ProHoster > Blog > administrasie > Implementering van IdM. Voorbereiding vir implementering deur die kliënt

Implementering van IdM. Voorbereiding vir implementering deur die kliënt

In vorige artikels het ons reeds gekyk na wat IdM is, hoe om te verstaan ​​of jou organisasie so 'n stelsel benodig, watter probleme dit oplos en hoe om die implementeringsbegroting aan bestuur te regverdig. Vandag sal ons praat oor die belangrike stadiums waardeur die organisasie self moet gaan om die regte vlak van volwassenheid te bereik voordat 'n IdM-stelsel geïmplementeer word. IdM is immers ontwerp om prosesse te outomatiseer, maar dit is onmoontlik om chaos te outomatiseer.

Implementering van IdM. Voorbereiding vir implementering deur die kliënt

Totdat 'n maatskappy tot die grootte van 'n groot onderneming groei en baie verskillende besigheidstelsels opgehoop het, dink hy gewoonlik nie aan toegangsbeheer nie. Daarom is die prosesse om regte en beheerbevoegdhede daarin te verkry nie gestruktureer nie en is dit moeilik om te ontleed. Werknemers vul aansoeke vir toegang in soos hulle wil; die goedkeuringsproses is ook nie geformaliseer nie, en soms bestaan ​​dit eenvoudig nie. Dit is onmoontlik om vinnig uit te vind watter toegang 'n werknemer het, wie dit goedgekeur het en op watter basis.

Implementering van IdM. Voorbereiding vir implementering deur die kliënt
Aangesien die proses van outomatisering van toegang twee hoofaspekte affekteer - personeeldata en data van inligtingstelsels waarmee integrasie uitgevoer moet word, sal ons die stappe oorweeg wat nodig is om te verseker dat die implementering van IdM glad verloop en nie verwerping veroorsaak nie:

  1. Ontleding van personeelprosesse en optimalisering van werknemerdatabasisondersteuning in personeelstelsels.
  2. Ontleding van gebruikers- en regtedata, asook opdatering van toegangsbeheermetodes in teikenstelsels wat beplan word om aan IdM gekoppel te word.
  3. Organisatoriese aktiwiteite en personeelbetrokkenheid in die proses van voorbereiding vir die implementering van IdM.

Personeel data

Daar kan een bron van personeeldata in 'n organisasie wees, of daar kan verskeie wees. Byvoorbeeld, 'n organisasie kan 'n redelik wye taknetwerk hê, en elke tak kan sy eie personeelbasis gebruik.

Eerstens is dit nodig om te verstaan ​​watter basiese data oor werknemers in die personeelrekordstelsel gestoor word, watter gebeure aangeteken word en hul volledigheid en struktuur te evalueer.

Dit gebeur dikwels dat nie alle personeelgebeure in die personeelbron aangeteken word nie (en selfs meer dikwels word dit ontydig en nie heeltemal korrek opgemerk nie). Hier is 'n paar tipiese voorbeelde:

  • Blare, hul kategorieë en terme (gereelde of langtermyn) word nie aangeteken nie;
  • Deeltydse indiensneming word nie aangeteken nie: byvoorbeeld, terwyl hy op langtermynverlof is om 'n kind te versorg, kan 'n werknemer gelyktydig deeltyds werk;
  • die werklike status van die kandidaat of werknemer het reeds verander (ontvangs/oorplasing/afdanking), en die bevel oor hierdie gebeurtenis word met 'n vertraging uitgereik;
  • 'n werknemer word deur ontslag na 'n nuwe gewone pos oorgeplaas, terwyl die personeelstelsel nie inligting aanteken dat dit 'n tegniese ontslag is nie.

