ProHoster > بلوق > إدارة > تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل

في المقالات السابقة، نظرنا بالفعل في ماهية IdM، وكيفية فهم ما إذا كانت مؤسستك بحاجة إلى مثل هذا النظام، وما هي المشكلات التي يحلها، وكيفية تبرير ميزانية التنفيذ للإدارة. سنتحدث اليوم عن المراحل المهمة التي يجب أن تمر بها المنظمة نفسها من أجل تحقيق مستوى النضج المناسب قبل تطبيق نظام إدارة الهوية. بعد كل شيء، تم تصميم IdM لأتمتة العمليات، ولكن من المستحيل أتمتة الفوضى.

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل

حتى تنمو الشركة إلى حجم مؤسسة كبيرة وتراكمت لديها الكثير من أنظمة الأعمال المختلفة، فإنها عادة لا تفكر في التحكم في الوصول. ولذلك فإن عمليات الحصول على الحقوق والصلاحيات المسيطرة فيها ليست منظمة ويصعب تحليلها. يقوم الموظفون بملء طلبات الوصول كما يحلو لهم، كما أن عملية الموافقة ليست رسمية، وفي بعض الأحيان لا تكون موجودة ببساطة. من المستحيل معرفة حق الوصول الذي يتمتع به الموظف بسرعة ومن وافق عليه وعلى أي أساس.

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل
بالنظر إلى أن عملية أتمتة الوصول تؤثر على جانبين رئيسيين - بيانات الموظفين وبيانات أنظمة المعلومات التي سيتم التكامل معها، سننظر في الخطوات اللازمة لضمان تنفيذ IdM بسلاسة ولا يسبب الرفض:

  1. تحليل عمليات شؤون الموظفين وتحسين دعم قاعدة بيانات الموظفين في أنظمة شؤون الموظفين.
  2. تحليل بيانات المستخدم والحقوق، بالإضافة إلى تحديث طرق التحكم في الوصول في الأنظمة المستهدفة التي من المخطط ربطها بإدارة الهوية.
  3. الأنشطة التنظيمية ومشاركة الموظفين في عملية التحضير لتنفيذ إدارة الهوية.

بيانات الموظفين

قد يكون هناك مصدر واحد لبيانات الموظفين في المنظمة، أو قد يكون هناك عدة مصادر. على سبيل المثال، قد يكون لدى المنظمة شبكة فروع واسعة إلى حد ما، وقد يستخدم كل فرع قاعدة الموظفين الخاصة به.

بادئ ذي بدء، من الضروري فهم البيانات الأساسية المتعلقة بالموظفين المخزنة في نظام سجلات الموظفين، وما هي الأحداث التي يتم تسجيلها، وتقييم مدى اكتمالها وبنيتها.

غالبًا ما يحدث أنه لا يتم ملاحظة جميع أحداث الموظفين في مصدر الموظفين (وحتى في أغلب الأحيان يتم تسجيلها في وقت غير مناسب وغير صحيح تمامًا). فيما يلي بعض الأمثلة النموذجية:

  • ولا يتم تسجيل الإجازات وفئاتها ومصطلحاتها (العادية أو الطويلة الأجل)؛
  • لا يتم تسجيل العمل بدوام جزئي: على سبيل المثال، أثناء وجوده في إجازة طويلة الأجل لرعاية طفل، يمكن للموظف العمل بدوام جزئي في نفس الوقت؛
  • لقد تغير الوضع الفعلي للمرشح أو الموظف بالفعل (الاستقبال/النقل/الفصل)، وصدر الأمر بشأن هذا الحدث مع تأخير؛
  • يتم نقل الموظف إلى وظيفة نظامية جديدة عن طريق الفصل، في حين أن نظام شؤون الموظفين لا يسجل معلومات تفيد بأن هذا فصل فني.

