpression dune entreprise et la liste des imprimantes, il doit permettre de dsigner
les habilitations des personnes imprimer sur telle ou telle imprimante, mais aussi de dsigner
quel serveur dimpression pourra tre utilis pour telle ou telle imprimante.
Par ailleurs, si lannuaire contient une liste dapplications et une liste de personnes, il doit
permettre de dsigner quelles donnes chacune de ces applications peut avoir accs. Il sera
ainsi possible de protger laccs aux donnes confidentielles, comme le numro de scurit
sociale ou le numro de tlphone du domicile, laide de lannuaire lui-mme, et ceci ind-

17

18

Les annuaires et leurs applications

PARTIE 1

pendamment de la faon dont lapplication qui y accde a t conue. Alors que dans les bases
de donnes, il faut gnralement effectuer ce contrle daccs dans lapplication elle-mme.
Nous allons illustrer dans la Figure 1.11 un annuaire contenant une liste dapplications, une
liste dimprimantes et une liste de personnes. Les habilitations que nous souhaitons attribuer
sont dsignes par des flches. Les objets, comme les personnes ou les applications, sont
reprsents par des cercles, et les habilitations sont reprsentes par des rectangles.

Entreprise Martin
Entreprise Martin
Tl-Systmes
Tl-Systmes

Applications
Applications

Paie
Paie

Imprimantes
Imprimantes

Messagerie
Messagerie

Couleur
Couleur

Personnes
Personnes

4-Peut mettre jour

Noir et
Noir et
Blanc
Blanc

3-Peut utiliser

2-Ne peut lire que le nom et

l'adresse de messagerie

Directeur
Directeur
gnral
gnral
Gestionnaire
duGestionnaires
personnel
du personnel

Employ
Employ

1-Peut tout lire

Figure 1.11

Exemple dattribution dhabilitations avec un annuaire

Dans cet exemple, les habilitations attribues sont les suivantes :

1. Lapplication de paie peut avoir accs en lecture toutes les informations sur les personnes, y compris sur celles concernant le directeur gnral et le gestionnaire du personnel.
2. Lapplication de messagerie na accs quaux donnes suivantes : le nom et ladresse de
messagerie.
3. Seul le gestionnaire du personnel peut utiliser limprimante couleur.
4. Seul le gestionnaire du personnel peut mettre jour toutes les donnes sur les personnes.
La gestion des habilitations peut tre trs fastidieuse si le nombre de ressources est important
et lorganisation de lentreprise complexe. Le rle des annuaires consiste offrir un outil
permettant de grer les habilitations en standard, et de faon intgre dans le moteur de stockage
des donnes, afin dviter la direction informatique davoir raliser une application spcifique

Gnralits sur les annuaires

CHAPITRE 1

cet effet. De plus, cela garantit un meilleur niveau de scurit et permet de partager ces habilitations plus facilement.

Les annuaires sappuient sur des bases de donnes

Notons enfin quun logiciel offrant les services dannuaire que nous avons cits plus haut,
peut sappuyer sur une base de donnes. En effet, LDAP nest quune interface daccs aux
annuaires. Ces derniers peuvent tre soit des bases de donnes relationnelles comme Oracle,
soit des produits ddis certaines fonctions comme des progiciels de commerce lectronique
(SiteServer de Microsoft) ou de groupware (Lotus Domino) mais offrant un accs leur
annuaire travers ce type dinterface.
Signalons aussi que certains produits sont ddis aux annuaires, cest--dire quils ne sont pas
issus dun autre produit et ont t spcialement conus pour rpondre au mieux aux besoins
dun annuaire.
A titre dexemple, nous pouvons citer les produits suivants :
Annuaire

Base de donnes

Produit annuaire ddi ?

iPlanet Directory Server

de lAlliance
Sun/Netscape

Le logiciel iPlanet Directory Server sappuie

sur une base de donnes issue dun systme de gestion de fichiers squentiel/
index.

Ce logiciel est un produit ddi

lannuaire. Il a t spcialement conu par
Netscape afin dtre optimis pour une
organisation hirarchique des donnes.

Novell Directory Server

(NDS)

NDS peut sappuyer sur une base de donnes ORACLE pour sauvegarder et grer
toutes les informations se trouvant dans
lannuaire.

