ProHoster > Блог > Administrado > Efektivigo de IdM. Preparado por efektivigo de la kliento

Efektivigo de IdM. Preparado por efektivigo de la kliento

En antaŭaj artikoloj, ni jam rigardis kio estas IdM, kiel kompreni ĉu via organizo bezonas tian sistemon, kiajn problemojn ĝi solvas, kaj kiel pravigi la efektivigbuĝeton al administrado. Hodiaŭ ni parolos pri la gravaj stadioj, kiujn la organizo mem devas trairi por atingi la taŭgan nivelon de matureco antaŭ efektivigi IdM-sistemon. Post ĉio, IdM estas desegnita por aŭtomatigi procezojn, sed estas neeble aŭtomatigi kaoson.

Efektivigo de IdM. Preparado por efektivigo de la kliento

Ĝis firmao kreskas al la grandeco de granda entrepreno kaj amasigis multajn malsamajn komercajn sistemojn, ĝi kutime ne pensas pri alirkontrolo. Tial, la procezoj de akiro de rajtoj kaj kontrolaj povoj en ĝi ne estas strukturitaj kaj estas malfacile analizeblaj. Dungitoj plenigas petojn por aliro kiel ili deziras; la aprobprocezo ankaŭ ne estas formaligita, kaj foje ĝi simple ne ekzistas. Estas neeble rapide ekscii, kian aliron havas dungito, kiu aprobis ĝin kaj sur kiu bazo.

Efektivigo de IdM. Preparado por efektivigo de la kliento
Konsiderante, ke la procezo de aŭtomatigo de aliro influas du ĉefajn aspektojn - personajn datumojn kaj datumojn de informsistemoj, kun kiuj integriĝos, ni konsideros la necesajn paŝojn por certigi, ke la efektivigo de IdM iras glate kaj ne kaŭzas malakcepton:

  1. Analizo de personaj procezoj kaj optimumigo de dungita datumbaza subteno en personaj sistemoj.
  2. Analizo de uzant- kaj rajtoj-datenoj, same kiel ĝisdatigado de alirkontrolmetodoj en celsistemoj kiuj estas planitaj por esti konektitaj al IdM.
  3. Organizaj agadoj kaj dungitaro en la procezo de preparado por la efektivigo de IdM.

Personaj datumoj

Povas ekzisti unu fonto de personaj datumoj en organizo, aŭ povas esti pluraj. Ekzemple, organizo povas havi sufiĉe larĝan branĉoreton, kaj ĉiu branĉo povas uzi sian propran personaran bazon.

Antaŭ ĉio, necesas kompreni, kiaj bazaj datumoj pri dungitoj estas konservitaj en la sistemo de personaj rekordoj, kiaj eventoj estas registritaj, kaj taksi ilian kompletecon kaj strukturon.

Ofte okazas, ke ne ĉiuj personaraj eventoj estas notitaj en la personara fonto (kaj eĉ pli ofte ili estas notitaj maltempe kaj ne tute ĝuste). Jen kelkaj tipaj ekzemploj:

  • Folioj, iliaj kategorioj kaj terminoj (regulaj aŭ longdaŭraj) ne estas registritaj;
  • Partatempa dungado ne estas registrita: ekzemple, dum longtempa forpermeso por prizorgi infanon, dungito povas samtempe labori partatempe;
  • la reala statuso de la kandidato aŭ dungito jam ŝanĝiĝis (akcepto/translokigo/maldungo), kaj la ordono pri ĉi tiu evento estas eldonita kun malfruo;
  • dungito estas translokigita al nova regula pozicio per maldungo, dum la personara sistemo ne registras informojn, ke tio estas teknika maldungo.

Ankaŭ indas atenti specialan taksadon de la kvalito de datumoj, ĉar ajnaj eraroj kaj eraroj akiritaj de fidinda fonto, kiu estas HR-sistemoj, povas esti multekosta estonte kaj kaŭzi multajn problemojn dum efektivigado de IdM. Ekzemple, HR-dungitoj ofte enmetas dungitajn postenojn en la personaran sistemon en malsamaj formatoj: majuskloj kaj minuskloj, mallongigoj, malsamaj nombroj da spacoj kaj similaj. Kiel rezulto, la sama pozicio povas esti registrita en la personara sistemo en la sekvaj varioj:

  • Altranga direktoro
  • altranga manaĝero
  • altranga manaĝero
  • Arto. administranto...