ومن الجدير أيضًا إيلاء اهتمام خاص لتقييم جودة البيانات، نظرًا لأن أي أخطاء أو معلومات غير دقيقة يتم الحصول عليها من مصدر موثوق به، وهو أنظمة الموارد البشرية، يمكن أن تكون مكلفة في المستقبل وتسبب العديد من المشكلات عند تنفيذ إدارة الهوية. على سبيل المثال، غالبًا ما يقوم موظفو الموارد البشرية بإدخال مناصب الموظفين في نظام الموظفين بتنسيقات مختلفة: الحروف الكبيرة والصغيرة، والاختصارات، وأعداد مختلفة من المسافات، وما شابه ذلك. ونتيجة لذلك، يمكن تسجيل نفس المنصب في نظام الموظفين في الأشكال التالية:

  • مدير مرشد
  • مدير مرشد
  • مدير مرشد
  • فن. مدير…

في كثير من الأحيان يتعين عليك التعامل مع الاختلافات في تهجئة اسمك:

  • شميليفا ناتاليا جيناديفنا،
  • شميليفا ناتاليا جيناديفنا...

لمزيد من الأتمتة، فإن مثل هذا الخليط غير مقبول، خاصة إذا كانت هذه السمات هي علامة رئيسية لتحديد الهوية، أي أن البيانات المتعلقة بالموظف وصلاحياته في الأنظمة تتم مقارنتها بدقة بالاسم الكامل.

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل
بالإضافة إلى ذلك، يجب ألا ننسى احتمال وجود الأسماء نفسها والأسماء الكاملة في الشركة. إذا كان لدى المنظمة ألف موظف، فقد يكون هناك عدد قليل من هذه التطابقات، ولكن إذا كان هناك 50 ألفًا، فقد يصبح هذا عقبة حاسمة أمام التشغيل الصحيح لنظام إدارة الهوية.

بتلخيص كل ما سبق، نستنتج: يجب توحيد تنسيق إدخال البيانات في قاعدة بيانات موظفي المنظمة. يجب أن تكون محددات إدخال الأسماء والمناصب والأقسام محددة بوضوح. الخيار الأفضل هو عندما لا يقوم موظف الموارد البشرية بإدخال البيانات يدويًا، ولكنه يختارها من دليل تم إنشاؤه مسبقًا لهيكل الأقسام والمناصب باستخدام وظيفة "التحديد" المتوفرة في قاعدة بيانات الموظفين.

لتجنب المزيد من الأخطاء في المزامنة وعدم الاضطرار إلى تصحيح التناقضات يدويًا في التقارير، الطريقة الأكثر تفضيلاً لتحديد هوية الموظفين هي إدخال معرف لكل موظف في المنظمة. سيتم تعيين هذا المعرف لكل موظف جديد وسيظهر في نظام شؤون الموظفين وفي أنظمة معلومات المنظمة كسمة حساب إلزامية. لا يهم ما إذا كان يتكون من أرقام أو أحرف، الشيء الرئيسي هو أنه فريد لكل موظف (على سبيل المثال، يستخدم العديد من الأشخاص رقم الموظف الخاص بالموظف). وفي المستقبل فإن إدخال هذه الخاصية سيسهل بشكل كبير ربط بيانات الموظف في مصدر الموظفين مع حساباته وصلاحياته في نظم المعلومات.

لذلك، يجب تحليل جميع خطوات وآليات سجلات الموظفين وترتيبها. من الممكن تمامًا أن يتم تغيير أو تعديل بعض العمليات. هذا عمل شاق ومضني، ولكنه ضروري، وإلا فإن الافتقار إلى بيانات واضحة ومنظمة عن أحداث الموظفين سيؤدي إلى أخطاء في معالجتها التلقائية. وفي أسوأ الحالات، سيكون من المستحيل أتمتة العمليات غير المنظمة على الإطلاق.

أنظمة الهدف

وفي المرحلة التالية، نحتاج إلى معرفة عدد أنظمة المعلومات التي نريد دمجها في هيكل إدارة الهوية، وما هي البيانات المتعلقة بالمستخدمين وحقوقهم المخزنة في هذه الأنظمة، وكيفية إدارتها.