NDS est issu de Novell Netware, mais il

est commercialis indpendamment et
fonctionne de faon autonome.

Service LDAP
de SiteServer
de Microsoft

SiteServer offre un service dannuaire conforme au standard LDAP. Celui-ci sappuie

sur une base de donnes MS-Access ou sur
une base de donnes SQL Server.

SiteServer nest pas un annuaire, cest

un progiciel de commerce lectronique
et de groupware. Il offre une interface
LDAP sa base de donnes.

Oracle 8i

La base de donnes Oracle 8i offre en standard une interface LDAP permettant daccder aux tables travers cette interface.

Oracle est une base de donnes relationnelles, qui nest pas ddie aux
annuaires.

IBM SercureWay
Directory

SecureWay Directory est lannuaire LDAP

dIBM.

SercureWay sappuie sur la base de

donnes DB2 dIBM. Cette dernire est
installe automatiquement lorsquon installe le produit.

Un annuaire est donc une application sappuyant sur une base de donnes pour y stocker des
informations. Cest aussi un ensemble de services spcifiques rpondant aux besoins de localisation de ressources, de navigation et de recherche, de gestion des habilitations et dinteroprabilit, que nous avons dcrits prcdemment.
Quels sont les liens entre les applications, les bases de donnes et les interfaces LDAP ?
La Figure 1.12 donne une vue densemble des diffrents niveaux dun systme comprenant
des applications, un service dannuaire et une base de donnes :
1. Les applications font appel aux services dannuaires travers une interface normalise
qui nest autre que linterface LDAP.

19

20

Les annuaires et leurs applications

PARTIE 1
Figure 1.12

Bases de donnes,
annuaires et
applications

Forums

Intranet

Messagerie
Forums
de
discussion
Carnet dadresses
Liste de diffusion

Extranet
Internet
Commerce
lectronique

Extranet

Interface LDAP
Services d'annuaires
Recherche et navigation,
localisation, gestion des habilitations

3
Base de donnes

2. Ces services sont offerts par un composant spcifique qui peut sappuyer sur une base de
donnes pour sauvegarder les donnes, mais qui offre en plus les fonctions de recherche,
de localisation et de gestion des habilitations.
3. Cette base peut tre une base de donnes classique comme Oracle ou MS-Access, mais
peut aussi tre une base de donnes spcifique optimise pour les fonctions dun annuaire,
comme cest le cas pour le serveur dannuaire de lAlliance Sun/Netscape : iPlanet Directory Server. Cette base peut tre optimise en lecture afin de privilgier celle-ci en temps
daccs par rapport lcriture, caractristique requise par un annuaire. Elle peut aussi
tre optimise en lecture, recherche et criture pour une organisation hirarchique des
donnes.

Enjeux et faisabilit de la fdration des annuaires

Les annuaires dans lentreprise
Savez-vous combien de fois chacun de nous est rfrenc dans le systme dinformation de son
entreprise ? Faites le compte :
1. Lorsque vous tes embauch par votre employeur, vous tes avant tout rfrenc dans le
systme de paie.
2. Puis, on vous attribue un bureau : le service de logistique doit donc conserver quelque
part la liste des bureaux et la liste des personnes qui sy trouvent. Vous allez me dire que
cette liste nexiste peut-tre mme pas ! Bon, supposons quelle est dans la tte de quelques personnes
3. Ensuite on vous attribue un numro de tlphone : si vous faites partie dune grande
socit, vous tes certainement rfrenc dans le commutateur tlphonique de votre
entreprise.

