ProHoster > blog > Gweinyddiaeth > Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer

Mewn erthyglau blaenorol, rydym eisoes wedi edrych ar beth yw IdM, sut i ddeall a oes angen system o'r fath ar eich sefydliad, pa broblemau y mae'n eu datrys, a sut i gyfiawnhau'r gyllideb weithredu i reolwyr. Heddiw, byddwn yn siarad am y camau pwysig y mae'n rhaid i'r sefydliad ei hun fynd drwyddynt er mwyn cyrraedd y lefel briodol o aeddfedrwydd cyn gweithredu system IdM. Wedi'r cyfan, mae IdM wedi'i gynllunio i awtomeiddio prosesau, ond mae'n amhosibl awtomeiddio anhrefn.

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer

Hyd nes y bydd cwmni'n tyfu i faint menter fawr ac wedi cronni llawer o systemau busnes gwahanol, fel arfer nid yw'n meddwl am reoli mynediad. Felly, nid yw'r prosesau o gael hawliau a phwerau rheoli ynddo wedi'u strwythuro ac maent yn anodd eu dadansoddi. Mae gweithwyr yn llenwi ceisiadau am fynediad fel y dymunant; nid yw'r broses gymeradwyo wedi'i ffurfioli ychwaith, ac weithiau nid yw'n bodoli. Mae'n amhosibl darganfod yn gyflym pa fynediad sydd gan weithiwr, pwy a'i cymeradwyodd ac ar ba sail.

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer
O ystyried bod y broses o awtomeiddio mynediad yn effeithio ar ddwy brif agwedd - data personél a data o systemau gwybodaeth y mae integreiddio i'w gyflawni, byddwn yn ystyried y camau angenrheidiol i sicrhau bod gweithrediad IdM yn mynd yn esmwyth ac nad yw'n achosi gwrthod:

  1. Dadansoddiad o brosesau personél ac optimeiddio cymorth cronfa ddata gweithwyr mewn systemau personél.
  2. Dadansoddiad o ddata defnyddwyr a hawliau, yn ogystal â diweddaru dulliau rheoli mynediad mewn systemau targed y bwriedir eu cysylltu ag IdM.
  3. Gweithgareddau sefydliadol a chyfranogiad personél yn y broses o baratoi ar gyfer gweithredu IdM.

Data personél

Gall fod un ffynhonnell o ddata personél mewn sefydliad, neu gall fod sawl un. Er enghraifft, efallai bod gan sefydliad rwydwaith cangen eithaf eang, a gall pob cangen ddefnyddio ei sylfaen personél ei hun.

Yn gyntaf oll, mae angen deall pa ddata sylfaenol am weithwyr sy'n cael ei storio yn y system cofnodion personél, pa ddigwyddiadau sy'n cael eu cofnodi, a gwerthuso eu cyflawnder a'u strwythur.

Mae'n aml yn digwydd nad yw'r holl ddigwyddiadau personél yn cael eu nodi yn y ffynhonnell bersonél (a hyd yn oed yn amlach fe'u nodir yn annhymig ac nid yn gwbl gywir). Dyma rai enghreifftiau nodweddiadol:

  • Nid yw dail, eu categorïau a'u telerau (rheolaidd neu hirdymor) yn cael eu cofnodi;
  • Ni chofnodir cyflogaeth ran-amser: er enghraifft, tra ar absenoldeb hirdymor i ofalu am blentyn, gall cyflogai weithio'n rhan-amser ar yr un pryd;
  • bod statws gwirioneddol yr ymgeisydd neu weithiwr eisoes wedi newid (derbyn/trosglwyddo/diswyddo), a bod y drefn ynghylch y digwyddiad hwn yn cael ei gyhoeddi gydag oedi;
  • mae gweithiwr yn cael ei drosglwyddo i swydd reolaidd newydd trwy ddiswyddo, tra nad yw'r system bersonél yn cofnodi gwybodaeth bod hwn yn ddiswyddiad technegol.