Dit is ook die moeite werd om spesiale aandag te skenk aan die beoordeling van die kwaliteit van data, aangesien enige foute en onakkuraathede wat verkry word van 'n betroubare bron, wat HR-stelsels is, in die toekoms duur kan wees en baie probleme kan veroorsaak tydens die implementering van IdM. HR-werknemers voer byvoorbeeld werknemersposisies in die personeelstelsel in verskillende formate in: hoofletters en kleinletters, afkortings, verskillende aantal spasies, en dies meer. As gevolg hiervan kan dieselfde posisie in die personeelstelsel aangeteken word in die volgende variasies:

  • Senior bestuurder
  • senior bestuurder
  • senior bestuurder
  • Art. bestuurder...

Dikwels het jy te doen met verskille in die spelling van jou naam:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Vir verdere outomatisering is so 'n warboel onaanvaarbaar, veral as hierdie eienskappe 'n sleutelteken van identifikasie is, dit wil sê dat data oor die werknemer en sy magte in die stelsels presies met volle naam vergelyk word.

Implementering van IdM. Voorbereiding vir implementering deur die kliënt
Daarbenewens moet ons nie vergeet van die moontlike teenwoordigheid van naamgenote en volle naamgenote in die maatskappy nie. As 'n organisasie 'n duisend werknemers het, kan daar min sulke wedstryde wees, maar as daar 50 duisend is, kan dit 'n kritieke struikelblok word vir die korrekte werking van die IdM-stelsel.

Om al die bogenoemde op te som, kom ons tot die gevolgtrekking: die formaat vir die invoer van data in die organisasie se personeeldatabasis moet gestandaardiseer word. Die parameters vir die invoer van name, poste en departemente moet duidelik omskryf word. Die beste opsie is wanneer 'n HR-werknemer nie data handmatig invoer nie, maar dit kies uit 'n voorafgeskepte gids van die struktuur van departemente en poste deur die "kies"-funksie wat in die personeeldatabasis beskikbaar is, te gebruik.

Om verdere foute in sinchronisasie te vermy en om nie teenstrydighede in verslae handmatig reg te stel nie, die mees voorkeur manier om werknemers te identifiseer is om 'n ID in te voer vir elke werknemer van die organisasie. So 'n identifiseerder sal aan elke nuwe werknemer toegeken word en sal beide in die personeelstelsel en in die organisasie se inligtingstelsels as 'n verpligte rekeningkenmerk verskyn. Dit maak nie saak of dit uit syfers of letters bestaan ​​nie, die belangrikste ding is dat dit uniek is vir elke werknemer (byvoorbeeld, baie mense gebruik die werknemer se personeelnommer). In die toekoms sal die bekendstelling van hierdie kenmerk die koppeling van werknemerdata in die personeelbron met sy rekeninge en owerhede in inligtingstelsels aansienlik vergemaklik.

Dus, al die stappe en meganismes van personeelrekords sal ontleed en in orde gebring moet word. Dit is heel moontlik dat sommige prosesse verander of aangepas sal moet word. Dit is vervelige en moeisame werk, maar dit is nodig, anders sal die gebrek aan duidelike en gestruktureerde data oor personeelgebeure tot foute in hul outomatiese verwerking lei. In die ergste geval sal ongestruktureerde prosesse enigsins onmoontlik wees om te outomatiseer.

Teiken stelsels

In die volgende stadium moet ons uitvind hoeveel inligtingstelsels ons in die IdM-struktuur wil integreer, watter data oor gebruikers en hul regte in hierdie stelsels gestoor word, en hoe om dit te bestuur.

In baie organisasies is daar 'n mening dat ons IdM sal installeer, verbindings na die teikenstelsels sal konfigureer, en met 'n golf van 'n towerstaf sal alles werk, sonder ekstra moeite van ons kant. Dit gebeur helaas nie. In maatskappye ontwikkel en neem die inligtingstelsellandskap geleidelik toe. Elke stelsel kan 'n ander benadering hê om toegangsregte toe te staan, dit wil sê, verskillende toegangsbeheerkoppelvlakke kan gekonfigureer word. Iewers vind beheer plaas deur 'n API (toepassingsprogrammeringskoppelvlak), iewers deur 'n databasis wat gestoorde prosedures gebruik, iewers is daar dalk geen interaksie-koppelvlakke nie. U moet voorbereid wees daarop dat u baie bestaande prosesse vir die bestuur van rekeninge en regte in die organisasie se stelsels sal moet heroorweeg: verander die dataformaat, verbeter interaksie-koppelvlakke vooraf en ken hulpbronne vir hierdie werk toe.

