ProHoster > Блог > Administracija > Implementacija IdM-a. Priprema za implementaciju od strane kupca

Implementacija IdM-a. Priprema za implementaciju od strane kupca

U prethodnim člancima smo već pogledali šta je IdM, kako razumjeti da li je vašoj organizaciji potreban takav sistem, koje probleme rješava i kako menadžmentu opravdati budžet za implementaciju. Danas ćemo govoriti o važnim fazama kroz koje sama organizacija mora proći kako bi postigla odgovarajući nivo zrelosti prije implementacije IdM sistema. Uostalom, IdM je dizajniran za automatizaciju procesa, ali je nemoguće automatizirati haos.

Implementacija IdM-a. Priprema za implementaciju od strane kupca

Sve dok kompanija ne naraste do veličine velikog preduzeća i akumulira mnogo različitih poslovnih sistema, obično ne razmišlja o kontroli pristupa. Dakle, procesi sticanja prava i kontrolnih ovlašćenja u njemu nisu strukturirani i teško ih je analizirati. Zaposleni popunjavaju zahtjeve za pristup kako žele, proces odobravanja također nije formaliziran, a ponekad jednostavno ne postoji. Nemoguće je brzo utvrditi kakav pristup zaposleni ima, ko ga je odobrio i po kom osnovu.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
S obzirom na to da proces automatizacije pristupa utiče na dva glavna aspekta – podatke o kadru i podatke iz informacionih sistema sa kojima će se izvršiti integracija, razmotrićemo korake koji su neophodni da bi implementacija IdM-a protekla nesmetano i da ne izaziva odbijanje:

  1. Analiza kadrovskih procesa i optimizacija podrške baze podataka zaposlenih u kadrovskim sistemima.
  2. Analiza podataka o korisnicima i pravima, kao i ažuriranje metoda kontrole pristupa u ciljnim sistemima koji se planiraju povezati na IdM.
  3. Organizacione aktivnosti i uključivanje osoblja u proces pripreme za implementaciju IdM-a.

Podaci o osoblju

Može postojati jedan izvor podataka o osoblju u organizaciji, ili ih može biti nekoliko. Na primjer, organizacija može imati prilično široku mrežu filijala, a svaka podružnica može koristiti vlastitu kadrovsku bazu.

Prije svega, potrebno je razumjeti koji se osnovni podaci o zaposlenima čuvaju u sistemu kadrovske evidencije, koji događaji se evidentiraju, te ocijeniti njihovu kompletnost i strukturu.

Često se dešava da se svi kadrovski događaji ne zabilježe u kadrovskom izvoru (a još češće se zabilježe neblagovremeno i ne sasvim tačno). Evo nekoliko tipičnih primjera:

  • Listovi, njihove kategorije i termini (redovni ili dugoročni) se ne evidentiraju;
  • Zaposlenost sa nepunim radnim vremenom se ne evidentira: na primjer, dok je na dugoročnom odsustvu radi nege djeteta, zaposlenik može istovremeno raditi nepuno radno vrijeme;
  • stvarni status kandidata ili zaposlenog je već promijenjen (prijem/premještanje/otpuštanje), a nalog o ovom događaju se izdaje sa zakašnjenjem;
  • službenik se otpuštanjem premješta na novo redovno radno mjesto, a kadrovski sistem ne bilježi podatak da se radi o tehničkom otkazu.

Također je vrijedno posvetiti posebnu pažnju procjeni kvaliteta podataka, jer sve greške i netačnosti dobijene od pouzdanog izvora, a to su HR sistemi, mogu biti skupe u budućnosti i uzrokovati mnoge probleme pri implementaciji IdM-a. Na primjer, zaposleni u HR-u često unose radna mjesta u kadrovski sistem u različitim formatima: velikim i malim slovima, skraćenicama, različitim brojem razmaka i sl. Kao rezultat toga, ista pozicija se može evidentirati u kadrovskom sistemu u sljedećim varijacijama:

  • Viši menadžer
  • viši menadžer
  • viši menadžer
  • Art. menadžer…

Često se morate suočiti s razlikama u pisanju vašeg imena:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Za dalju automatizaciju ovakva zbrka je neprihvatljiva, pogotovo ako su ovi atributi ključni znak identifikacije, odnosno podaci o zaposleniku i njegovim ovlašćenjima u sistemima se upoređuju upravo punim imenom i prezimenom.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
Osim toga, ne treba zaboraviti na moguće prisustvo imenjaka i punih imenjaka u kompaniji. Ako organizacija ima hiljadu zaposlenih, takvih poklapanja može biti malo, ali ako ih ima 50 hiljada, onda to može postati kritična prepreka ispravnom radu IdM sistema.

