ProHoster > Bloc > Administració > Implementació d'IdM. Preparació per a la implementació per part del client

Implementació d'IdM. Preparació per a la implementació per part del client

En articles anteriors, ja hem considerat què és IdM, com entendre si la vostra organització necessita un sistema d'aquest tipus, quines tasques resol i com justificar el pressupost d'implementació davant la direcció. Avui parlarem de les etapes importants que ha de passar la pròpia organització per assolir el nivell de maduresa adequat abans d'implantar el sistema IdM. Després de tot, IdM està dissenyat per automatitzar processos i és impossible automatitzar el caos.

Implementació d'IdM. Preparació per a la implementació per part del client

Fins que una empresa arriba a la mida d'una gran empresa i acumula molts sistemes empresarials diferents, normalment no pensa en el control d'accés. Per tant, els processos d'obtenció de drets i poders de control en el mateix no estan estructurats i són difícils d'analitzar. Els empleats omplen les sol·licituds d'accés com vulguin, el procés d'aprovació tampoc està formalitzat i, de vegades, simplement no existeix. És impossible esbrinar ràpidament quins accessos té un empleat, qui els va aprovar i sobre quina base.

Implementació d'IdM. Preparació per a la implementació per part del client
Tenint en compte que el procés d'automatització d'accés afecta dos aspectes principals: dades de personal i dades dels sistemes d'informació, amb els quals s'ha de realitzar la integració, considerarem els passos necessaris per garantir que la implantació d'IdM es desenvolupi sense problemes i no provoqui rebuigs:

  1. Anàlisi de processos de personal i optimització del manteniment de bases de dades d'empleats en sistemes de personal.
  2. Anàlisi de dades sobre usuaris i drets, així com actualització dels mètodes de control d'accés en sistemes de destinació que es preveu connectar a IdM.
  3. Mesures organitzatives i implicació del personal en el procés de preparació per a la implantació d'IdM.

Dades de personal

Pot haver-hi una font de dades de personal en una organització, o pot haver-hi diverses. Per exemple, una organització pot tenir una xarxa d'oficines bastant àmplia i cada sucursal pot utilitzar la seva pròpia base de personal.

En primer lloc, cal entendre quines dades bàsiques sobre els empleats s'emmagatzemen al sistema de registres de personal, quins esdeveniments es registren i avaluar-ne la integritat i estructura.

Sovint passa que no tots els esdeveniments del personal s'anoten a la font de personal (i encara més sovint s'anoten fora de temps i no del tot correctament). Aquests són alguns exemples típics:

  • Les fulles, les seves categories i termes (regulars o a llarg termini) no es registren;
  • l'ocupació a temps parcial no es registra: per exemple, mentre està en un permís parental llarg, un empleat pot treballar simultàniament a temps parcial;
  • l'estat real del candidat o de l'empleat ja ha canviat (contractació / trasllat / acomiadament) i l'ordre sobre aquest esdeveniment s'emet amb retard;
  • un empleat és traslladat a una nova posició a temps complet mitjançant acomiadament, mentre que el sistema de personal no registra informació que es tracta d'un acomiadament tècnic.

També val la pena prestar especial atenció a l'avaluació de la qualitat de les dades, ja que els errors i inexactituds rebuts d'una font de confiança, que són sistemes de registres de personal, poden ser costosos en el futur i causar molts problemes a l'hora d'implementar IdM. Per exemple, els oficials de personal solen introduir llocs d'empleats al sistema de personal en diferents formats: lletres majúscules i minúscules, abreviatures, un nombre diferent d'espais i similars. Com a resultat, la mateixa posició es pot fixar en el sistema de personal en les següents variacions:

  • Gerent sènior
  • gerent sènior
  • gerent sènior
  • Art. gerent…

Sovint heu de tractar amb diferències en l'ortografia del nom complet:

  • Shmeleva Natalia Gennadievna,
  • Shmeleva Natalia Gennadievna...

Per a una major automatització, aquest revolt és inacceptable, especialment si aquests atributs són un signe clau d'identificació, és a dir, les dades sobre l'empleat i els seus poders als sistemes es comparen precisament pel nom complet.