في العديد من المنظمات، هناك رأي مفاده أننا سنقوم بتثبيت IdM، وتكوين الموصلات للأنظمة المستهدفة، وبموجة من العصا السحرية، سيعمل كل شيء، دون جهد إضافي من جانبنا. وهذا، للأسف، لا يحدث. في الشركات، يتطور مشهد نظم المعلومات ويتزايد تدريجياً. يمكن أن يكون لكل نظام أسلوب مختلف لمنح حقوق الوصول، أي أنه يمكن تكوين واجهات مختلفة للتحكم في الوصول. يحدث التحكم في مكان ما من خلال واجهة برمجة التطبيقات (واجهة برمجة التطبيقات)، وفي مكان ما من خلال قاعدة بيانات تستخدم الإجراءات المخزنة، وفي مكان ما قد لا تكون هناك واجهات تفاعل على الإطلاق. يجب أن تكون مستعدًا لحقيقة أنه سيتعين عليك إعادة النظر في العديد من العمليات الحالية لإدارة الحسابات والحقوق في أنظمة المنظمة: تغيير تنسيق البيانات وتحسين واجهات التفاعل مسبقًا وتخصيص الموارد لهذا العمل.

قدوة

من المحتمل أن تصادف مفهوم النموذج الذي يحتذى به في مرحلة اختيار مزود حلول إدارة الهوية، حيث يعد هذا أحد المفاهيم الأساسية في مجال إدارة حقوق الوصول. في هذا النموذج، يتم توفير الوصول إلى البيانات من خلال الدور. الدور عبارة عن مجموعة من عمليات الوصول التي تعتبر الحد الأدنى من الضرورة لموظف في منصب معين لأداء مسؤولياته الوظيفية.

يتمتع التحكم في الوصول المستند إلى الدور بعدد من المزايا التي لا يمكن إنكارها:

  • من السهل والفعال تخصيص نفس الحقوق لعدد كبير من الموظفين؛
  • التغيير الفوري لوصول الموظفين الذين يتمتعون بنفس مجموعة الحقوق؛
  • القضاء على تكرار الحقوق وتحديد الصلاحيات غير المتوافقة للمستخدمين.

يتم إنشاء مصفوفة الأدوار أولاً بشكل منفصل في كل نظام من أنظمة المؤسسة، ثم يتم توسيع نطاقها لتشمل مشهد تكنولوجيا المعلومات بأكمله، حيث يتم تشكيل أدوار الأعمال العالمية من أدوار كل نظام. على سبيل المثال، سيتضمن دور الأعمال "المحاسب" عدة أدوار منفصلة لكل نظام من أنظمة المعلومات المستخدمة في قسم المحاسبة بالمؤسسة.

في الآونة الأخيرة، تم اعتبار "أفضل الممارسات" إنشاء نموذج يحتذى به حتى في مرحلة تطوير التطبيقات وقواعد البيانات وأنظمة التشغيل. في الوقت نفسه، غالبا ما تكون هناك مواقف عندما لا يتم تكوين الأدوار في النظام أو أنها ببساطة غير موجودة. في هذه الحالة، يجب على مسؤول هذا النظام إدخال معلومات الحساب في عدة ملفات ومكتبات وأدلة مختلفة توفر الأذونات اللازمة. يتيح لك استخدام الأدوار المحددة مسبقًا منح امتيازات لتنفيذ مجموعة كاملة من العمليات في نظام يحتوي على بيانات مركبة معقدة.

يتم توزيع الأدوار في نظام المعلومات، كقاعدة عامة، على المناصب والأقسام وفقًا لهيكل التوظيف، ولكن يمكن أيضًا إنشاؤها لعمليات تجارية معينة. على سبيل المثال، في مؤسسة مالية، يشغل العديد من موظفي قسم التسوية نفس المنصب - المشغل. ولكن داخل القسم هناك أيضًا توزيع إلى عمليات منفصلة، ​​وفقًا لأنواع مختلفة من العمليات (خارجية أو داخلية، بعملات مختلفة، مع قطاعات مختلفة من المنظمة). من أجل تمكين كل مجال من مجالات العمل في إدارة واحدة من الوصول إلى نظام المعلومات وفقًا للتفاصيل المطلوبة، من الضروري تضمين الحقوق في الأدوار الوظيفية الفردية. وهذا سيجعل من الممكن توفير الحد الأدنى من مجموعة الصلاحيات الكافية، والتي لا تشمل الحقوق الزائدة عن الحاجة، لكل مجال من مجالات النشاط.