Sumirajući sve navedeno, zaključujemo: format za unos podataka u bazu podataka o kadrovima organizacije mora biti standardiziran. Parametri za unos imena, položaja i odjeljenja moraju biti jasno definirani. Najbolja opcija je kada zaposlenik HR-a ne unosi podatke ručno, već ih bira iz unaprijed kreiranog direktorija strukture odjela i radnih mjesta pomoću funkcije „odaberi“ koja je dostupna u bazi podataka osoblja.

Kako biste izbjegli dalje greške u sinhronizaciji i ne bi morali ručno ispravljati neslaganja u izvještajima, najpoželjniji način identifikacije zaposlenih je unošenje ID-a za svakog zaposlenog u organizaciji. Takav identifikator će se dodijeliti svakom novom zaposleniku i pojavit će se i u kadrovskom i u informacionim sistemima organizacije kao obavezni atribut naloga. Nije bitno da li se sastoji od brojeva ili slova, glavna stvar je da je jedinstven za svakog zaposlenika (na primjer, mnogi ljudi koriste broj osoblja zaposlenika). U budućnosti će uvođenje ovog atributa uvelike olakšati povezivanje podataka o zaposleniku u kadrovskom izvoru sa njegovim računima i ovlaštenjima u informacionim sistemima.

Dakle, sve korake i mehanizme kadrovske evidencije treba analizirati i dovesti u red. Sasvim je moguće da će se neki procesi morati mijenjati ili modificirati. Ovo je zamoran i mukotrpan posao, ali je neophodan, jer će u suprotnom nedostatak jasnih i strukturiranih podataka o kadrovskim događajima dovesti do grešaka u njihovoj automatskoj obradi. U najgorem slučaju, nestrukturirane procese će uopće biti nemoguće automatizirati.

Ciljni sistemi

U sljedećoj fazi trebamo shvatiti koliko informacionih sistema želimo da integrišemo u IdM strukturu, koji podaci o korisnicima i njihovim pravima se čuvaju u tim sistemima i kako njima upravljati.

U mnogim organizacijama postoji mišljenje da ćemo instalirati IdM, konfigurisati konektore na ciljne sisteme, i uz mahanje čarobnog štapića sve će raditi, bez dodatnog napora s naše strane. To se, nažalost, ne dešava. U kompanijama, pejzaž informacionih sistema se postepeno razvija i povećava. Svaki sistem može imati drugačiji pristup davanju prava pristupa, odnosno mogu se konfigurisati različiti interfejsi za kontrolu pristupa. Negdje se kontrola odvija preko API-ja (interfejs za programiranje aplikacije), negdje preko baze podataka koristeći pohranjene procedure, negdje možda uopće ne postoje interakcijski interfejsi. Trebali biste biti spremni na činjenicu da ćete morati ponovo razmotriti mnoge postojeće procese za upravljanje nalozima i pravima u sistemima organizacije: promijeniti format podataka, unaprijed poboljšati interfejse za interakciju i dodijeliti resurse za ovaj posao.

Uzor

Sa konceptom uzora ćete se vjerovatno susresti u fazi odabira dobavljača IdM rješenja, jer je to jedan od ključnih koncepata u oblasti upravljanja pravima pristupa. U ovom modelu, pristup podacima je omogućen kroz ulogu. Uloga je skup pristupa koji su minimalno potrebni da bi zaposlenik na određenoj poziciji mogao obavljati svoje funkcionalne odgovornosti.

Kontrola pristupa zasnovana na ulogama ima niz neospornih prednosti:

  • jednostavno je i efikasno dodijeliti ista prava velikom broju zaposlenih;
  • promptnu promjenu pristupa zaposlenih sa istim skupom prava;
  • eliminisanje suvišnosti prava i razgraničenje nekompatibilnih ovlašćenja za korisnike.

Matrica uloga se prvo gradi zasebno u svakom od sistema organizacije, a zatim se skalira na cijeli IT krajolik, gdje se globalne poslovne uloge formiraju iz uloga svakog sistema. Na primjer, poslovna uloga “Računovođa” će uključivati ​​nekoliko odvojenih uloga za svaki od informacionih sistema koji se koriste u računovodstvenom odjelu preduzeća.