Implementació d'IdM. Preparació per a la implementació per part del client
A més, no s'ha d'oblidar de la possible presència d'homònims i homònims complets a l'empresa. Si una organització té mil empleats, pot haver-hi poques coincidències, i si n'hi ha 50 mil, això pot convertir-se en un obstacle crític per al correcte funcionament del sistema IdM.

Resumint tot l'anterior, concloem: s'hauria d'estandarditzar el format d'introducció de dades a la base de personal de l'organització. S'han de definir clarament els paràmetres per introduir noms, càrrecs i departaments. La millor opció és quan un empleat de RRHH no introdueix dades manualment, sinó que les selecciona d'un directori pre-creat de l'estructura de departaments i llocs mitjançant la funció "seleccionar" disponible a la base de dades de personal.

Per evitar més errors en la sincronització i no corregir manualment discrepàncies en els informes, la manera més preferida d'identificar els empleats és introduir un identificador per a cada empleat de l'organització. Aquest identificador s'assignarà a cada nou empleat i apareixerà tant en el sistema de personal com en els sistemes d'informació de l'organització com a atribut obligatori del compte. No importa si consta de números o lletres, el més important és que sigui únic per a cada empleat (per exemple, molts utilitzen el número de personal d'un empleat). En el futur, la introducció d'aquest atribut facilitarà molt la vinculació de les dades dels empleats a la font de personal amb els seus comptes i autoritats en els sistemes d'informació.

Per tant, caldrà analitzar i ordenar tots els passos i mecanismes dels registres de personal. És possible que alguns processos s'hagin de canviar o millorar. Es tracta d'un treball tediós i minuciós, però és necessari, en cas contrari la manca de dades clares i estructurades sobre els esdeveniments del personal comportarà errors en el seu processament automàtic. En el pitjor dels casos, els processos no estructurats no es poden automatitzar en absolut.

Sistemes objectiu

En la següent etapa, hem d'esbrinar quants sistemes d'informació volem integrar a l'estructura IdM, quines dades sobre els usuaris i els seus drets s'emmagatzemen en aquests sistemes i com gestionar-los.

En moltes organitzacions, hi ha l'opinió que instal·larem IdM, configurarem els connectors als sistemes de destinació i, amb l'onada d'una vareta màgica, tot funcionarà, sense esforços addicionals per part nostra. Així doncs, per desgràcia, no passa. A les empreses, el panorama dels sistemes d'informació evoluciona i creix gradualment. En cadascun dels sistemes es pot organitzar un enfocament diferent per a la concessió de drets d'accés, és a dir, es configuren diferents interfícies de control d'accés. En algun lloc la gestió es produeix a través de l'API (interfície de programació d'aplicacions), en algun lloc a través de la base de dades mitjançant procediments emmagatzemats, en algun lloc pot ser que no hi hagi interfícies d'interacció. Hauríeu d'estar preparat per al fet que haureu de revisar molts processos existents per gestionar comptes i drets en els sistemes de l'organització: canviar el format de les dades, finalitzar les interfícies d'interacció amb antelació i assignar recursos per a aquests treballs.

model a seguir

Probablement us trobareu amb el concepte de model a seguir en l'etapa d'elecció d'un proveïdor de solucions IdM, ja que aquest és un dels conceptes clau en l'àmbit de la gestió dels drets d'accés. En aquest model, l'accés a les dades es proporciona mitjançant un rol. Un rol és un conjunt d'accessos que són mínimament necessaris perquè un empleat en una posició determinada pugui exercir les seves funcions funcionals.

El control d'accés basat en rols té una sèrie d'avantatges innegables:

  • és senzill i efectiu assignar els mateixos drets a un gran nombre d'empleats;
  • canvi ràpid d'accés per als empleats amb el mateix conjunt de drets;
  • exclusió de redundància de drets i diferenciació de poders incompatibles per als usuaris.

La matriu de rols es construeix primer per separat en cadascun dels sistemes de l'organització i, després, s'escala a tot el panorama informàtic, on els rols empresarials globals es formen a partir dels rols de cada sistema. Per exemple, el rol empresarial "Comptador" inclourà diversos rols separats per a cadascun dels sistemes d'informació utilitzats al departament de comptabilitat de l'empresa.

