Le projet concerne une application métier interne utilisée par des médecins-conseils, avec des flux sensibles : questionnaires, bordereaux, pièces jointes et dossiers à forte criticité, y compris sur des volets pénalement sensibles.
Le client disposait d’un SSO maison, historiquement connecté à l’application via des APIs internes. Ce socle fonctionnait mais limitait la standardisation IAM, la gouvernance des accès et la capacité d’évolution du SI.
L’objectif business était de migrer vers Keycloak pour centraliser authentification, identités, rôles et droits, tout en garantissant une transition transparente pour les utilisateurs et une continuité opérationnelle complète.
Le sujet principal n’était pas une panne du système existant mais ses limites structurelles : logique propriétaire difficile à faire évoluer, gouvernance des droits dispersée et traçabilité IAM incomplète pour le run quotidien.
La gestion des rôles et des habilitations reposait sur des mécanismes peu standardisés, ce qui augmentait la charge de maintenance et rendait les audits de sécurité plus complexes.
Dans un environnement manipulant des données métier sensibles, le besoin de standardisation IAM est devenu prioritaire pour réduire le risque opérationnel et sécuriser durablement les accès applicatifs.
Le cadrage a fait émerger des besoins précis : centraliser l’authentification, unifier la gestion des identités et structurer les droits selon des profils métier explicites (utilisateurs, administrateurs, superviseurs).
Le dispositif devait être compatible avec les standards OAuth2/OpenID Connect, intégrer un contrôle d’accès robuste et fournir une base exploitable pour l’observabilité sécurisée.
La migration devait rester invisible côté usage : pas de rupture métier, pas de dégradation des parcours critiques, et une bascule progressive maîtrisée sur quelques semaines.
Le client est un acteur assurance opérant une application interne de gestion de dossiers. Les utilisateurs métiers devaient conserver leurs habitudes de travail pendant la migration SSO, sans changement brutal d’ergonomie ni de processus.
Le périmètre ne se limitait pas à l’écran de login : il couvrait les sessions, les rôles, les contrôles d’accès, les échanges API internes et la cohérence avec les composants du SI métier.
Le projet s’inscrivait dans un écosystème plus large : API REST sur mesure de l’application, interfaçage avec un logiciel interne de type ERP métier, et consommation d’APIs publiques comme FINESS et CCAM.
Le delivery a été mené sur un cycle court de quelques semaines, avec une organisation par lots : audit de l’existant, design cible, implémentation Keycloak, phase de coexistence et bascule finale.
Les ateliers hebdomadaires ont aligné métier, équipe technique et exploitation sur les priorités réelles : continuité de service, sécurité et validation des parcours utilisateurs sensibles.
Cette cadence a permis d’avancer vite sans compromis sur la qualité de run, en conservant une trajectoire claire jusqu’à la mise en production.
L’architecture cible repose sur Keycloak comme référentiel IAM, avec authentification centralisée et contrôle d’accès basé sur rôles. Le modèle d’identité est piloté de façon unifiée pour réduire les écarts entre équipes et environnements.
La couche applicative exploite les standards OAuth2/OIDC pour gérer les tokens, la validité des sessions et les règles d’autorisation de manière plus robuste qu’un mécanisme propriétaire non standard.
Le socle est aligné avec l’univers d’expertise Dawap : Intégration API, Authentification et sécurité, Intégrateur Keycloak.
Le dispositif maintient la cohérence des accès avec le logiciel interne de type ERP métier, afin d’aligner identité, droits et opérations applicatives dans la chaîne de traitement.
Voir les intégrations API ERPL’application expose et consomme des APIs REST sur mesure pour orchestrer les parcours métier, propager les contextes d’authentification et fiabiliser les contrôles d’accès entre modules.
Voir la création d’API sur mesureLes référentiels publics consommés par l’application (dont FINESS et CCAM) restent intégrés au SI après migration SSO, avec des flux sécurisés et une gouvernance d’accès clarifiée.
Voir les intégrations APIs publiquesUne couche d’adaptation dédiée a permis de gérer la coexistence transitoire entre SSO maison et Keycloak sans bloquer l’exploitation courante.
Voir la création d’API sur mesureKeycloak centralise les identités, rôles et sessions, tout en apportant un cadre IAM standardisé et maintenable pour les évolutions futures.
Voir l’intégration KeycloakLe design a été documenté avec des diagrammes de séquence et de flux pour expliciter la responsabilité de chaque composant : application métier, Keycloak IAM, API interne, SI métier et observabilité. Cette documentation a accéléré l’onboarding technique et réduit les ambiguïtés de run.