Mae hefyd yn werth rhoi sylw arbennig i asesu ansawdd data, gan y gall unrhyw wallau ac anghywirdebau a geir o ffynhonnell ddibynadwy, sef systemau AD, fod yn gostus yn y dyfodol ac achosi llawer o broblemau wrth weithredu IdM. Er enghraifft, mae gweithwyr AD yn aml yn mynd i mewn i swyddi gweithwyr yn y system bersonél mewn gwahanol fformatau: priflythrennau a llythrennau bach, byrfoddau, gwahanol niferoedd o leoedd, ac ati. O ganlyniad, gellir cofnodi'r un sefyllfa yn y system bersonél yn yr amrywiadau canlynol:

  • Uwch reolwr
  • uwch reolwr
  • uwch reolwr
  • Celf. rheolwr…

Yn aml mae'n rhaid i chi ddelio â gwahaniaethau yn sillafu eich enw:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Ar gyfer awtomeiddio pellach, mae sborion o'r fath yn annerbyniol, yn enwedig os yw'r nodweddion hyn yn arwydd allweddol o adnabod, hynny yw, mae data am y gweithiwr a'i bwerau yn y systemau yn cael eu cymharu'n union yn ôl enw llawn.

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer
Yn ogystal, ni ddylem anghofio am bresenoldeb posibl pobl o'r un enw a rhai o'r enwau llawn yn y cwmni. Os oes gan sefydliad fil o weithwyr, efallai na fydd llawer o baru o'r fath, ond os oes 50 mil, yna gall hyn ddod yn rhwystr hanfodol i weithrediad cywir y system IdM.

Gan grynhoi’r uchod i gyd, deuwn i’r casgliad: rhaid safoni’r fformat ar gyfer mewnbynnu data i gronfa ddata personél y sefydliad. Rhaid i'r paramedrau ar gyfer cofnodi enwau, swyddi ac adrannau gael eu diffinio'n glir. Yr opsiwn gorau yw pan na fydd gweithiwr AD yn mewnbynnu data â llaw, ond yn ei ddewis o gyfeiriadur a grëwyd ymlaen llaw o strwythur adrannau a swyddi gan ddefnyddio'r swyddogaeth “dewis” sydd ar gael yn y gronfa ddata personél.

Er mwyn osgoi gwallau pellach wrth gydamseru a pheidio â gorfod cywiro anghysondebau mewn adroddiadau â llaw, y ffordd fwyaf dewisol o adnabod gweithwyr yw trwy gofnodi ID ar gyfer holl weithwyr y sefydliad. Bydd dynodwr o'r fath yn cael ei neilltuo i bob gweithiwr newydd a bydd yn ymddangos yn y system bersonél ac yn systemau gwybodaeth y sefydliad fel priodoledd cyfrif gorfodol. Nid oes ots a yw'n cynnwys rhifau neu lythrennau, y prif beth yw ei fod yn unigryw i bob gweithiwr (er enghraifft, mae llawer o bobl yn defnyddio rhif personél y gweithiwr). Yn y dyfodol, bydd cyflwyno'r nodwedd hon yn hwyluso cysylltu data gweithwyr yn y ffynhonnell bersonél â'i gyfrifon a'i awdurdodau mewn systemau gwybodaeth yn fawr.

Felly, bydd angen dadansoddi holl gamau a mecanweithiau cofnodion personél a'u rhoi mewn trefn. Mae'n ddigon posibl y bydd yn rhaid newid neu addasu rhai prosesau. Mae hwn yn waith diflas a manwl, ond mae'n angenrheidiol, fel arall bydd diffyg data clir a strwythuredig ar ddigwyddiadau personél yn arwain at gamgymeriadau yn eu prosesu awtomatig. Yn yr achos gwaethaf, bydd prosesau anstrwythuredig yn amhosibl i awtomeiddio o gwbl.

Systemau targed

Yn y cam nesaf, mae angen inni gyfrifo faint o systemau gwybodaeth yr ydym am eu hintegreiddio i'r strwythur IdM, pa ddata am ddefnyddwyr a'u hawliau sy'n cael eu storio yn y systemau hyn, a sut i'w rheoli.

Mewn llawer o sefydliadau, mae yna farn y byddwn yn gosod IdM, yn ffurfweddu cysylltwyr i'r systemau targed, a chyda ton o ffon hud bydd popeth yn gweithio, heb ymdrech ychwanegol ar ein rhan ni. Nid yw hynny, gwaetha'r modd, yn digwydd. Mewn cwmnïau, mae'r dirwedd systemau gwybodaeth yn datblygu ac yn cynyddu'n raddol. Gall fod gan bob system ddull gwahanol o roi hawliau mynediad, hynny yw, gellir ffurfweddu rhyngwynebau rheoli mynediad gwahanol. Rhywle mae rheolaeth yn digwydd trwy API (rhyngwyneb rhaglennu cymhwysiad), rhywle trwy gronfa ddata gan ddefnyddio gweithdrefnau wedi'u storio, yn rhywle efallai nad oes rhyngwynebau rhyngweithio o gwbl. Dylech fod yn barod am y ffaith y bydd yn rhaid i chi ailystyried llawer o brosesau presennol ar gyfer rheoli cyfrifon a hawliau yn systemau’r sefydliad: newid fformat y data, gwella rhyngwynebau rhyngweithio ymlaen llaw a dyrannu adnoddau ar gyfer y gwaith hwn.