Rolmodel

Jy sal waarskynlik die konsep van 'n rolmodel teëkom in die stadium van die keuse van 'n IdM-oplossingsverskaffer, aangesien dit een van die sleutelkonsepte in die veld van toegangsregtebestuur is. In hierdie model word toegang tot data deur 'n rol verskaf. 'n Rol is 'n stel toegangs wat minimaal nodig is vir 'n werknemer in 'n sekere posisie om hul funksionele verantwoordelikhede uit te voer.

Rolgebaseerde toegangsbeheer het 'n aantal onmiskenbare voordele:

  • dit is eenvoudig en effektief om dieselfde regte aan 'n groot aantal werknemers toe te ken;
  • die toegang van werknemers met dieselfde stel regte onmiddellik te verander;
  • die uitskakeling van oortolligheid van regte en die afbakening van onversoenbare magte vir gebruikers.

Die rolmatriks word eers afsonderlik in elk van die organisasie se stelsels gebou, en dan afgeskaal na die hele IT-landskap, waar globale sakerolle uit die rolle van elke stelsel gevorm word. Byvoorbeeld, die Besigheidsrol "Rekenmeester" sal verskeie afsonderlike rolle insluit vir elk van die inligtingstelsels wat in die rekeningkundige afdeling van die onderneming gebruik word.

Onlangs is dit as "beste praktyk" beskou om 'n rolmodel te skep selfs in die stadium van die ontwikkeling van toepassings, databasisse en bedryfstelsels. Terselfdertyd is daar dikwels situasies wanneer rolle nie in die stelsel gekonfigureer is nie of dit eenvoudig nie bestaan ​​nie. In hierdie geval moet die administrateur van hierdie stelsel rekeninginligting in verskeie verskillende lêers, biblioteke en gidse invoer wat die nodige toestemmings verskaf. Die gebruik van voorafbepaalde rolle laat jou toe om voorregte toe te staan ​​om 'n hele reeks bewerkings in 'n stelsel met komplekse saamgestelde data uit te voer.

Rolle in 'n inligtingstelsel word as 'n reël vir poste en departemente volgens die personeelstruktuur verdeel, maar kan ook vir sekere besigheidsprosesse geskep word. Byvoorbeeld, in 'n finansiële organisasie, beklee verskeie werknemers van die nedersettingsafdeling dieselfde posisie - operateur. Maar binne die departement is daar ook 'n verspreiding in afsonderlike prosesse, volgens verskillende tipes bedrywighede (ekstern of intern, in verskillende geldeenhede, met verskillende segmente van die organisasie). Ten einde aan elk van die besigheidsareas van een departement toegang tot die inligtingstelsel te verskaf volgens die vereiste besonderhede, is dit nodig om regte in individuele funksionele rolle in te sluit. Dit sal dit moontlik maak om 'n minimum voldoende stel magte, wat nie oortollige regte insluit nie, vir elk van die aktiwiteitsareas te voorsien.

Daarbenewens, vir groot stelsels met honderde rolle, duisende gebruikers en miljoene toestemmings, is dit goeie praktyk om 'n hiërargie van rolle en voorregte-erfenis te gebruik. Byvoorbeeld, die ouerrol Administrateur sal die voorregte van die kinderrolle erf: Gebruiker en Leser, aangesien die Administrateur alles kan doen wat die Gebruiker en Leser kan doen, plus addisionele administratiewe regte sal hê. Deur hiërargie te gebruik, is dit nie nodig om dieselfde regte in verskeie rolle van dieselfde module of stelsel te herspesifiseer nie.

