ProHoster > Blog > Amministrazione > Implementazione di IdM. Preparazione per l'implementazione da u cliente

Implementazione di IdM. Preparazione per l'implementazione da u cliente

In articuli precedenti, avemu digià vistu ciò chì IdM hè, cumu capisce se a vostra urganizazione hà bisognu di un tali sistema, chì prublemi risolve, è cumu ghjustificà u budget di implementazione à a gestione. Oghje parlemu di e tappe impurtanti chì l'urganizazione stessu deve passà per ottene u livellu propiu di maturità prima di implementà un sistema IdM. Dopu tuttu, IdM hè pensatu per automatizà i prucessi, ma hè impussibile di automatizà u caosu.

Implementazione di IdM. Preparazione per l'implementazione da u cliente

Finu à chì una cumpagnia cresce à a dimensione di una grande impresa è hà accumulatu assai sistemi di cummerciale diffirenti, di solitu ùn pensa micca à u cuntrollu di l'accessu. Per quessa, i prucessi di ottene i diritti è i puteri di cuntrollu in questu ùn sò micca strutturati è sò difficiuli di analizà. L'impiegati cumplenu l'applicazioni per l'accessu cum'è volenu; u prucessu di appruvazioni ùn hè ancu formalizatu, è à volte ùn esiste micca solu. Hè impussibile di capisce rapidamente quale accessu hà un impiigatu, quale l'appruva è nantu à quale basa.

Implementazione di IdM. Preparazione per l'implementazione da u cliente
In cunsiderà chì u prucessu di l'automatizazione di l'accessu affetta dui aspetti principali - dati di u persunale è dati da i sistemi d'informazioni cù quale l'integrazione deve esse realizatu, cunsideremu i passi necessarii per assicurà chì l'implementazione di IdM va bè è ùn provoca micca u rifiutu:

  1. Analisi di i prucessi di persunale è ottimisazione di u supportu di basa di dati di l'impiegati in i sistemi di u persunale.
  2. Analisi di i dati di l'utilizatori è di i diritti, è ancu di l'aghjurnamentu di i metudi di cuntrollu di l'accessu in i sistemi di destinazione chì sò previsti per esse cunnessi à IdM.
  3. Attività organizzative è implicazione di u persunale in u prucessu di preparazione per l'implementazione di IdM.

Dati di u persunale

Pò esse una fonte di dati di u persunale in una urganizazione, o pò esse parechje. Per esempiu, una urganizazione pò avè una reta di filiale abbastanza larga, è ogni ramu pò utilizà a so propria basa di persunale.

Prima di tuttu, hè necessariu di capisce ciò chì i dati basi di l'impiegati sò almacenati in u sistema di registri di u persunale, chì avvenimenti sò arregistrati, è evaluà a so cumpletezza è a struttura.

Succede spessu chì micca tutti l'avvenimenti di u persunale sò nutati in a fonti di u persunale (è ancu più spessu sò nutati intempestivi è micca sanu currettamente). Eccu alcuni esempi tipici:

  • Foglie, e so categurie è termini (regular o longu) ùn sò micca registrati;
  • L'impiegu part-time ùn hè micca registratu: per esempiu, mentre chì in un permessu longu per a cura di un zitellu, un impiigatu pò travaglià simultaneamente part-time;
  • u statutu attuale di u candidatu o di l'impiigatu hà digià cambiatu (ricezione / trasferimentu / licenziamentu), è l'ordine nantu à questu avvenimentu hè emessu cun ritardu;
  • un impiigatu hè trasferitu à una nova pusizione regulare per via di licenziamentu, mentri u sistema di persunale ùn registra micca infurmazione chì questu hè un licenziamentu tecnicu.