Model rôl

Mae'n debyg y byddwch yn dod ar draws y cysyniad o fodel rôl yn ystod y cam o ddewis darparwr datrysiadau IdM, gan mai dyma un o'r cysyniadau allweddol ym maes rheoli hawliau mynediad. Yn y model hwn, darperir mynediad at ddata trwy rôl. Mae rôl yn set o fynediadau nad oes fawr ddim eu hangen i weithiwr mewn sefyllfa benodol gyflawni ei gyfrifoldebau swyddogaethol.

Mae gan reolaeth mynediad seiliedig ar rôl nifer o fanteision diymwad:

  • ei bod yn syml ac effeithiol i aseinio'r un hawliau i nifer fawr o weithwyr;
  • newid mynediad gweithwyr sydd â'r un set o hawliau yn brydlon;
  • dileu hawliau a ddiswyddo a therfynu pwerau anghydnaws i ddefnyddwyr.

Mae'r matrics rôl yn cael ei adeiladu ar wahân yn gyntaf ym mhob un o systemau'r sefydliad, ac yna'n cael ei raddio i'r dirwedd TG gyfan, lle mae rolau Busnes byd-eang yn cael eu ffurfio o rolau pob system. Er enghraifft, bydd y rôl Busnes “Cyfrifydd” yn cynnwys sawl rôl ar wahân ar gyfer pob un o'r systemau gwybodaeth a ddefnyddir yn adran gyfrifo'r fenter.

Yn ddiweddar, fe’i hystyriwyd yn “arfer gorau” i greu model rôl hyd yn oed ar y cam o ddatblygu cymwysiadau, cronfeydd data a systemau gweithredu. Ar yr un pryd, yn aml mae sefyllfaoedd pan nad yw rolau wedi'u ffurfweddu yn y system neu pan nad ydynt yn bodoli. Yn yr achos hwn, rhaid i weinyddwr y system hon fewnbynnu gwybodaeth gyfrif i sawl ffeil, llyfrgell a chyfeiriadur gwahanol sy'n darparu'r caniatâd angenrheidiol. Mae defnyddio rolau wedi'u diffinio ymlaen llaw yn caniatáu ichi roi breintiau i gyflawni ystod gyfan o weithrediadau mewn system â data cyfansawdd cymhleth.

Mae rolau mewn system wybodaeth, fel rheol, yn cael eu dosbarthu ar gyfer swyddi ac adrannau yn ôl y strwythur staffio, ond gellir eu creu hefyd ar gyfer rhai prosesau busnes. Er enghraifft, mewn sefydliad ariannol, mae nifer o weithwyr yr adran setliad yn yr un sefyllfa - gweithredwr. Ond o fewn yr adran mae yna hefyd ddosbarthiad i brosesau ar wahân, yn ôl gwahanol fathau o weithrediadau (allanol neu fewnol, mewn gwahanol arian cyfred, gyda gwahanol rannau o'r sefydliad). Er mwyn darparu mynediad i bob un o feysydd busnes un adran i'r system wybodaeth yn unol â'r manylion gofynnol, mae angen cynnwys hawliau mewn rolau swyddogaethol unigol. Bydd hyn yn ei gwneud yn bosibl darparu set ddigonol o bwerau gofynnol, nad yw'n cynnwys hawliau diangen, ar gyfer pob un o'r meysydd gweithgaredd.

Yn ogystal, ar gyfer systemau mawr gyda channoedd o rolau, miloedd o ddefnyddwyr, a miliynau o ganiatadau, mae'n arfer da defnyddio hierarchaeth o rolau ac etifeddiaeth braint. Er enghraifft, bydd y Gweinyddwr rôl rhiant yn etifeddu breintiau rolau'r plentyn: Defnyddiwr a Darllenydd, gan y gall y Gweinyddwr wneud popeth y gall y Defnyddiwr a'r Darllenydd ei wneud, a bydd ganddo hefyd hawliau gweinyddol ychwanegol. Gan ddefnyddio hierarchaeth, nid oes angen ail-fanylu'r un hawliau mewn rolau lluosog o'r un modiwl neu system.