بالإضافة إلى ذلك، بالنسبة للأنظمة الكبيرة التي تحتوي على مئات الأدوار وآلاف المستخدمين وملايين الأذونات، فمن الممارسات الجيدة استخدام التسلسل الهرمي للأدوار وتوارث الامتيازات. على سبيل المثال، سوف يرث مسؤول الدور الأصلي امتيازات الأدوار الفرعية: المستخدم والقارئ، نظرًا لأن المسؤول يمكنه القيام بكل ما يمكن للمستخدم والقارئ القيام به، بالإضافة إلى أنه سيكون له حقوق إدارية إضافية. باستخدام التسلسل الهرمي، ليست هناك حاجة لإعادة تحديد نفس الحقوق في أدوار متعددة لنفس الوحدة أو النظام.

في المرحلة الأولى، يمكنك إنشاء أدوار في تلك الأنظمة التي لا يكون فيها العدد المحتمل لمجموعات الحقوق كبيرًا جدًا، ونتيجة لذلك، يكون من السهل إدارة عدد صغير من الأدوار. قد تكون هذه حقوقًا نموذجية يطلبها جميع موظفي الشركة للأنظمة التي يمكن الوصول إليها بشكل عام مثل Active Directory (AD) وأنظمة البريد ومدير الخدمة وما شابه. بعد ذلك، يمكن تضمين مصفوفات الأدوار التي تم إنشاؤها لأنظمة المعلومات في نموذج الدور العام، ودمجها في أدوار الأعمال.

باستخدام هذا النهج، في المستقبل، عند تنفيذ نظام إدارة الهوية، سيكون من السهل أتمتة العملية الكاملة لمنح حقوق الوصول بناءً على أدوار المرحلة الأولى التي تم إنشاؤها.

ملحوظة: يجب ألا تحاول تضمين أكبر عدد ممكن من الأنظمة على الفور في عملية التكامل. ومن الأفضل توصيل الأنظمة ذات بنية أكثر تعقيدًا وبنية إدارة حقوق الوصول إلى IdM في وضع شبه تلقائي في المرحلة الأولى. وهذا يعني، بناءً على أحداث الموظفين، تنفيذ الإنشاء التلقائي لطلب الوصول فقط، والذي سيتم إرساله إلى المسؤول للتنفيذ، وسيقوم بتكوين الحقوق يدويًا.

بعد إكمال المرحلة الأولى بنجاح، يمكنك توسيع وظائف النظام لتشمل عمليات أعمال موسعة جديدة، وتنفيذ الأتمتة الكاملة والتوسع من خلال الاتصال بأنظمة معلومات إضافية.

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل
بمعنى آخر، من أجل التحضير لتنفيذ إدارة الهوية، من الضروري تقييم مدى جاهزية أنظمة المعلومات للعملية الجديدة ووضع اللمسات الأخيرة مسبقًا على واجهات التفاعل الخارجية لإدارة حسابات المستخدمين وحقوق المستخدمين، إذا لم تكن هذه الواجهات متوفرة. المتوفرة في النظام. وينبغي أيضًا استكشاف مسألة إنشاء الأدوار خطوة بخطوة في أنظمة المعلومات للتحكم الشامل في الوصول.

الأنشطة التنظيمية

لا تستبعد القضايا التنظيمية أيضًا. وفي بعض الحالات، يمكنهم لعب دور حاسم، لأن نتيجة المشروع بأكمله تعتمد غالبًا على التفاعل الفعال بين الأقسام. وللقيام بذلك، ننصح عادةً بإنشاء فريق من المشاركين في العملية في المنظمة، والذي سيشمل جميع الأقسام المعنية. نظرًا لأن هذا عبء إضافي على الناس، حاول أن تشرح مسبقًا لجميع المشاركين في العملية المستقبلية دورهم وأهميتهم في هيكل التفاعل. إذا قمت "ببيع" فكرة IdM لزملائك في هذه المرحلة، فيمكنك تجنب العديد من الصعوبات في المستقبل.

