Groove 2007, le collaboratif sécurisé et inter-entreprises selon Microsoft

 La création dynamique d’espaces de travail.
 La clé de voûte de Groove est l’espace de travail. Un espace de travail est une zone cloisonnée, au sein de laquelle sont invités un ou plusieurs membres afin de collaborer sur un sujet commun : gérer un projet, partager des ressources, faciliter les échanges entre deux partenaires, etc. Le contenu de l’espace de travail est adapté en fonction de l’objectif à atteindre par la mise en place des outils nécessaires.

Il est à noter que seules les personnes explicitement invitées dans l’espace de travail sont en mesure de consulter les données. Différents outils sont fournis en standard, certains formels tels que le partage de fichiers ou la création de formulaires, … d’autres plus informels tels que la discussion, le « notepad » ou le « sketchpad », … Les personnes autorisées (dont le créateur à minima) peuvent donc choisir les outils nécessaires, les positionner, les renommer.

Tout moment du cycle de vie de l’espace, l’ajout ou la suppression d’outils reste possibles. Groove dispose également d’outils dédiés à la communication : messagerie instantanée sécurisée, chat, … Enfin, un système d’alertes (« Push ») permet de bénéficier de notifications lorsqu’un contenu a été ajouté ou modifié par l’un des membres d’un espace. Le niveau d’alerte est adaptable librement par chaque utilisateur à l’échelle d’un espace ou d’un outil.

Un des avantages clé de la plate-forme réside dans le fait que la création des espaces est à l’initiative de chaque utilisateur, en fonction de ses besoins. Ce dernier dispose ainsi d’une forte autonomie d’action, tout en sachant que l’architecture Groove dispose de mécanismes permettant aux administrateurs de définir de manière centralisée un cadre global au sein duquel les utilisateurs peuvent évoluer : Une bonne méthode donc pour concilier une autonomie locale avec une gestion centralisée des usages.

 Un fonctionnement indifférent en mode connecté ou déconnecté
 Une des forces de Groove est qu’il offre aux utilisa- teurs un fonctionnement similaire en mode connecté ou déconnecté. Groove s’appuie en effet sur une architecture distribuée : les espaces de travail ne sont pas stockés de manière centralisée mais présents sur les postes de chacun des mem bres. Cette approche permet donc de disposer de l’ensemble des informations utiles en mode déconnecté ou en situation de mobilité : transports, clientèle, …etc.

Dès qu’une modification est effectuée par l’un des mem bres, elle est automatiquement synchronisée avec les autres membres. Si le membre n’est pas connecté, les données à synchroniser (« deltas de données ») sont mises en file d’attente. Dès qu’une connexion devient disponible – réseau d’entreprise, ligne ADSL, point d’accès WiFi ou 3G, … – les données sont transmises, et ce, sans la moindre action de l’utilisateur.

. Une sécurité permanente
Groove met à disposition un système de sécurité poussé et toujours actif (« Always-On Security »), même pour un usage en mode déconnecté. Les utilisateurs sont identifiés par des certificats numériques, les données sont cryptées en local mais également durant les transmissions sur le réseau. L’accès aux données des espaces de travail se fait uniquement au travers de l’interface Groove, son accès étant conditionné à minima par la saisie d’un identifiant / mot de passe ou éventuellement par usage d’une « SmartCard ».

. L’absence de frontières
 L’architecture de Groove permet d’inviter au sein des espaces de travail des personnes présentes dans l’entreprise mais également issues d’organisations extérieures (bien sûr, pour peu que cela ait été autorisé par les règles d’usages Société). L’architecture prend en charge la synchronisation des données au travers des proxys ou pare-feux et gère également les indicateurs de présence.

Le statut « Extranet » ou « Intranet » se décide à l’échelle de chaque espace, simplement en fonction des personnes qui y sont invitées. Ce statut peut évidemment évoluer à tout moment durant le cycle de vie de l’espace (Exemple : Invitation d’un client à rejoindre un espace créé par une équipe de l’entreprise pour suivre un projet commun). Les usages L’ensemble de ces caractéristiques permet de définir des cas d’usage typiques :

.  Collaboration intra-entreprise : Intranet global pour une TPE/PME, outil de gestion de projets au sein d’un service
. Collaboration intra-entreprise multi-sites : Intranet étendu, « VPN à la demande »
. Collaboration inter-entreprises : projets entre partenaires, relation client-fournisseur, entreprise étendue, offshore, télétravail, …
. Collaboration au sein d’équipes mobiles : consultants, commerciaux, techniciens sur site, personnels des forces armées ou appartenant à des ONG, … Bien sûr l’acquisition d’une plate-forme Groove permet d’adresser indifféremment l’ensemble des cas cités ci-dessus, voire de les mixer entre eux… le « périmètre » étant là encore défini à l’échelle d’un espace de travail.