Nedavno se smatra „najboljom praksom“ kreiranje uzora čak iu fazi razvoja aplikacija, baza podataka i operativnih sistema. Istovremeno, često postoje situacije kada uloge nisu konfigurisane u sistemu ili jednostavno ne postoje. U ovom slučaju, administrator ovog sistema mora uneti informacije o nalogu u nekoliko različitih datoteka, biblioteka i direktorijuma koji daju potrebne dozvole. Upotreba unapred definisanih uloga omogućava vam da dodelite privilegije za izvođenje čitavog niza operacija u sistemu sa složenim složenim podacima.

Uloge u informacionom sistemu se po pravilu raspoređuju na radna mesta i odeljenja prema kadrovskoj strukturi, ali se mogu kreirati i za određene poslovne procese. Na primjer, u finansijskoj organizaciji nekoliko zaposlenih u odjelu za poravnanje zauzima istu poziciju - operater. Ali unutar odeljenja postoji i distribucija u zasebne procese, prema različitim vrstama poslovanja (eksterno ili interno, u različitim valutama, sa različitim segmentima organizacije). Kako bi se svakom poslovnom području jednog odjela omogućio pristup informacionom sistemu prema potrebnim specifičnostima, potrebno je uključiti prava u pojedinačne funkcionalne uloge. To će omogućiti da se obezbijedi minimalan dovoljan skup ovlaštenja, koji ne uključuje suvišna prava, za svaku od oblasti djelovanja.

Dodatno, za velike sisteme sa stotinama uloga, hiljadama korisnika i milionima dozvola, dobra je praksa koristiti hijerarhiju uloga i nasljeđivanje privilegija. Na primjer, roditeljska uloga Administrator će naslijediti privilegije podređenih uloga: Korisnik i Čitač, budući da Administrator može učiniti sve što korisnik i Čitač mogu, plus će imati dodatna administrativna prava. Koristeći hijerarhiju, nema potrebe da se ponovo specificiraju ista prava u više uloga istog modula ili sistema.

U prvoj fazi možete kreirati uloge u onim sistemima u kojima mogući broj kombinacija prava nije veliki i, kao rezultat, lako je upravljati malim brojem uloga. To mogu biti tipična prava koja zahtijevaju svi zaposleni u kompaniji na javno dostupne sisteme kao što su Active Directory (AD), sistemi pošte, Service Manager i slično. Zatim se kreirane matrice uloga za informacione sisteme mogu uključiti u opšti model uzora, kombinujući ih u poslovne uloge.

Koristeći ovaj pristup, u budućnosti, prilikom implementacije IdM sistema, biće lako automatizovati ceo proces davanja prava pristupa na osnovu kreiranih uloga prve faze.

NB Ne biste trebali pokušavati odmah uključiti što više sistema u integraciju. Sisteme sa složenijom arhitekturom i strukturom upravljanja pravima pristupa bolje je povezati na IdM u poluautomatskom načinu u prvoj fazi. Odnosno, implementirati, na osnovu kadrovskih događaja, samo automatsko generisanje zahtjeva za pristup, koji će biti poslan administratoru na izvršenje, a on će ručno konfigurirati prava.

Nakon uspješno završene prve faze, možete proširiti funkcionalnost sistema na nove proširene poslovne procese, implementirati potpunu automatizaciju i skaliranje uz povezivanje dodatnih informacionih sistema.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
Drugim riječima, da bi se pripremili za implementaciju IdM-a, potrebno je procijeniti spremnost informacionih sistema za novi proces i unaprijed finalizirati eksterna interakcijska sučelja za upravljanje korisničkim nalozima i korisničkim pravima, ukoliko takvi interfejsi nisu dostupno u sistemu. Trebalo bi istražiti i pitanje postupnog kreiranja uloga u informacionim sistemima za sveobuhvatnu kontrolu pristupa.