In die eerste stadium kan jy rolle skep in daardie stelsels waar die moontlike aantal kombinasies van regte nie baie groot is nie en gevolglik is dit maklik om 'n klein aantal rolle te bestuur. Dit kan tipiese regte wees wat deur alle werknemers van die maatskappy vereis word op publiek toeganklike stelsels soos Active Directory (AD), posstelsels, Diensbestuurder en dies meer. Dan kan die geskepde rolmatrikse vir inligtingstelsels ingesluit word in die algemene rolmodel, wat hulle in Besigheidsrolle kombineer.

Deur hierdie benadering te gebruik, sal dit in die toekoms, wanneer 'n IdM-stelsel geïmplementeer word, maklik wees om die hele proses van die toekenning van toegangsregte te outomatiseer op grond van die geskepte eerste-fase-rolle.

NB Jy moet nie probeer om dadelik soveel stelsels as moontlik by die integrasie in te sluit nie. Dit is beter om stelsels met 'n meer komplekse argitektuur en toegangsregtebestuurstruktuur in 'n semi-outomatiese modus aan IdM te koppel in die eerste stadium. Dit wil sê, implementeer, gebaseer op personeelgebeure, slegs die outomatiese generering van 'n toegangsversoek, wat aan die administrateur gestuur sal word vir uitvoering, en hy sal die regte handmatig konfigureer.

Nadat u die eerste fase suksesvol voltooi het, kan u die funksionaliteit van die stelsel uitbrei na nuwe uitgebreide besigheidsprosesse, volle outomatisering en skaal implementeer met die koppeling van bykomende inligtingstelsels.

Implementering van IdM. Voorbereiding vir implementering deur die kliënt
Met ander woorde, om voor te berei vir die implementering van IdM, is dit nodig om die gereedheid van inligtingstelsels vir die nuwe proses te assesseer en om vooraf die eksterne interaksie-koppelvlakke vir die bestuur van gebruikersrekeninge en gebruikersregte te finaliseer, indien sulke koppelvlakke nie beskikbaar in die stelsel. Die kwessie van stap-vir-stap skepping van rolle in inligtingstelsels vir omvattende toegangsbeheer moet ook ondersoek word.

Organisatoriese gebeure

Moet ook nie organisatoriese kwessies afslag nie. In sommige gevalle kan hulle 'n deurslaggewende rol speel, omdat die uitkoms van die hele projek dikwels afhang van effektiewe interaksie tussen departemente. Om dit te doen, raai ons gewoonlik aan om 'n span prosesdeelnemers in die organisasie te skep, wat al die betrokke departemente sal insluit. Aangesien dit 'n bykomende las vir mense is, probeer om vooraf aan alle deelnemers in die toekomstige proses hul rol en betekenis in die interaksiestruktuur te verduidelik. As jy die idee van IdM op hierdie stadium aan jou kollegas "verkoop", kan jy baie probleme in die toekoms vermy.

Implementering van IdM. Voorbereiding vir implementering deur die kliënt
Dikwels is die inligtingsekuriteit of IT-departemente die “eienaars” van die IdM-implementeringsprojek in 'n maatskappy, en die menings van sakedepartemente word nie in ag geneem nie. Dit is 'n groot fout, want net hulle weet hoe en in watter besigheidsprosesse elke hulpbron gebruik word, wie toegang daartoe gegee moet word en wie nie. Daarom is dit in die voorbereidingstadium belangrik om aan te dui dat dit die besigheidseienaar is wat verantwoordelik is vir die funksionele model op grond waarvan stelle gebruikersregte (rolle) in die inligtingstelsel ontwikkel word, asook om te verseker dat hierdie rolle word op datum gehou. ’n Rolmodel is nie ’n statiese matriks wat een keer gebou word en jy kan kalmeer daarop nie. Dit is 'n "lewende organisme" wat voortdurend moet verander, bywerk en ontwikkel, na aanleiding van veranderinge in die struktuur van die organisasie en die funksionaliteit van werknemers. Andersins sal óf probleme ontstaan ​​wat verband hou met vertragings in die verskaffing van toegang, óf inligtingsekuriteitsrisiko's sal ontstaan ​​wat verband hou met buitensporige toegangsregte, wat selfs erger is.