Ofte vi devas trakti diferencojn en la literumo de via nomo:

  • Ŝmeleva Natalya Gennadievna,
  • Ŝmeleva Natalia Gennadievna...

Por plia aŭtomatigo, tia miksaĵo estas neakceptebla, precipe se ĉi tiuj atributoj estas ŝlosila signo de identigo, tio estas, datumoj pri la dungito kaj liaj potencoj en la sistemoj estas komparitaj ĝuste per plena nomo.

Efektivigo de IdM. Preparado por efektivigo de la kliento
Krome, ni ne forgesu pri la ebla ĉeesto de samnomuloj kaj plenaj samnomuloj en la kompanio. Se organizo havas mil dungitojn, povas esti malmultaj tiaj matĉoj, sed se estas 50 mil, tiam ĉi tio povas fariĝi kritika obstaklo por la ĝusta funkciado de la sistemo IdM.

Resumante ĉion supre, ni konkludas: la formato por enigi datumojn en la personan datumbazon de la organizo devas esti normigita. La parametroj por enigi nomojn, postenojn kaj fakojn devas esti klare difinitaj. La plej bona opcio estas kiam HR-dungito ne enmetas datumojn permane, sed elektas ĝin el antaŭkreita dosierujo de la strukturo de fakoj kaj postenoj uzante la "elekti" funkcion disponeblan en la persona datumbazo.

Por eviti pliajn erarojn en sinkronigado kaj ne devi mane korekti discrepancojn en raportoj, la plej preferata maniero identigi dungitojn estas enigi ID por ĉiu dungito de la organizo. Tia identigilo estos asignita al ĉiu nova dungito kaj aperos kaj en la persona sistemo kaj en la informsistemoj de la organizo kiel deviga konta atributo. Ne gravas ĉu ĝi konsistas el ciferoj aŭ literoj, la ĉefa afero estas, ke ĝi estas unika por ĉiu dungito (ekzemple, multaj homoj uzas la personan numeron de la dungito). En la estonteco, la enkonduko de ĉi tiu atributo multe faciligos la ligon de dungitaj datumoj en la persona fonto kun liaj kontoj kaj aŭtoritatoj en informaj sistemoj.

Do, ĉiuj paŝoj kaj mekanismoj de personaj registroj devos esti analizitaj kaj ordigitaj. Estas tute eble, ke iuj procezoj devos esti ŝanĝitaj aŭ modifitaj. Ĉi tio estas teda kaj peniga laboro, sed ĝi estas necesa, alie la manko de klaraj kaj strukturitaj datumoj pri personaj eventoj kondukos al eraroj en ilia aŭtomata prilaborado. En la plej malbona kazo, senstrukturaj procezoj tute ne estos aŭtomatigeblaj.

Celsistemoj

En la sekva etapo, ni devas eltrovi kiom da informsistemoj ni volas integri en la IdM-strukturon, kiajn datumojn pri uzantoj kaj iliaj rajtoj estas konservitaj en ĉi tiuj sistemoj, kaj kiel administri ilin.

En multaj organizoj, ekzistas opinio, ke ni instalos IdM, agordos konektilojn al la celaj sistemoj, kaj kun ondo de magia vergo ĉio funkcios, sen plia peno niaflanke. Tio, ve, ne okazas. En kompanioj, la informsistemoj pejzaĝo evoluas kaj pliiĝas iom post iom. Ĉiu sistemo povas havi malsaman aliron al donado de alirrajtoj, tio estas, malsamaj alirkontrolinterfacoj povas esti agorditaj. Ie kontrolo okazas per API (aplika programinterfaco), ie tra datumbazo uzanta stokajn procedurojn, ie eble ne ekzistas interagaj interfacoj. Vi devas esti preta por la fakto, ke vi devos rekonsideri multajn ekzistantajn procezojn por administri kontojn kaj rajtojn en la sistemoj de la organizo: ŝanĝi la datumformaton, plibonigu interagajn interfacojn anticipe kaj asigni rimedojn por ĉi tiu laboro.

Rolmodelo

Vi verŝajne trovos la koncepton de rolmodelo ĉe la stadio de elekto de IdM-solvoprovizanto, ĉar ĉi tiu estas unu el la ŝlosilaj konceptoj en la kampo de administrado de alirrajtoj. En ĉi tiu modelo, aliro al datumoj estas provizita per rolo. Rolo estas aro de aliroj minimume necesaj por dungito en certa pozicio por plenumi siajn funkciajn respondecojn.