Organizacioni događaji

Nemojte zanemariti ni organizacione probleme. U nekim slučajevima oni mogu igrati odlučujuću ulogu, jer rezultat cijelog projekta često zavisi od efektivne interakcije između odjela. Da biste to učinili, obično savjetujemo stvaranje tima učesnika procesa u organizaciji, koji će uključivati ​​sve uključene odjele. Budući da je to dodatno opterećenje za ljude, pokušajte unaprijed objasniti svim učesnicima budućeg procesa njihovu ulogu i značaj u strukturi interakcije. Ako u ovoj fazi "prodate" ideju IdM-a svojim kolegama, možete izbjeći mnoge poteškoće u budućnosti.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
Često su odjeli za informatičku sigurnost ili IT “vlasnici” projekta implementacije IdM-a u kompaniji, a mišljenja poslovnih odjela se ne uzimaju u obzir. To je velika greška, jer samo oni znaju kako i u kojim poslovnim procesima se koristi svaki resurs, kome treba dati pristup, a kome ne. Stoga je u fazi pripreme važno naznačiti da je vlasnik preduzeća odgovoran za funkcionalni model na osnovu kojeg se razvijaju skupovi korisničkih prava (uloga) u informacionom sistemu, kao i za obezbjeđenje ove uloge se ažuriraju. Uzor nije statična matrica koja se jednom gradi i na njoj se možete smiriti. To je „živi organizam“ koji se mora stalno mijenjati, ažurirati i razvijati prateći promjene u strukturi organizacije i funkcionalnosti zaposlenih. U suprotnom, ili će nastati problemi povezani sa kašnjenjem u obezbjeđivanju pristupa, ili će se pojaviti rizici za sigurnost informacija povezani sa prekomjernim pravima pristupa, što je još gore.

Kao što znate, „sedam dadilja ima dete bez oka“, pa kompanija mora da razvije metodologiju koja opisuje arhitekturu uzora, interakciju i odgovornost pojedinih učesnika u procesu za njegovo ažuriranje. Ako kompanija ima mnogo područja poslovnih aktivnosti i, shodno tome, mnogo odjela i odjela, tada se za svako područje (na primjer, pozajmljivanje, operativni rad, usluge na daljinu, usklađenost i drugo) kao dio procesa upravljanja pristupom zasnovanog na ulozima, potrebno je imenovati posebne kustose. Preko njih će biti moguće brzo dobiti informacije o promjenama u strukturi odjela i pravima pristupa potrebnim za svaku ulogu.

Imperativ je zatražiti podršku menadžmenta organizacije za rješavanje konfliktnih situacija između odjela koji učestvuju u procesu. A sukobi prilikom uvođenja bilo kojeg novog procesa su neizbježni, vjerujte našem iskustvu. Dakle, potreban nam je arbitar koji će rješavati eventualne sukobe interesa, kako ne bismo gubili vrijeme zbog tuđih nesporazuma i sabotaže.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
NB Dobro mjesto za početak podizanja svijesti je obuka vašeg osoblja. Detaljno proučavanje funkcionisanja budućeg procesa i uloge svakog učesnika u njemu će minimizirati poteškoće prelaska na novo rešenje.

Kontrolna lista

Da rezimiramo, sumiramo glavne korake koje bi organizacija koja planira implementaciju IdM-a trebala preduzeti:

  • uvesti red u kadrovske podatke;
  • unesite jedinstveni identifikacioni parametar za svakog zaposlenog;
  • ocijeniti spremnost informacionih sistema za implementaciju IdM-a;
  • razviti interfejse za interakciju sa informacionim sistemima za kontrolu pristupa, ukoliko nedostaju, i dodeliti resurse za ovaj rad;
  • razviti i izgraditi uzor;
  • izgraditi model upravljanja procesom i uključiti kustose iz svake poslovne oblasti u njega;
  • odabrati nekoliko sistema za početno povezivanje na IdM;
  • stvoriti efikasan projektni tim;
  • dobiti podršku menadžmenta kompanije;
  • obučiti osoblje.

Proces pripreme može biti težak, pa ako je moguće, uključite konsultante.

Implementacija IdM rješenja je težak i odgovoran korak, a za njegovu uspješnu implementaciju bitni su kako napori svake strane pojedinačno – zaposlenika poslovnih odjela, IT i službi sigurnosti informacija, tako i interakcija cijelog tima u cjelini. Ali trud je vrijedan toga: nakon implementacije IdM-a u kompaniju, smanjuje se broj incidenata vezanih za prekomjerna ovlaštenja i neovlaštena prava u informacionim sistemima; nestaje zastoja radnika zbog nedostatka/dugog čekanja na potrebna prava; Zahvaljujući automatizaciji, smanjuju se troškovi rada i povećava produktivnost rada IT i usluga informacione sigurnosti.

izvor: www.habr.com

Dodajte komentar