Hè ancu degne di pagà una attenzione particulari à a valutazione di a qualità di e dati, postu chì ogni errore è imprecisioni ottenuti da una fonte di fiducia, chì hè i sistemi HR, pò esse costuali in u futuru è causanu assai prublemi in l'implementazione di IdM. Per esempiu, l'impiegati di HR spessu entranu pusizioni di l'impiegati in u sistema di u persunale in diversi formati: lettere capitale è minuscule, abbreviazioni, numeri diffirenti di spazii, è simili. In u risultatu, a listessa pusizione pò esse registrata in u sistema di persunale in e seguenti variazioni:

  • Senior manager
  • senior manager
  • senior manager
  • Art. manager…

Spessu avete da trattà cù diffirenzii in l'ortografia di u vostru nome:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Per l'automatizazione ulteriore, una tale cumbugliu hè inaccettabile, soprattuttu se sti attributi sò un signu chjave d'identificazione, vale à dì, e dati nantu à l'impiigatu è i so putenzi in i sistemi sò paragunati precisamente da u nome pienu.

Implementazione di IdM. Preparazione per l'implementazione da u cliente
Inoltre, ùn devemu micca scurdatu di a pussibilità di a presenza di nomi è omonimi in a cumpagnia. Se una urganizazione hà un milla di impiegati, pò esse uni pochi di tali partiti, ma s'ellu ci sò 50 mila, allora questu pò diventà un ostaculu criticu per u funziunamentu currettu di u sistema IdM.

Riassuntu tuttu ciò chì sopra, cuncludemu: u formatu per inserisce dati in a basa di dati di u persunale di l'urganizazione deve esse standardizatu. I paràmetri per inserisce nomi, pusizioni è dipartimenti devenu esse chjaramente definiti. A megliu opzione hè quandu un impiigatu HR ùn inserisce micca dati manualmente, ma selezziunate da un repertoriu pre-creatu di a struttura di dipartimenti è pusizioni utilizendu a funzione "selezzione" dispunibule in a basa di dati di u persunale.

Per evità più errori in a sincronizazione è ùn deve micca correggere manualmente discrepanze in i rapporti, U modu più preferitu per identificà l'impiegati hè di entre in una ID per ogni impiigatu di l'urganizazione. Un tali identificatore serà assignatu à ogni novu impiigatu è appariscerà in u sistema di u persunale è in i sistemi d'infurmazione di l'urganizazione cum'è un attributu di u contu obligatoriu. Ùn importa micca s'ellu hè custituitu di numeri o lettere, u principale hè chì hè unicu per ogni impiigatu (per esempiu, assai persone utilizanu u numeru di persunale di l'impiigatu). In u futuru, l'intruduzioni di questu attributu facilità assai u ligame di e dati di l'impiegati in a fonte di u persunale cù i so cunti è l'autorità in i sistemi d'infurmazione.

Dunque, tutti i passi è i meccanismi di i registri di u persunale anu da esse analizati è mette in ordine. Hè abbastanza pussibule chì certi prucessi anu da esse cambiatu o mudificatu. Questu hè un travagliu tedioso è scrupolosu, ma hè necessariu, altrimenti a mancanza di dati chjaramente è strutturati nantu à l'avvenimenti di u persunale portanu à errori in u so processu automaticu. In u peghju casu, i prucessi micca strutturati seranu impussibili di automatizà in tuttu.

Sistemi di destinazione

In u prossimu tappa, avemu bisognu di sapè quanti sistemi d'infurmazione vulemu integrà in a struttura IdM, quali dati nantu à l'utilizatori è i so diritti sò stati guardati in questi sistemi, è cumu gestisce.