Gnralits sur les annuaires

CHAPITRE 1

4. On vous attribue ensuite un ordinateur, avec un compte sur le rseau local afin que vous
puissiez accder des dossiers et des imprimantes partages. Vous tes alors rfrenc
dans le serveur bureautique et on vous a attribu un compte et un mot de passe.
5. Puis, on vous donne une adresse de messagerie lectronique qui vous est propre. Vous
tes nouveau rfrenc dans le serveur de messagerie.
6. Ensuite, afin que vous puissiez connatre vos collaborateurs et leurs fonctions, votre
entreprise a ralis un annuaire accessible sur lintranet, dans lequel vous tes aussi rfrenc.
7. Et pour ceux qui ont la chance davoir un systme denvoi de fax partir du micro-ordinateur, il sera aussi ncessaire de les dclarer dans le serveur de fax afin quil ait une page
de garde personnalise.
8. Noublions pas le systme de badge, qui ncessite lui aussi de vous rfrencer dans une
base, ainsi que la liste des sites de votre entreprise auxquels vous avez accs.
Cette liste est loin dtre exhaustive : en effet, il faut aussi y ajouter toutes les bases de
donnes propres aux applications. Par exemple, si vous avez accs des tableaux de bords
partir de votre micro-ordinateur ou encore des applications de groupware, vous tes certainement rfrenc dans des bases propres chacune de ces applications, et vous possdez
probablement autant de noms de compte et de mots de passe que dapplications !
La multitude des annuaires dans lentreprise nest pas une exception, dautant plus que chaque
nouvelle application dploye apporte son propre annuaire. En effet, ds quil est ncessaire
de rserver laccs cette application aux seules personnes autorises, les concepteurs de
lapplication crent une base dutilisateurs et dhabilitations qui lui est propre, ou alors
sappuient sur celle qui est intgre dans le progiciel utilis. Cest le cas par exemple des
applications ralises avec Lotus Notes ou Microsoft Exchange.
Mais tous ces annuaires ne sont ni compatibles entre eux ni synchroniss. Ainsi, pour tout
nouvel utilisateur ayant les droits daccs plusieurs applications de lentreprise, il est
souvent ncessaire dentrer plusieurs fois ses caractristiques dans les diffrents annuaires. De
mme, si lune de ces caractristiques change, il sera ncessaire de la modifier autant de fois
quil existe dannuaires. Toute nouvelle application ne fait quaugmenter le nombre
dannuaires et donc le nombre de modifications effectuer.
Plusieurs tudes de cabinets de conseil comme Forrester Research ou le Gartner Group, identifient plus de cent annuaires dans les grandes entreprises. Les tches dadministration, de mise
jour et de synchronisation de lensemble de ces annuaires constituent un poste de cot qui nest
pas ngligeable pour les entreprises. Quant aux petites entreprises, il est difficilement envisageable de raliser des outils de synchronisation pour chaque nouvel annuaire mis en place ; le cot
de cette ralisation pouvant se rvler plus lev que le cot de la mise en place de lannuaire
lui-mme. De plus, ces entreprises ne disposent pas toujours des quipes informatiques ncessaires lexploitation et ladministration de ces outils.
Bien entendu, un annuaire unique et centralis apporterait des avantages indniables : rduction du temps dadministration, meilleure qualit des informations, pas de redondances
Mais est-il rellement avantageux de modifier pour cela toutes les applications actuelles ?
Quels en seraient alors les gains pour lentreprise ? Quels sont les enjeux dun annuaire fdr ?
Cest ce que nous dcrirons dans la suite de ce chapitre.

21

22

Les annuaires et leurs applications

PARTIE 1

Employs/Clients

Formulaires

Administrateurs

Dpartements et
systmes
d'information

Messagerie

Ressources
humaines

Logistique

Jours/Semaines
Figure 1.13

Processus de mise jour des diffrents annuaires dentreprise

Ce que cote la multiplicit des annuaires

Dans un premier temps nous allons nous pencher sur les cots quantifiables. Pour cela,
prenons un exemple concret : celui dune entreprise de 10 000 personnes qui possde une
dizaine dannuaires maintenir, contenant des informations sur ses employs.
Nous allons supposer que chaque arrive dune personne dans lentreprise engendre un
mouvement (le rajout) dans les diffrents annuaires, et que chaque dpart entrane aussi un
mouvement (la suppression) par annuaire. Supposons ensuite que chaque mutation interne
provoque deux mouvements, lun pour la suppression du service auquel appartient la
personne, et lautre pour le rajout dans le nouveau service.
Imaginons que le taux de rotation interne du personnel est de 5%, que le taux de dpart est de
5% et que le taux darrive est aussi de 5%, puis que chaque mouvement prend en moyenne
10 minutes (voir figure 1.14).
Dans ce calcul, nous navons pas encore inclus les modifications quil faut effectuer pour les
autres personnes, comme le changement dun mot de passe en cas de perte du mot de passe
par un utilisateur, ou encore le rajout et le changement dun numro de tlphone mobile dans
lannuaire.
Ainsi, en supposant que toutes ces modifications sont effectues par les diffrents responsables des systmes dinformation concerns, le cot dadministration des annuaires dune
entreprise de 10 000 personnes slve au moins 2 annes/homme.