Recentment, es considera "millor pràctica" crear un model a seguir fins i tot en l'etapa de desenvolupament d'aplicacions, bases de dades i sistemes operatius. Al mateix temps, no són estranyes les situacions en què els rols no estan configurats al sistema o simplement no existeixen. En aquest cas, l'administrador d'aquest sistema ha d'introduir les dades del compte en diversos fitxers, biblioteques i directoris diferents que proporcionin els permisos necessaris. L'ús de rols predefinits us permet donar privilegis per dur a terme tot un ventall d'operacions en un sistema amb dades compostes complexes.

Els rols del sistema d'informació, per regla general, es distribueixen per a llocs i departaments segons l'estructura de personal, però també es poden crear per a determinats processos empresarials. Per exemple, en una institució financera, diversos empleats del departament d'assentaments ocupen la mateixa posició: l'operador. Però dins del departament també hi ha una distribució en processos separats, segons diferents tipus d'operacions (externes o internes, en diferents monedes, amb diferents segments de l'organització). Per tal de proporcionar a cadascuna de les àrees de negoci d'un departament l'accés al sistema d'informació segons les especificitats requerides, és necessari incloure drets en funcions funcionals separades. Això proporcionarà un conjunt mínim suficient de permisos, sense incloure els drets redundants, per a cadascuna de les àrees d'activitat.

A més, per a sistemes grans amb centenars de rols, milers d'usuaris i milions de permisos, és una bona pràctica utilitzar una jerarquia de rols i l'herència de privilegis. Per exemple, el rol principal Administrador heretarà els privilegis dels rols secundaris: Usuari i Lector, ja que l'Administrador pot fer tot el que poden fer l'Usuari i el Lector, a més tindrà drets administratius addicionals. Utilitzant la jerarquia, no cal tornar a especificar els mateixos drets en diversos rols del mateix mòdul o sistema.

En la primera etapa, podeu crear rols en aquells sistemes on el nombre possible de combinacions de drets no és molt gran i, per tant, és fàcil gestionar un nombre reduït de rols. Aquests poden ser els drets típics requerits per tots els empleats de l'empresa a sistemes públics com Active Directory (AD), sistemes de correu, Service Manager i similars. Aleshores, les matrius de rols creades per als sistemes d'informació es poden incloure en el model de rol global, combinant-les en rols empresarials.

Utilitzant aquest enfocament, en el futur, a l'hora d'implementar un sistema IdM, serà fàcil automatitzar tot el procés d'atorgament de drets d'accés en funció dels rols creats de la primera etapa.

NB No hauríeu d'intentar incloure immediatament tants sistemes com sigui possible a la integració. Els sistemes amb una arquitectura més complexa i una estructura de gestió de drets d'accés es connecten millor a IdM en un mode semiautomàtic en la primera etapa. És a dir, basant-se en els esdeveniments del personal, implementar només la generació automàtica d'una sol·licitud d'accés, que s'enviarà a l'administrador per a l'execució, i aquest establirà els drets manualment.

Després de superar amb èxit la primera etapa, és possible estendre la funcionalitat del sistema a nous processos empresarials avançats, implementar una automatització i escalat totals amb la connexió de sistemes d'informació addicionals.

Implementació d'IdM. Preparació per a la implementació per part del client
És a dir, per preparar-se per a la implementació d'IdM, cal avaluar la preparació dels sistemes d'informació per a un nou procés i perfeccionar per endavant les interfícies externes per gestionar els comptes i els drets d'usuari, si aquestes interfícies no estan disponibles en el sistema. També cal treballar el tema de la creació gradual de rols en els sistemes d'informació per al control d'accés integrat.

Esdeveniments organitzatius

No s'han de descomptar els problemes organitzatius. En alguns casos, poden tenir un paper decisiu, perquè el resultat de tot el projecte depèn sovint d'una interacció efectiva entre departaments. Per fer-ho, normalment aconsellem la creació d'un equip de participants en el procés a l'organització, que inclourà tots els departaments implicats. Com que això és una càrrega addicional per a les persones, intenteu explicar amb antelació a tots els participants en el procés futur el seu paper i importància en l'estructura d'interacció. Si "vens" la idea d'IdM als companys en aquesta etapa, pots evitar moltes dificultats en el futur.