In parechje urganisazione, ci hè una opinione chì avemu da installà IdM, cunfigurà connettori à i sistemi di destinazione, è cù una onda di una vara magica tuttu hà da travaglià, senza sforzu supplementu da a nostra parte. Chì, sfortunatamente, ùn succede micca. In l'imprese, u paisaghju di i sistemi d'informazione si sviluppa è cresce gradualmente. Ogni sistema pò avè un approcciu sfarente per cuncede diritti d'accessu, vale à dì, diverse interfacce di cuntrollu di accessu ponu esse cunfigurate. In qualchì locu u cuntrollu si trova attraversu una API (interfaccia di prugrammazione di l'applicazione), in qualchì locu attraversu una basa di dati chì utilizanu prucessi almacenati, in qualchì locu ùn pò esse micca interfacce d'interazzione in tuttu. Avete da esse preparatu per u fattu chì avete da ricunsiderà parechji prucessi esistenti per a gestione di i cunti è i diritti in i sistemi di l'urganizazione: cambiate u formatu di dati, migliurà l'interfacce d'interazzione in anticipu è allocate risorse per stu travagliu.

Role mudellu

Probabilmente vi truverete u cuncettu di un mudellu di rolu in a tappa di scelta di un fornitore di suluzione IdM, postu chì questu hè unu di i cuncetti chjave in u campu di a gestione di diritti d'accessu. In questu mudellu, l'accessu à e dati hè furnitu per un rolu. Un rolu hè un inseme di accessi chì sò minimamente necessarii per un impiigatu in una certa pusizione per fà e so rispunsabilità funziunali.

U cuntrollu di l'accessu basatu à u rolu hà una quantità di vantaghji innegabili:

  • hè simplice è efficace per assignà i stessi diritti à un gran numaru di impiegati;
  • cambiendu subitu l'accessu di l'impiegati cù u listessu settore di diritti;
  • eliminendu a redundanza di diritti è delimità i puteri incompatibili per l'utilizatori.

A matrice di u rolu hè prima custruita separatamente in ognuna di i sistemi di l'urganizazione, è poi scalata à tuttu u paisaghju di l'IT, induve i roli di l'affari globale sò furmati da i roli di ogni sistema. Per esempiu, u rolu di l'affari "Accountant" includerà parechji roli separati per ognunu di i sistemi d'infurmazioni utilizati in u dipartimentu di cuntabilità di l'impresa.

Ricertamenti, hè stata cunsiderata "megliu pratica" per creà un mudellu di rolu ancu in u stadiu di u sviluppu di applicazioni, basa di dati è sistemi operativi. À u listessu tempu, ci sò spessu situazione quandu i roli ùn sò micca cunfigurati in u sistema o simpricimenti ùn esistenu micca. In questu casu, l'amministratore di stu sistema deve inserisce l'infurmazioni di u contu in parechji schedarii, biblioteche è cartulari chì furnisce i permessi necessarii. L'usu di roli predefiniti permette di cuncede privilegii per fà una larga gamma di operazioni in un sistema cù dati cumposti cumplessi.

I roli in un sistema d'infurmazione, in regula, sò distribuiti per pusizioni è dipartimenti secondu a struttura di staffing, ma pò ancu esse creatu per certi prucessi di cummerciale. Per esempiu, in una urganisazione finanziaria, parechji impiegati di u dipartimentu di stabilimentu occupanu u listessu postu - operatore. Ma in u dipartimentu ci hè ancu una distribuzione in prucessi separati, secondu diversi tipi di operazioni (esternu o internu, in diverse valute, cù diversi segmenti di l'urganizazione). Per furnisce ognuna di l'area di cummerciale di un dipartimentu cù l'accessu à u sistema d'infurmazione secondu e specifiche richieste, hè necessariu include diritti in roli funziunali individuali. Questu permetterà di furnisce un inseme minimu di putenzi suffirenzi, chì ùn include micca diritti redundant, per ogni settore di attività.

Inoltre, per i grandi sistemi cù centinaie di roli, millaie d'utilizatori è milioni di permessi, hè una bona pratica per aduprà una gerarchia di roli è l'eredità di privilegi. Per esempiu, l'Amministratore di u rolu di i genitori erediterà i privilegi di i roli di u zitellu: Utenti è Lettore, postu chì l'Amministratore pò fà tuttu ciò chì l'Usuariu è u Lettore pò fà, più averebbe diritti amministrativi supplementari. Utilizendu a ghjerarchia, ùn ci hè bisognu di rispecificà i stessi diritti in parechje roli di u stessu modulu o sistema.