Gnralits sur les annuaires

CHAPITRE 1
Figure 1.14

Rsum des hypothses

de cots dans le cas
du personnel

Cot de gestion des annuaires dentreprise

Nombre de personnes

10 000

Nombre dannuaires

10

Nombre de mouvements par arrive

Nombre de mouvements par dpart

Nombre de mouvements par mutation interne

Pourcentage de dparts par an

5%

Pourcentage darrives par an

5%

Pourcentage de mutations internes par an

5%

Temps moyen dun mouvement

10 minutes

Total en heures/homme

3 333 heures

Total en mois/homme

20 mois

Total en anne/homme

Si maintenant nous rduisons le nombre dannuaires un, ce cot revient 2 mois/homme. En

supposant que le salaire charg dun administrateur est de 30 000 FF par mois, cela reprsente
une conomie de plus de 500 000 FF par an.
Imaginons maintenant que lentreprise possde un extranet, afin doffrir ses clients des
services valeur ajoute en ligne. Par exemple, une entreprise de tlcommunication proposant des services de tlphonie mobile peut mettre disposition de ses clients des outils leur
permettant, laide dInternet, de consulter eux-mmes leurs factures et de modifier des paramtres dabonnement. Elle devra pour cela donner chaque client un nom de compte et un
mot de passe pour pouvoir accder lextranet. Si elle na pas mis en place un annuaire
unique, elle devra en fait donner deux noms de compte et deux mots de passe dans lexemple
en question : lun pour la consultation des factures et lautre pour la modification des paramtres
dabonnement.
Il est facile alors de calculer ce que cote au service client de cette entreprise la gestion des
comptes et des mots de passe, de la mme faon que nous lavons fait prcdemment
(voir figure 1.15).
Si nous rduisons le nombre dannuaires un, ce cot revient environ 5 mois/homme au lieu
de 54 mois/homme. En supposant que le salaire charg dun administrateur est de 30 000 FF par
mois, cela reprsente une conomie de plus de 1 500 000 FF par an.
On constate ici que limpact est relativement plus important, notamment pour les entreprises
de grande envergure ou pour les PME/PMI, ayant beaucoup de clients et tant en forte croissance, cest--dire ayant un pourcentage lev de nouveaux clients. Les cots de gestion de la
relation clients peuvent tre optimiss en rduisant le nombre dannuaires ou en rduisant le
nombre de comptes et de mots de passe, tout en automatisant la mise jour des diffrents
annuaires.
Mais la multiplicit des annuaires ne fait pas quaccrotre les cots dadministration, elle a
aussi un impact sur la qualit des informations qui sy trouvent. En effet, ils peuvent contenir
des informations redondantes (comme le nom et le prnom, voire la fonction dune personne

23

24

Les annuaires et leurs applications

PARTIE 1
Figure 1.15

Rsum des hypothses

de cots dans le cas
des clients

Cot de gestion des annuaires clients

Nombre de clients

10 000

Nombre dannuaires

10

Nombre de mouvements par nouveau client

Nombre de mouvements par rsiliation

Nombre de mouvements par changement du profil dun client

Pourcentage de nouveaux clients

20%

Pourcentage de rsiliations de contrat

5%

Pourcentage de changements de profil

10%

Temps moyen dun mouvement

10 minutes

Total en heures/homme

9 167 heures

Total en mois/homme

54 mois

Total en anne/homme

par exemple), et labsence de leur synchronisation peut induire en erreur et avoir un impact sur
la qualit des services offerts par une entreprise ses clients. En effet, une entreprise, quelle
que soit sa taille, qui souhaite donner accs travers un extranet des services en ligne
comme la consultation de factures ou la commande, doit sassurer de la cohrence des informations concernant le profil des clients mme si celles-ci sont gres par diffrents systmes
dinformation.
Dautre part, la multiplicit des annuaires est un maillon faible dans le dispositif de scurit
du systme dinformation de lentreprise. En effet, lors du dpart dune personne ou dun
changement de service, ou encore lors de la fermeture de laccs lextranet pour un client, il
est fastidieux de supprimer toute rfrence cet utilisateur dans les systmes auxquels il na
plus accs. De plus, lutilisateur doit parfois rester rfrenc dans les bases de donnes des
fins de statistiques ou dhistoriques.
Plusieurs entreprises mettent en place des extranets pour grer la relation avec leurs fournisseurs, et pour cela, leur donnent accs une partie de leur systme dinformation, afin quils
consultent par exemple ltat du stock ou quils rpondent des appels doffres. Or si la
personne ayant accs ces services, nest pas supprime aprs son dpart, les habilitations
auxquelles elle avait droit ne le seront pas non plus !
Les consquences sont dautant plus critiques dans le cas dun intranet accessible de lextrieur de lentreprise travers le rseau tlphonique commut ou encore dans le cas dapplications destines aux clients, partenaires et fournisseurs, accessibles par Internet !