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل
غالبًا ما تكون أقسام أمن المعلومات أو تكنولوجيا المعلومات هي "أصحاب" مشروع تنفيذ إدارة الهوية في الشركة، ولا يتم أخذ آراء أقسام الأعمال بعين الاعتبار. وهذا خطأ كبير، لأنهم فقط يعرفون كيف وفي أي عمليات تجارية يتم استخدام كل مورد، ومن يجب أن يمنح حق الوصول إليه ومن لا ينبغي له ذلك. لذلك، في مرحلة الإعداد، من المهم الإشارة إلى أن صاحب العمل هو المسؤول عن النموذج الوظيفي الذي يتم على أساسه تطوير مجموعات حقوق المستخدم (الأدوار) في نظام المعلومات، وكذلك ضمان ذلك يتم تحديث هذه الأدوار. القدوة ليست مصفوفة ثابتة يتم بناؤها مرة واحدة ويمكنك التهدئة عليها. هذا "كائن حي" يجب أن يتغير ويحدث ويتطور باستمرار، بعد التغييرات في هيكل المنظمة ووظائف الموظفين. خلاف ذلك، ستنشأ إما مشاكل مرتبطة بالتأخير في توفير الوصول، أو ستنشأ مخاطر أمن المعلومات المرتبطة بحقوق الوصول المفرطة، وهو ما هو أسوأ.

كما تعلمون، "سبع مربيات لديهن طفل بلا عين"، لذلك يجب على الشركة تطوير منهجية تصف بنية القدوة، وتفاعل ومسؤولية مشاركين محددين في العملية لإبقائها محدثة. إذا كان لدى الشركة العديد من مجالات النشاط التجاري، وبالتالي، العديد من الأقسام والأقسام، فكل مجال (على سبيل المثال، الإقراض والعمل التشغيلي والخدمات عن بعد والامتثال وغيرها) كجزء من عملية إدارة الوصول القائمة على الأدوار، فإنه من الضروري تعيين أمناء منفصلين. من خلالها سيكون من الممكن الحصول بسرعة على معلومات حول التغييرات في هيكل القسم وحقوق الوصول المطلوبة لكل دور.

من الضروري حشد دعم إدارة المنظمة لحل حالات الصراع بين الإدارات المشاركة في العملية. والصراعات عند إدخال أي عملية جديدة أمر لا مفر منه، صدق تجربتنا. لذلك، نحن بحاجة إلى محكم يقوم بحل تضارب المصالح المحتمل، حتى لا نضيع الوقت بسبب سوء فهم شخص آخر وتخريبه.

تنفيذ إدارة الهوية. التحضير للتنفيذ من قبل العميل
ملحوظة: المكان الجيد للبدء في رفع مستوى الوعي هو تدريب موظفيك. إن الدراسة التفصيلية لعمل العملية المستقبلية ودور كل مشارك فيها ستقلل من صعوبات الانتقال إلى حل جديد.

قائمة تدقيق

لتلخيص ذلك، نلخص الخطوات الرئيسية التي يجب أن تتخذها المنظمة التي تخطط لتنفيذ إدارة الهوية:

  • تنظيم بيانات الموظفين؛
  • أدخل معلمة تعريف فريدة لكل موظف؛
  • تقييم مدى جاهزية نظم المعلومات لتنفيذ إدارة الهوية؛
  • تطوير واجهات للتفاعل مع أنظمة المعلومات للتحكم في الوصول، إذا كانت مفقودة، وتخصيص الموارد لهذا العمل؛
  • تطوير وبناء نموذج يحتذى به؛
  • بناء عملية إدارة نموذجية وإشراك القيمين من كل مجال عمل فيها؛
  • تحديد عدة أنظمة للاتصال الأولي بـ IdM؛
  • إنشاء فريق مشروع فعال؛
  • الحصول على الدعم من إدارة الشركة؛
  • طاقم القطار.

يمكن أن تكون عملية الإعداد صعبة، لذا قم بإشراك الاستشاريين إن أمكن.

يعد تنفيذ حل IdM خطوة صعبة ومسؤولة، ولتنفيذه الناجح، تعتبر جهود كل طرف على حدة - موظفو أقسام الأعمال، وخدمات تكنولوجيا المعلومات وأمن المعلومات، وتفاعل الفريق بأكمله ككل أمرًا مهمًا. لكن الجهود تستحق العناء: بعد تطبيق إدارة الهوية في الشركة، ينخفض ​​عدد الحوادث المتعلقة بالصلاحيات المفرطة والحقوق غير المصرح بها في أنظمة المعلومات؛ يختفي وقت توقف الموظف عن العمل بسبب النقص/الانتظار الطويل للحصول على الحقوق الضرورية؛ بسبب الأتمتة، يتم تقليل تكاليف العمالة وزيادة إنتاجية العمالة في مجال تكنولوجيا المعلومات وخدمات أمن المعلومات.

المصدر: www.habr.com

إضافة تعليق