Yn y cam cyntaf, gallwch greu rolau yn y systemau hynny lle nad yw'r nifer bosibl o gyfuniadau o hawliau yn fawr iawn ac, o ganlyniad, mae'n hawdd rheoli nifer fach o rolau. Gall y rhain fod yn hawliau nodweddiadol sy'n ofynnol gan holl weithwyr y cwmni i systemau sy'n hygyrch i'r cyhoedd megis Active Directory (AD), systemau post, Rheolwr Gwasanaeth ac ati. Yna, gellir cynnwys y matricsau rôl a grëwyd ar gyfer systemau gwybodaeth yn y model rôl cyffredinol, gan eu cyfuno i rolau Busnes.

Gan ddefnyddio'r dull hwn, yn y dyfodol, wrth weithredu system IdM, bydd yn hawdd awtomeiddio'r broses gyfan o roi hawliau mynediad yn seiliedig ar y rolau cam cyntaf a grëwyd.

DS Ni ddylech geisio cynnwys cymaint o systemau â phosibl yn yr integreiddio ar unwaith. Mae'n well cysylltu systemau â strwythur rheoli hawliau mynediad a phensaernïaeth fwy cymhleth i IdM mewn modd lled-awtomatig yn y cam cyntaf. Hynny yw, gweithredu, yn seiliedig ar ddigwyddiadau personél, dim ond cynhyrchu awtomatig cais mynediad, a fydd yn cael ei anfon at y gweinyddwr i'w weithredu, a bydd yn ffurfweddu'r hawliau â llaw.

Ar ôl cwblhau'r cam cyntaf yn llwyddiannus, gallwch ymestyn ymarferoldeb y system i brosesau busnes newydd estynedig, gweithredu awtomeiddio a graddio llawn gyda chysylltiad systemau gwybodaeth ychwanegol.

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer
Mewn geiriau eraill, er mwyn paratoi ar gyfer gweithredu IdM, mae angen asesu parodrwydd systemau gwybodaeth ar gyfer y broses newydd a chwblhau ymlaen llaw y rhyngwynebau rhyngweithio allanol ar gyfer rheoli cyfrifon defnyddwyr a hawliau defnyddwyr, os nad yw rhyngwynebau o'r fath. ar gael yn y system. Dylid hefyd archwilio mater creu rolau cam wrth gam mewn systemau gwybodaeth ar gyfer rheoli mynediad cynhwysfawr.

Digwyddiadau sefydliadol

Peidiwch â diystyru materion trefniadol ychwaith. Mewn rhai achosion, gallant chwarae rhan bendant, oherwydd mae canlyniad y prosiect cyfan yn aml yn dibynnu ar ryngweithio effeithiol rhwng adrannau. I wneud hyn, rydym fel arfer yn cynghori creu tîm o gyfranogwyr proses yn y sefydliad, a fydd yn cynnwys yr holl adrannau dan sylw. Gan fod hwn yn faich ychwanegol i bobl, ceisiwch esbonio ymlaen llaw i bawb sy'n cymryd rhan yn y broses yn y dyfodol eu rôl a'u pwysigrwydd yn y strwythur rhyngweithio. Os byddwch yn “gwerthu” syniad IdM i'ch cydweithwyr ar yr adeg hon, gallwch osgoi llawer o anawsterau yn y dyfodol.

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer
Yn aml, yr adrannau diogelwch gwybodaeth neu TG yw “perchnogion” y prosiect gweithredu IdM mewn cwmni, ac nid yw barn adrannau busnes yn cael eu hystyried. Mae hwn yn gamgymeriad mawr, oherwydd dim ond nhw sy'n gwybod sut ac ym mha brosesau busnes y defnyddir pob adnodd, pwy ddylai gael mynediad iddo a phwy na ddylai. Felly, ar y cam paratoi, mae'n bwysig nodi mai perchennog y busnes sy'n gyfrifol am y model swyddogaethol ar sail pa setiau o hawliau defnyddwyr (rolau) yn y system wybodaeth sy'n cael eu datblygu, yn ogystal â sicrhau bod mae'r rolau hyn yn cael eu diweddaru. Nid yw model rôl yn fatrics statig sy'n cael ei adeiladu unwaith a gallwch chi dawelu arno. Mae hwn yn “organebau byw” y mae'n rhaid ei newid, ei ddiweddaru a'i ddatblygu'n gyson, yn dilyn newidiadau yn strwythur y sefydliad ac ymarferoldeb gweithwyr. Fel arall, bydd naill ai problemau’n codi sy’n gysylltiedig ag oedi wrth ddarparu mynediad, neu bydd risgiau diogelwch gwybodaeth yn codi sy’n gysylltiedig â hawliau mynediad gormodol, sydd hyd yn oed yn waeth.