Ce que peut apporter la fdration des annuaires

Comme nous lavons vu plus haut, la fdration des annuaires permet de rduire les cots
dadministration des systmes dinformation concerns, et les cots du service de relation
clients. De plus, elle permet damliorer la qualit des donnes concernant les personnes et les
ressources en minimisant les redondances.

Gnralits sur les annuaires

CHAPITRE 1

Elle permet aussi damliorer la scurit daccs aux systmes dinformation de lentreprise,
et ceci, aussi bien pour les employs que pour les clients, partenaires et fournisseurs. En effet,
pour supprimer les droits daccs dun utilisateur un ensemble de services, il suffit de le faire
en un seul endroit : dans lannuaire fdr. La consquence directe pour lutilisateur est un
confort supplmentaire pour laccs aux services travers une identification unique.
Notons aussi quelle permet de centraliser ladministration des utilisateurs et des ressources
de lentreprise. Ainsi, si nous prenons le cas de lannuaire Active Directory de Microsoft,
intgr dans Windows 2000, un seul administrateur peut aussi bien grer les utilisateurs de
Windows 2000 pour le partage des fichiers et des imprimantes, que ceux de la messagerie
lectronique MS-Exchange et ceux des applications ralises avec SiteServer, outil de gestion
des connaissances et de commerce lectronique. De plus, toute application dveloppe de
faon spcifique pour des besoins propres lentreprise, pourra partager cet annuaire et les
outils de gestion associs. Il suffira pour cela de faire appel aux services offerts par celui-ci et
daccder aux donnes qui sy trouvent laide de linterface de programmation ADSI (Active
Directory Service Interfaces) propre Microsoft.
Et enfin, elle permet dassurer une plus grande ouverture du rfrentiel des utilisateurs
travers une interface unique daccs lannuaire, base sur un standard comme LDAP. Ceci
favorise linteroprabilit entre annuaires, ainsi quavec dautres applications et contribue
amliorer la ractivit de lentreprise et son aptitude sadapter rapidement toute nouvelle
demande de la part des ses clients. Nous verrons plus loin comment les annuaires bass sur la
technologie LDAP permettent notamment de dlguer la gestion des profils des utilisateurs
tout en assurant une cohrence des donnes et une administration centralise. Cette dlgation
est le levier de la ractivit de lentreprise, car elle permet toute entit ou tout service
daccder plus dautonomie dans la gestion de ses ressources, tout en restant compatible
avec un cadre global dentreprise.

Ce que cote la mise en uvre dannuaires fdrs

Mettre en place un annuaire dentreprise, qui fdre les donnes concernant les personnes et
les ressources, nest pas une tche immdiate. Comme nous le verrons plus tard dans ce livre,
plusieurs points doivent tre pris en compte, allant dune smantique commune des informations une infrastructure commune.
En effet, la premire tape consiste mettre daccord les diffrents services de lentreprise sur
la signification des attributs partager. Par exemple, sil faut partager le titre et la fonction de
la personne dans le cas dun annuaire des employs, il est ncessaire davoir la mme nomenclature pour toutes les filiales de lentreprise.
Puis, il faut dfinir un modle de donnes qui convienne tous, et des services de gestion de
lannuaire adapts lorganisation de lentreprise.
Il faut ensuite raliser les applications de gestion de lannuaire, et mettre en place linfrastructure adquate comprenant la plate-forme matrielle et les logiciels, et donner accs
lannuaire toutes les personnes concernes.
Daprs le Burton Group, cabinet de conseil spcialis dans les technologies rseau et les
systmes dinformation rpartis (Network Computing), la mise en place dun annuaire
dentreprise, pour une socit faisant partie des 1 000 plus grandes compagnies, se situe entre
1 million et 2 millions de dollars, ce qui correspond donc 6 12 millions de francs. Bien
entendu, cela dpend du nombre dannuaires fdrer, du nombre de sources prendre en