Utilisateur métier (médecin-conseil)
-> Application interne (questionnaires, bordereaux, pièces jointes)
-> Keycloak (OIDC/OAuth2 : login, token, refresh)
-> Contrôle des rôles (utilisateur / administrateur / superviseur)
-> API REST interne Dawap (normalisation + validation + idempotence)
-> SI métier interne (ERP/logiciel de gestion)
-> APIs publiques (FINESS, CCAM)
-> Monitoring & alerting (logs corrélés + KPI run)
Les points de contrôle critiques ont été positionnés sur la validité des tokens, la cohérence des rôles, les transitions de session et la traçabilité des appels API. Cela permet de détecter rapidement les écarts avant impact métier.
La stratégie retenue a évité le big-bang : phase de coexistence contrôlée entre SSO maison et Keycloak, validations par périmètre, puis extinction graduelle de l’ancien mécanisme.
Les tests ont couvert les cas critiques : droits insuffisants, expiration de token, reprise de session, profils multi-rôles et parcours sensibles de consultation/dépôt de pièces.
L’approche agile a permis de corriger rapidement les points de friction observés en préproduction avant ouverture complète en production.
La synchronisation des contextes utilisateurs avec le logiciel interne a été sécurisée pour limiter les écarts d’habilitation et améliorer la cohérence des traitements métier.
Découvrir les intégrations ERPLe périmètre API interne a été consolidé pour exposer des services mieux gouvernés, plus lisibles et mieux sécurisés autour de l’identité applicative.
Découvrir les APIs sur mesureLes flux vers les référentiels publics ont été maintenus et encadrés dans le nouveau dispositif IAM afin d’éviter les ruptures fonctionnelles pendant la migration.
Découvrir les APIs publiquesUn bridge d’intégration a assuré la compatibilité transitoire des parcours le temps de finaliser la migration vers Keycloak.
Découvrir la création d’APILe nouveau socle centralise authentification, identités, rôles et droits, avec une gouvernance d’accès plus claire pour l’exploitation et les audits.
Découvrir l’intégration KeycloakLa mise en production a apporté une meilleure lisibilité de la gouvernance des accès et une exploitation plus sereine des parcours d’authentification critiques.
Les équipes ont constaté une réduction des opérations manuelles sur les habilitations et une meilleure capacité de diagnostic grâce à la centralisation IAM.
Le pilotage post go-live s’appuie sur des indicateurs de qualité de service (stabilité des sessions, erreurs d’authentification, incidents d’accès) sans communication de chiffres non publiés.
Le projet a sécurisé la transition du SSO maison vers Keycloak sans rupture métier, avec un résultat aligné aux attentes sécurité, exploitation et continuité de service.
Le socle désormais en place facilite les évolutions futures : extension des APIs internes, amélioration continue du contrôle d’accès et durcissement progressif du run IAM.
Pour des cas proches, voir aussi le projet Opteven et le projet 1UP Distribution B2B.
Aucun témoignage client public n’est publié à date pour ce projet. Aucun verbatim n’est donc affiché volontairement.
Le retour terrain consolidé côté run confirme une migration transparente pour les utilisateurs et une meilleure maîtrise opérationnelle des accès.
Pour cadrer un projet similaire : Authentification et sécurité puis Intégration Keycloak.
Nous accompagnons les équipes produit et techniques dans la conception, l’intégration et l’industrialisation d’APIs. Notre mission : construire des architectures robustes, sécurisées et évolutives, alignées sur vos enjeux métier et votre croissance.
Vous préférez échanger ? Planifier un rendez-vous
Développement d’une application de souscription assurantielle permettant aux particuliers de souscrire et renouveler des contrats automobiles. La plateforme orchestre les API ERP, HubSpot et DocuSign afin de proposer des offres personnalisées, automatiser la gestion des contrats et générer des documents prêts à signature dans un parcours utilisateur fluide et entièrement digitalisé.
Intégration de Stripe API dans la plateforme e-commerce de France Appro afin de sécuriser et automatiser les paiements en ligne. La solution s’appuie sur les webhooks Stripe pour le suivi des transactions, garantit la conformité PCI DSS et assure une expérience de paiement fluide, fiable et entièrement automatisée.
Développement d’une plateforme B2B sur-mesure interconnectée à Odoo API pour synchroniser stocks, commandes et factures en temps réel. La recherche produit s’appuie sur Algolia API avec des règles tarifaires personnalisées par client. L’ensemble, développé sous Symfony et Docker, automatise les workflows de commande et outille les équipes commerciales.
Conception d’un middleware API sur mesure reliant l’ERP Cegid Y2 à la plateforme ShippingBo afin d’automatiser les flux logistiques internationaux. La solution synchronise commandes, transferts, stocks et réceptions avec une traçabilité complète. Développée sous Symfony 7, cette architecture permet un pilotage fiable et temps réel de la supply chain mondiale.
Nous accompagnons les équipes produit et techniques dans la conception, l’intégration et l’industrialisation d’APIs. Notre mission : construire des architectures robustes, sécurisées et évolutives, alignées sur vos enjeux métier et votre croissance.
Vous préférez échanger ? Planifier un rendez-vous