À a prima tappa, pudete creà roli in quelli sistemi induve u numeru pussibule di cumminazzioni di diritti ùn hè micca assai grande è, in u risultatu, hè faciule di gestisce un picculu numeru di roli. Quessi ponu esse diritti tipici richiesti da tutti l'impiegati di a cumpagnia à i sistemi accessibili publicamente cum'è Active Directory (AD), sistemi di mail, Service Manager è simili. Allora, i matrici di roli creati per i sistemi d'informazione ponu esse inclusi in u mudellu di rolu generale, cumminendu in roli di Business.

Aduprendu stu approcciu, in u futuru, quandu implementate un sistema IdM, serà faciule d'automatizà tuttu u prucessu di cuncede diritti d'accessu basatu annantu à i roli di prima tappa creati.

NB Ùn avete micca pruvà à include immediatamente quant'è sistemi pussibule in l'integrazione. Hè megliu cunnette sistemi cù una architettura più cumplessa è una struttura di gestione di diritti d'accessu à IdM in un modu semi-automaticu in u primu stadiu. Vale à dì, implementà, basatu annantu à l'avvenimenti di u persunale, solu a generazione automatica di una dumanda d'accessu, chì serà mandatu à l'amministratore per l'esekzione, è cunfigurà i diritti manualmente.

Dopu avè cumpletu cù successu a prima tappa, pudete allargà a funziunalità di u sistema à novi prucessi di cummerciale allargati, implementà l'automatizazione completa è a scala cù a cunnessione di sistemi d'infurmazione supplementari.

Implementazione di IdM. Preparazione per l'implementazione da u cliente
In altre parolle, per preparà per l'implementazione di IdM, hè necessariu valutà a prontezza di i sistemi d'informazione per u novu prucessu è finalizà in anticipu l'interfacce d'interazzione esterna per a gestione di i cunti di l'utilizatori è i diritti di l'utilizatori, se tali interfacce ùn sò micca. dispunibule in u sistema. U prublema di creazione passu à passu di roli in i sistemi d'infurmazione per un cuntrollu di accessu cumpletu deve ancu esse esploratu.

Avvenimenti urganisazione

Ùn scontate ancu i prublemi organizzativi. In certi casi, ponu ghjucà un rolu decisivu, perchè u risultatu di tuttu u prughjettu spessu dipende da l'interazzione efficace trà i dipartimenti. Per fà questu, di solitu cunsigliemu di creà una squadra di participanti di prucessu in l'urganizazione, chì includerà tutti i dipartimenti implicati. Siccomu questu hè un pesu supplementu per e persone, pruvate à spiegà in anticipu à tutti i participanti in u futuru prucessu u so rolu è u significatu in a struttura di interazzione. Se "vendite" l'idea di IdM à i vostri culleghi in questa tappa, pudete evità parechje difficultà in u futuru.

Implementazione di IdM. Preparazione per l'implementazione da u cliente
Spessu i dipartimenti di sicurezza di l'informazioni o di l'informatica sò i "proprietari" di u prughjettu di implementazione IdM in una cumpagnia, è l'opinioni di i dipartimenti di l'affari ùn sò micca cunsiderate. Questu hè un grande sbagliu, perchè solu elli sanu cumu è in quali prucessi di cummerciale hè utilizatu ogni risorsa, quale deve esse datu accessu à questu è quale ùn deve micca. Per quessa, in a fase di preparazione, hè impurtante indicà chì hè u pruprietariu di l'affari chì hè rispunsevule per u mudellu funziunale nantu à a basa di quale sò sviluppati inseme di diritti di l'utilizatori (roles) in u sistema d'informazione, è ancu per assicurà chì sti roles sò tenuti à ghjornu. Un mudellu ùn hè micca una matrice statica chì hè custruitu una volta è pudete calmà nantu à questu. Questu hè un "organismu vivu" chì deve sempre cambià, aghjurnà è sviluppà, dopu à cambiamenti in a struttura di l'urganizazione è a funziunalità di l'impiegati. Altrimenti, sia i prublemi seranu assuciati cù ritardi in furnisce l'accessu, o risichi per a sicurità di l'infurmazioni saranu assuciati cù diritti d'accessu eccessivu, chì hè ancu peggiu.