Une architecture logicielle originale
Passage de pare-feux, sécurité, fonctionnement en mode déconnecté, autonomie locale, gestion centralisée… Les caractéristiques clés de Groove laissent présager d’une architecture non traditionnelle. Et pour cause, Groove fonctionne sur le modèle du Point à Point Hybride. Explica – tions… Pour un usage professionnel, Groove s’appuie sur 3 composants clés

Le client Groove
Groove est un client lourd, installé sur le poste de chaque utilisateur. Si l’installation peut apparaître comme un inconvénient, Groove offre toutefois l’avantage de disposer d’une ergonomie Windows classique – avec copier/coller, glisser/déposer, etc – propice à une prise en main rapide par les utilisateurs : ces derniers « font du collaboratif » sans s’en rendre compte : A titre d’exemple, il suffit de regarder l’outil de partage de fichiers intégrable dans chaque espace Groove : il ressemble à s’y méprendre à l’explorateur Windows. Lorsque deux utilisateurs situés sur un même réseau local souhaitent collaborer, la synchronisation des données se fait en direct, de personne à personne (P2P), via un protocole appelé SSTP.

Le serveur relais
Lorsque les utilisateurs sont situés sur des réseaux différents, séparés par des pare-feux, ne sont pas connectés de façon simultanée ou disposent de débits différents, un composant serveur prend le relais : le Groove Relay Server. Son rôle est comme son nom l’indique, de servir de relais entre les utilisateurs. Ce serveur stocke donc de façon temporaire les deltas de données cryptés devant être synchronisés entre les membres d’un espace. Le serveur relais permet également de faire transiter les informations de présence. Il est à noter qu’un client Groove et un serveur relais utilisent le protocole SSTP sur port 2492 pour communiquer. Toutefois lorsque les pare-feux bloquent ce protocole/port, Groove est en mesure de s’adapter dynamiquement en encapsulant les trames dans du HTTPS ou du HTTP si nécessaire.

Le serveur de management
Le serveur de management (Groove Manager Server) de son côté permet de gérer les utilisateurs et les usages. Les comptes utilisateurs peuvent être administrés sur le serveur de management au sein d’un « domaine Groove ». Ils sont créés « à la main » ou par synchronisation avec un annuaire LDAP / Active Directory. Un certificat étant attaché à chaque compte utilisateur, le serveur de management joue également le rôle d’Autorité de Certification. A noter qu’il est toutefois possible d’utiliser l’infrastructure de clés de l’entreprise (PKI).

A chaque utilisateur (ou groupe d’utilisateurs) sont attachées des règles d’usages et de sécurité (« identity policy » et « device policy ») permettant de définir le cadre au sein duquel les utilisateurs peuvent évoluer : usage des outils, politique de mot de passe, politique de communication avec des personnes externes à l’organisation, etc. A noter que le serveur de management joue également un rôle de sauvegarde périodique des comptes utilisateurs (« Qui je suis », « Dans quels espaces je travaille », « Quels sont mes contacts Groove »).

Ce dispositif constitue un gage de continuité de service en cas de crash de machine ou du vol, dans la mesure où il est possible de reconstituer l’environnement de travail d’un utilisateur en quelques minutes par simple restauration de son compte utilisateur. Les données quant à elles sont récupérées auprès des autres membres des espaces de travail partagés. Une fois les comptes créés sur le serveur et paramétrés, le déploiement sur les postes clients se fait par l’usage d’une clé (« Configuration Code »). Ce déploiement peut bien sûr être automatisé si le couplage avec l’annuaire Active Directory est activé.

Un déploiement granulaire
 Pour les entreprises, l’architecture Groove est disponible sous 2 formes.