Fel y gwyddoch, “mae gan saith nani blentyn heb lygad,” felly mae'n rhaid i'r cwmni ddatblygu methodoleg sy'n disgrifio pensaernïaeth y model rôl, rhyngweithio a chyfrifoldeb cyfranogwyr penodol yn y broses ar gyfer ei gadw'n gyfredol. Os oes gan gwmni lawer o feysydd gweithgaredd busnes ac, yn unol â hynny, llawer o is-adrannau ac adrannau, yna ar gyfer pob maes (er enghraifft, benthyca, gwaith gweithredol, gwasanaethau o bell, cydymffurfiaeth ac eraill) fel rhan o'r broses rheoli mynediad yn seiliedig ar rôl, mae'n yn angenrheidiol i benodi curaduron ar wahan. Trwyddynt bydd modd derbyn gwybodaeth yn gyflym am newidiadau yn strwythur yr adran a'r hawliau mynediad sydd eu hangen ar gyfer pob rôl.

Mae’n hollbwysig cael cefnogaeth rheolwyr y sefydliad i ddatrys sefyllfaoedd o wrthdaro rhwng adrannau sy’n cymryd rhan yn y broses. Ac mae gwrthdaro wrth gyflwyno unrhyw broses newydd yn anochel, credwch ein profiad. Felly, mae angen cymrodeddwr arnom a fydd yn datrys gwrthdaro buddiannau posibl, er mwyn peidio â gwastraffu amser oherwydd camddealltwriaeth a difrod rhywun arall.

Gweithredu IdM. Paratoi ar gyfer gweithredu gan y cwsmer
DS Lle da i ddechrau codi ymwybyddiaeth yw hyfforddi eich staff. Bydd astudiaeth fanwl o weithrediad y broses yn y dyfodol a rôl pob cyfranogwr ynddi yn lleihau'r anawsterau wrth drosglwyddo i ateb newydd.

Rhestr wirio

I grynhoi, rydym yn crynhoi’r prif gamau y dylai sefydliad sy’n bwriadu gweithredu IdM eu cymryd:

  • dod â threfn i ddata personél;
  • nodi paramedr adnabod unigryw ar gyfer pob gweithiwr;
  • asesu parodrwydd systemau gwybodaeth ar gyfer gweithredu IdM;
  • datblygu rhyngwynebau ar gyfer rhyngweithio â systemau gwybodaeth ar gyfer rheoli mynediad, os ydynt ar goll, a dyrannu adnoddau ar gyfer y gwaith hwn;
  • datblygu ac adeiladu model rôl;
  • adeiladu proses reoli model rôl a chynnwys curaduron o bob maes busnes ynddi;
  • dewis sawl system ar gyfer cysylltiad cychwynnol ag IdM;
  • creu tîm prosiect effeithiol;
  • cael cymorth gan reolwyr y cwmni;
  • hyfforddi staff.

Gall y broses baratoi fod yn anodd, felly os yn bosibl, cynhwyswch ymgynghorwyr.

Mae gweithredu datrysiad IdM yn gam anodd a chyfrifol, ac ar gyfer ei weithrediad llwyddiannus, mae ymdrechion pob parti yn unigol - gweithwyr adrannau busnes, gwasanaethau TG a diogelwch gwybodaeth, a rhyngweithio'r tîm cyfan yn ei gyfanrwydd yn bwysig. Ond mae'r ymdrechion yn werth chweil: ar ôl gweithredu IdM mewn cwmni, mae nifer y digwyddiadau sy'n ymwneud â phwerau gormodol a hawliau anawdurdodedig mewn systemau gwybodaeth yn lleihau; amser segur gweithwyr oherwydd diffyg/aros hir am hawliau angenrheidiol yn diflannu; Oherwydd awtomeiddio, mae costau llafur yn cael eu lleihau ac mae cynhyrchiant llafur gwasanaethau TG a diogelwch gwybodaeth yn cynyddu.

Ffynhonnell: hab.com

Ychwanegu sylw