Comu sapete, "sette nannies anu un zitellu senza un ochju", cusì a cumpagnia deve sviluppà una metodulugia chì descrive l'architettura di u mudellu di rolu, l'interazzione è a rispunsabilità di i participanti specifichi in u prucessu di mantene a data. Se una sucietà hà assai spazii di attività cummerciale è, per quessa, assai divisioni è dipartimenti, allora per ogni area (per esempiu, prestitu, travagliu operativu, servizii remoti, conformità è altri) cum'è parte di u prucessu di gestione di l'accessu basatu in u rolu, hè hè necessariu di numinà curatori separati. Per mezu di elli, serà pussibule riceve rapidamente infurmazioni nantu à i cambiamenti in a struttura di u dipartimentu è i diritti d'accessu necessarii per ogni rolu.

Hè imperativu di ricurdà u sustegnu di a gestione di l'urganisazione per risolve situazioni di cunflittu trà i dipartimenti chì participanu à u prucessu. È i cunflitti in l'introduzione di qualsiasi prucessu novu sò inevitabbili, crede a nostra sperienza. Dunque, avemu bisognu di un arbitru chì risolve i pussibuli cunflitti d'interessu, per ùn perde u tempu per via di malintesi è sabotage di qualcunu altru.

Implementazione di IdM. Preparazione per l'implementazione da u cliente
NB Un bonu postu per cumincià à sensibilizà hè di furmà u vostru staffu. Un studiu detallatu di u funziunamentu di u prucessu futuru è u rolu di ogni participante in questu minimizerà e difficultà di transizione à una nova suluzione.

Lista di verificazione

Per sintetizà, riassumemu i passi principali chì una urganizazione chì pianifica di implementà IdM deve piglià:

  • mette in ordine i dati di u persunale;
  • inserisce un paràmetru di identificazione unicu per ogni impiigatu;
  • valutà a prontezza di i sistemi d'infurmazione per l'implementazione di IdM;
  • sviluppà interfacce per l'interazzione cù i sistemi d'infurmazione per u cuntrollu di l'accessu, se mancanu, è attribuisce risorse per stu travagliu;
  • sviluppà è custruisce un mudellu di rolu;
  • custruì un prucessu di gestione di mudellu di rolu è include curatori di ogni area di cummerciale in questu;
  • selezziunà parechji sistemi per a cunnessione iniziale à IdM;
  • creà una squadra di prughjettu efficace;
  • guadagnà u sustegnu da a gestione di a cumpagnia;
  • furmà u persunale.

U prucessu di preparazione pò esse difficiule, per quessa, s'ellu hè pussibule, implica cunsultanti.

L'implementazione di una soluzione IdM hè un passu difficiule è rispunsevuli, è per a so implementazione riescita, sia i sforzi di ogni partitu individualmente - l'impiegati di i dipartimenti di l'affari, i servizii di sicurezza di l'informatica è di l'infurmazioni, è l'interazzione di tutta a squadra in generale sò impurtanti. Ma i sforzi valenu a pena: dopu l'implementazione di IdM in una cumpagnia, u nùmeru di incidenti ligati à putenzi eccessivi è diritti micca autorizati in i sistemi d'informazioni diminuite; i tempi di inattività di l'impiegati per mancanza / attesa longa per i diritti necessarii sparisce; A causa di l'automatizazione, i costi di u travagliu sò ridotti è a produtividade di u travagliu di i servizii di sicurezza di l'informatica è di l'infurmazioni hè aumentata.

Source: www.habr.com

Add a comment