« Groove Enterprise Services »
 Cette approche de type locative (ou SaaS – « Software as a Service ») permet de disposer de serveurs relais et de management hébergés à l’extérieur de l’entreprise. Cette solution est particulièrement adaptée pour les structures de taille modeste, pouvant s’accommoder d’un service « standardisé » et non intégré.

Serveurs Groove
L’entreprise choisit dans ce cas d’acquérir et de déployer les serveurs sur site. Elle a alors toute liberté pour dimensionner et positionner les serveurs relais sur des emplacements adaptés de son infrastructure réseau, et d’intégrer l’Active Direc tory ou l’infrastructure de clés sur le serveur de management. (ce qui n’est pas possible avec les « Groove Enterprise Services »). Elle dispose également d’une économie d’échelle par rapport au mode locatif dès lors que le nombre d’utilisateurs devient important.

La customisation et l’intégration
 Si Groove offre en standard des fonctionnalités très intéressantes, il est également possible d’en étendre les capacités par cus tomisation et intégration. La customisation se fait principalement par la création d’outils de type Formulaires. Deux technologies cohabitent : les « Groo ve Forms » et les « InfoPath Groove Forms ». Les outils formulaires permettent de définir des masques de saisie et de créer des vues filtrées et triées des données saisies par les différents membres d’un espace.

Sans disposer d’un modèle de développement très avancé, les Groove Forms peuvent également être étendus par l’ajout de scripts. Les outils développés de cette manière peuvent être sauvegardés sous forme de modèle pour être réutilisés au sein de multiples espaces. Il en est de même pour les espaces euxmêmes : Un espace peut être sauvegardé et servir de modèles pour la création de nouveaux espaces. Cela constitue un bon moyen de capitaliser sur le savoir et les méthodes de l’entreprise et d’uniformiser les pratiques. L’intégration peut se faire principalement de deux manières.

La première manière consiste à tirer partie de l’outil « Share Point Files » permettant de synchroniser des fichiers entre un espace Groove et un site SharePoint. Une question récurrente concerne justement la concurrence ou la complémentarité de Groove et de SharePoint. S’il est vrai que les deux technologies permettent de répondre à des problématiques de collaboration, et que, d’un point de vue Architecture logique, elles se basent sur des concepts identiques – espaces de travail / (sous-)sites, outils, membres – force est de constater que leurs usages tout comme leurs avantages respectifs diffèrent et se complètent (cf figure 5).

Les cas d’usages commun sont nombreux : extraction de données du SI à destination de membres extérieurs à l’entreprise, archivage de données dans Groove, publication de masse dans SharePoint, etc. La seconde méthode consiste à utiliser l’API Web Services de Groove. Groove met en effet à disposition des développeurs une API assez complète permettant d’interagir avec les données d’un compte Groove : espaces, contacts, outils, données des outils… et ce, dans la majorité des cas autant en lecture qu’en écriture. Il est ainsi aisé de créer de nouveaux espaces à la volée, ou d’extraire des données d’un espace de travail afin de les injecter dans une base de données ou une application Back Office.

Si cette API est utilisable avec tout client Groove, un serveur dédié à l’in té gration est également présent dans la gamme Groove : le Groove Databridge Server. Il offre des capacités de montée en charge plus importantes que le client Groove et dispose de fonctions de paramétrage, notamment pour la définition des droits d’usages (« Qui a le droit d’utiliser le service »).

A noter que le serveur d’intégration fournit également un service de sauvegarde (centralisée) des espaces de travail Groove, permettant d’assurer la pérennité des informations d’un espace, et notamment de prévenir toute perte d’information suite à une erreur humaine : suppression d’un fichier ou suppression d’un espace de travail.

Pour conclure
Groove offre indéniablement une approche originale et performante pour le travail dynamique et sécurisé en équipes mobiles ou distribuées. Ses capacités de gestion centralisée mais également d’intégration avec les autres briques applicatives du SI, con ciliée avec une forte autonomie pour les utilisateurs expliquent l’engouement actuel pour la solution !

Fabrice BARBIN
(fabrice.barbin@hommesetprocess.com –
http://fbarbin.spaces.live.com)
MVP Groove –
MCTS Groove Co-fondateur & Directeur Technologies –
HOMMES & PROCESS Microsoft Gold Certified Partner –
Expert sur les technologies Groove depuis 2001.
http://www.hommesetprocess.com