Implementació d'IdM. Preparació per a la implementació per part del client
Sovint, els "propietaris" del projecte d'implementació d'IdM en una empresa són els departaments de seguretat de la informació o informàtica, i no es té en compte l'opinió dels departaments empresarials. Això és un gran error, perquè només ells saben com i en quins processos empresarials s'utilitza cada recurs, qui s'hi hauria de donar accés i qui no. Per tant, en l'etapa de preparació, és important indicar que és el propietari de l'empresa qui és responsable del model funcional, a partir del qual es desenvolupen els conjunts de drets (rols) dels usuaris en el sistema d'informació, així com per garantir que aquestes funcions es mantenen actualitzades. El model a seguir no és una matriu estàtica que s'hagi construït una vegada i us podeu calmar amb això. Es tracta d'un "organisme viu" que ha de canviar, actualitzar i desenvolupar constantment, seguint els canvis en l'estructura de l'organització i la funcionalitat dels empleats. En cas contrari, o hi haurà problemes associats a retards en la concessió de l'accés, o hi haurà riscos de seguretat de la informació associats a drets d'accés excessius, la qual cosa és encara pitjor.

Com sabeu, “set mainaderes tenen un fill sense ull”, per això l'empresa hauria de desenvolupar una metodologia que descrigui l'arquitectura del model a seguir, la interacció i la responsabilitat dels participants concrets en el procés per mantenir-lo actualitzat. Si una empresa té moltes àrees d'activitat empresarial i, en conseqüència, moltes divisions i departaments, llavors per a cada àrea (per exemple, préstecs, operacions, serveis remots, compliment i altres), com a part del procés de control d'accés basat en rols, cal nomenar comissaris separats. A través d'ells, es podrà rebre ràpidament informació sobre els canvis en l'estructura de la unitat i els drets d'accés necessaris per a cada rol.

És imprescindible comptar amb el suport de la direcció de l'organització per resoldre situacions de conflicte entre departaments -partícips del procés. I els conflictes en la implementació de qualsevol procés nou són inevitables, creu la nostra experiència. Per tant, necessitem un àrbitre que resolgui possibles conflictes d'interessos, per no perdre el temps per malentesos i sabotatges d'una altra persona.

Implementació d'IdM. Preparació per a la implementació per part del client
NB La formació del personal és un bon començament per conscienciar. Un estudi detallat del funcionament del futur procés, el paper de cada participant en ell minimitzarà les dificultats de canviar a una nova solució.

Llista de comprovació

En resum, aquests són els passos principals que una organització planeja implementar IdM ha de seguir:

  • posar les coses en ordre a les dades de personal;
  • introduïu un paràmetre d'identificació únic per a cada empleat;
  • avaluar la preparació dels sistemes d'informació per a la implementació d'IdM;
  • desenvolupar interfícies per a la interacció amb els sistemes d'informació per al control d'accés, si no es disposa, i destinar recursos a aquests treballs;
  • desenvolupar i construir un model a seguir;
  • construir un procés de gestió model i incloure comissaris de cada àrea de negoci;
  • seleccionar diversos sistemes per a la connexió inicial a IdM;
  • crear un equip de projecte eficaç;
  • comptar amb el suport de la direcció de l'empresa;
  • formar personal.

El procés de preparació pot ser difícil, de manera que, si és possible, impliqueu consultors.

La implementació d'una solució IdM no és un pas fàcil i responsable, i per a la seva implementació amb èxit, tant els esforços de cada part individualment: els empleats de les unitats de negoci, els serveis de seguretat informàtica i de la informació, com la interacció de tot l'equip en el seu conjunt. important. Però l'esforç val la pena: després de la implantació de l'IdM a l'empresa, es redueix el nombre d'incidències associades a poders excessius i drets no autoritzats en els sistemes d'informació; desapareixen els temps d'inactivitat dels empleats per falta/llarga espera dels drets necessaris; gràcies a l'automatització, es redueixen els costos laborals i s'incrementa la productivitat laboral dels serveis informàtics i de seguretat de la informació.

Font: www.habr.com

Afegeix comentari