Soos u weet, "het sewe kinderoppassers 'n kind sonder 'n oog," so die maatskappy moet 'n metodologie ontwikkel wat die argitektuur van die rolmodel, die interaksie en verantwoordelikheid van spesifieke deelnemers aan die proses beskryf om dit op datum te hou. As 'n maatskappy baie areas van besigheidsaktiwiteit het en dienooreenkomstig baie afdelings en departemente, dan vir elke area (byvoorbeeld uitleen, operasionele werk, afgeleë dienste, voldoening en ander) as deel van die rolgebaseerde toegangsbestuurproses, dit is nodig om afsonderlike kurators aan te stel. Deur hulle sal dit moontlik wees om vinnig inligting te ontvang oor veranderinge in die struktuur van die departement en die toegangsregte wat vir elke rol vereis word.

Dit is noodsaaklik om die ondersteuning van die organisasie se bestuur te werf om konfliksituasies tussen departemente wat aan die proses deelneem, op te los. En konflikte wanneer enige nuwe proses bekendgestel word, is onvermydelik, glo ons ervaring. Daarom het ons 'n arbiter nodig wat moontlike belangebotsings sal oplos, om nie tyd te mors as gevolg van iemand anders se misverstande en sabotasie nie.

Implementering van IdM. Voorbereiding vir implementering deur die kliënt
NB 'n Goeie plek om te begin om bewustheid te verhoog, is om jou personeel op te lei. 'n Gedetailleerde studie van die funksionering van die toekomstige proses en die rol van elke deelnemer daarin sal die probleme van die oorgang na 'n nuwe oplossing verminder.

Kontrolelys

Om op te som, som ons die hoofstappe op wat 'n organisasie wat beplan om IdM te implementeer moet neem:

  • orde in personeeldata te bring;
  • voer 'n unieke identifikasieparameter vir elke werknemer in;
  • assesseer die gereedheid van inligtingstelsels vir die implementering van IdM;
  • koppelvlakke te ontwikkel vir interaksie met inligtingstelsels vir toegangsbeheer, indien dit ontbreek, en hulpbronne vir hierdie werk toe te ken;
  • ontwikkel en bou 'n rolmodel;
  • bou 'n rolmodelbestuursproses en sluit kurators van elke besigheidsarea daarin in;
  • kies verskeie stelsels vir aanvanklike verbinding met IdM;
  • skep 'n effektiewe projekspan;
  • ondersteuning van maatskappybestuur kry;
  • personeel op te lei.

Die voorbereidingsproses kan moeilik wees, so indien moontlik, betrek konsultante.

Die implementering van 'n IdM-oplossing is 'n moeilike en verantwoordelike stap, en vir die suksesvolle implementering daarvan is beide die pogings van elke party individueel – werknemers van sakedepartemente, IT- en inligtingsekuriteitsdienste, en die interaksie van die hele span as geheel belangrik. Maar die pogings is die moeite werd: na die implementering van IdM in 'n maatskappy, verminder die aantal voorvalle wat verband hou met buitensporige magte en ongemagtigde regte in inligtingstelsels; werknemer stilstand weens gebrek/lang wag vir nodige regte verdwyn; As gevolg van outomatisering word arbeidskoste verminder en arbeidsproduktiwiteit van IT- en inligtingsekuriteitsdienste word verhoog.

Bron: will.com

Voeg 'n opmerking