25

26

Les annuaires et leurs applications

PARTIE 1

compte, du nombre dutilisateurs et du nombre dapplications concernes. Notons que le

nombre moyen dannuaires dans les 1 000 plus grands comptes est valu environ 150 !
Notons que la majeure partie de ces cots concerne lintgration et ladaptation des applications existantes. En effet, leur impact nest pas ngligeable, dautant plus que les technologies
nouvelles sur lesquelles reposent les annuaires comme LDAP, Java ou ADSI, ne sont pas
toujours supportes par les environnements associs ces applications. Ces cots peuvent
donc tre rduits si lannuaire dentreprise est mis en place dans le cas de la refonte du
systme dinformation de lentreprise ou de la mise en place de nouvelles applications.
Quant aux entreprises de taille moyenne ou de petite taille, lordre de grandeur nest pas du
tout le mme. En gnral, il est prfrable de migrer vers de nouveaux outils plutt que de
mettre en place des services de synchronisation entre les diffrents annuaires. Par exemple, la
migration dun parc de micro-ordinateurs et de serveurs de Windows NT vers Windows 2000,
apportera automatiquement les bnfices dun annuaire unique bas sur Active Directory de
Windows 2000.

Quel retour sur investissement ?

Un annuaire dentreprise offre-t-il un retour sur investissement suffisant pour convaincre une
direction gnrale de sa mise en uvre ? Quels sont les avantages qualitatifs complmentaires
quil faut mettre en avant ?
Reprenons lexemple cit prcdemment : une entreprise de 25 000 personnes ayant une
dizaine dannuaires fdrer. En ramenant le nombre dannuaire de 10 1, lentreprise conomiserait 45 mois/homme correspondant aux cots dadministration des annuaires. En supposant que le salaire charg mensuel de ladministrateur correspond 30 000 FF, lconomie
slve environ 1 330 000 FF par an.
Nous allons valuer grossirement les cots de mise en uvre de cet annuaire dentreprise. Pour
cela, nous allons identifier les principales tches raliser ainsi que les principaux composants
techniques de la solution.
Figure 1.16

Exemple de cot
de mise en uvre
dun annuaire

Cot de mise en uvre dun annuaire

Spcification et conception de lannuaire

200 000 FF

Ralisation et dploiement

500 000 FF

Licences requises (serveurs LDAP)

750 000 FF

Plates-formes

150 000 FF

Total

1 600 000 FF

Ainsi, le retour sur investissement est ralis ds la deuxime anne. Rappelons que nous
avons pris des hypothses minimalistes lors de lvaluation des cots dadministration, et que
viennent se rajouter ces gains quantitatifs les apports qualitatifs qui, long terme, prvalent
largement. En effet, la qualit des donnes, la scurit apporte par lannuaire fdr et la
dlgation de ladministration aux diffrentes entits de lentreprise, voire aux clients, pour un
extranet, apportent des avantages indniables et contribuent aussi la matrise des dpenses et
des cots, ainsi qu la ractivit de lentreprise et la qualit des services rendus ses clients.

Gnralits sur les annuaires

CHAPITRE 1

Pourquoi un standard comme LDAP ?

Nous pouvons rsumer tous les services que doit offrir un annuaire de la faon suivante :
Un annuaire doit permettre de stocker des donnes.
Un annuaire doit offrir un classement et une vue hirarchique des donnes.
Un annuaire doit permettre de rechercher des donnes et de naviguer dans celles-ci.
Un annuaire est utilis plus frquemment en lecture quen criture.
Un annuaire doit pouvoir tre sollicit distance laide dune interface standard et performante.
Un annuaire doit pouvoir communiquer avec un autre annuaire.
Un annuaire doit pouvoir grer des habilitations sur les donnes quil contient.
Un annuaire doit offrir une structure flexible et volutive.
Notons que le terme annuaire pour un outil offrant toutes ces fonctions peut sembler
restrictif. En effet, celui-ci ne rfrence pas uniquement les personnes de lentreprise, mais
aussi tout type de ressource, comme les applications ou les machines, ainsi que des droits
daccs et des habilitations. Il a de plus un rle oprationnel et central dans un systme
dinformation dentreprise, et peut altrer son fonctionnement sil tombe en panne. Cest
pourtant le terme utilis ce jour aussi bien par la presse que par les diteurs de solutions du
march.
Certains de ces points ncessitent de dfinir une interface, faisant partie dune norme ou dun
standard adopt par tous, travers laquelle les services de lannuaire seront accessibles.
Point

Ncessite un standard

Un annuaire doit permettre de stocker des donnes

Non

Un annuaire doit offrir un classement et une vue hirarchique des donnes

Oui, car il est ncessaire de dfinir ce quest un classement hirarchique, et doffrir un mcanisme souple permettant chacun de dfinir le classement qui convient
ses besoins

Un annuaire doit permettre de rechercher des donnes

et de naviguer dans celles-ci

Oui, car il est ncessaire de dfinir un langage dinterrogation pour effectuer les recherches et lire le rsultat

Un annuaire est utilis plus frquemment en lecture

quen criture

Non

Un annuaire doit pouvoir tre sollicit distance laide

dune interface standard et performante

Oui, car il faut dfinir le protocole rseau de communication et le protocole applicatif pour accder aux services
de lannuaire

Un annuaire doit pouvoir communiquer avec un autre

annuaire

Oui, car il est ncessaire de dfinir un format dchange

entre annuaires

Un annuaire doit pouvoir grer des habilitations sur les

donnes quil contient

Oui, car il est ncessaire de dfinir la faon dont les habilitations sont dcrites

Tous ces points ont suscit lmergence dun standard. Ce standard est le protocole LDAP
(Lightweight Directory Access Protocol), n des technologies Internet et X500, et normalis
par lIETF (Internet Engineering Task Force) au mme titre que les autres standards Internet

27

28

Les annuaires et leurs applications

PARTIE 1

comme SMTP (Simple Mail Transfer Protocol) pour la messagerie, HTTP (HyperText
Transfer Protocol) pour le Web
Notons que le standard LDAP ne concerne que linterface avec un annuaire. En effet, les
besoins exprims ci-dessus ne concernent que la faon dinterroger et dchanger des informations avec celui-ci ; peu importe la faon dont il fonctionne et gre les donnes. Ceci
sapplique aussi aux autres standards Internet, comme la messagerie SMTP ou les forums de
discussion NNTP.
Prenons lexemple de la messagerie : on trouve des produits bass sur des technologies
compltement diffrentes et propritaires, comme MS-Exchange de Microsoft ou Lotus Notes
dIBM, mais qui offrent une interface commune dinterrogation et dchange de messages qui
est SMTP. Ainsi, une messagerie comme MS-Exchange peut communiquer avec une messagerie comme Lotus Notes, comme le montre la Figure 1.17.
Figure 1.17

Exemple dinterface
SMTP entre deux
messageries
propritaires

S
M
T
P

Messagerie
MS-Exchange

change de messages

S
M
T
P

Messagerie Lotus
Notes

De mme LDAP ne normalise que linterface de communication avec un annuaire, peu

importe la faon dont celui-ci fonctionne. Cet annuaire peut donc aussi bien tre bas sur un
moteur de base de donnes relationnelles que sur une messagerie lectronique ou un annuaire
de type X500.
La Figure 1.18 montre quelques exemples de solutions pouvant avoir une interface LDAP, et
illustre le rle de celle-ci, qui consiste dune part communiquer avec des applications
clientes et dautre part assurer linteroprabilit des annuaires.

Gnralits sur les annuaires

CHAPITRE 1

Interface LDAP

Base de donnes
relationnelles

Interface LDAP

Interface LDAP

Serveur de
messagerie

Annuaire X500

Figure 1.18

Les diffrents types dannuaires LDAP

Mais le plus important savoir, cest que ce standard a dores et dj t adopt par tous les
diteurs du march, comme Netscape qui est son origine, Microsoft, Sun, IBM, Oracle,
Novell, HP, Siemens, Broadvision, Banyan Il fait dj partie intgrante des versions
commercialises ce jour et il va tre amen jouer un rle majeur dans les systmes dinformation des entreprises au fur et mesure du dploiement de ces versions.

29