Rol-bazita alirkontrolo havas kelkajn nekontesteblajn avantaĝojn:

  • estas simple kaj efika atribui la samajn rajtojn al granda nombro da dungitoj;
  • senprokraste ŝanĝi la aliron de dungitoj kun la sama aro de rajtoj;
  • forigante redundon de rajtoj kaj limigante nekongruajn povojn por uzantoj.

La rolmatrico unue estas konstruita aparte en ĉiu el la sistemoj de la organizo, kaj poste skalita al la tuta IT-pejzaĝo, kie tutmondaj Komercaj roloj estas formitaj de la roloj de ĉiu sistemo. Ekzemple, la Komerca rolo "Kontisto" inkluzivos plurajn apartajn rolojn por ĉiu el la informsistemoj uzataj en la kontada fako de la entrepreno.

Lastatempe, ĝi estis konsiderita "plej bona praktiko" krei rolmodelon eĉ en la stadio de evoluigado de aplikoj, datumbazoj kaj operaciumoj. Samtempe, estas ofte situacioj kiam roloj ne estas agordita en la sistemo aŭ ili simple ne ekzistas. En ĉi tiu kazo, la administranto de ĉi tiu sistemo devas enigi kontajn informojn en plurajn malsamajn dosierojn, bibliotekojn kaj dosierujojn, kiuj provizas la necesajn permesojn. La uzo de antaŭdifinitaj roloj permesas al vi doni privilegiojn por plenumi tutan gamon da operacioj en sistemo kun kompleksaj kunmetitaj datumoj.

Roloj en informsistemo, kiel regulo, estas distribuitaj por postenoj kaj fakoj laŭ la dungita strukturo, sed ankaŭ povas esti kreitaj por certaj komercaj procezoj. Ekzemple, en financa organizo, pluraj dungitoj de la kompromisa fako okupas la saman pozicion - funkciigisto. Sed ene de la fako ekzistas ankaŭ distribuo en apartajn procezojn, laŭ malsamaj specoj de operacioj (eksteraj aŭ internaj, en malsamaj valutoj, kun malsamaj segmentoj de la organizo). Por provizi ĉiun el la komercaj areoj de unu fako kun aliro al la informsistemo laŭ la postulataj specifaĵoj, necesas inkluzivi rajtojn en individuaj funkciaj roloj. Tio ebligos disponigi minimuman sufiĉan aron da povoj, kiu ne inkluzivas superfluajn rajtojn, por ĉiu el la agadkampoj.

Aldone, por grandaj sistemoj kun centoj da roloj, miloj da uzantoj kaj milionoj da permesoj, estas bona praktiko uzi hierarkion de roloj kaj privilegia heredo. Ekzemple, la gepatra rolo Administranto heredos la privilegiojn de la infanroloj: Uzanto kaj Leganto, ĉar la Administranto povas fari ĉion, kion la Uzanto kaj Leganto povas fari, krome havos pliajn administrajn rajtojn. Uzante hierarkion, ne necesas respecifi la samajn rajtojn en multoblaj roloj de la sama modulo aŭ sistemo.

En la unua etapo, vi povas krei rolojn en tiuj sistemoj kie la ebla nombro da kombinaĵoj de rajtoj ne estas tre granda kaj, kiel rezulto, estas facile administri malgrandan nombron da roloj. Ĉi tiuj povas esti tipaj rajtoj postulitaj de ĉiuj dungitoj de la firmao al publike alireblaj sistemoj kiel Active Directory (AD), poŝtsistemoj, Servo-Manaĝero kaj similaj. Tiam, la kreitaj rolmatricoj por informsistemoj povas esti inkluditaj en la ĝenerala rolmodelo, kombinante ilin en Komercrolojn.

Uzante ĉi tiun aliron, en la estonteco, kiam oni efektivigas IdM-sistemon, estos facile aŭtomatigi la tutan procezon de donado de alirrajtoj bazitaj sur la kreitaj unuafazaj roloj.

NB Vi ne provu tuj inkluzivi kiel eble plej multajn sistemojn en la integriĝon. Pli bone estas konekti sistemojn kun pli kompleksa arkitekturo kaj alirrajtoj-administra strukturo al IdM en duonaŭtomata reĝimo ĉe la unua etapo. Tio estas, efektivigi, surbaze de personaj eventoj, nur la aŭtomatan generacion de alirpeto, kiu estos sendita al la administranto por ekzekuto, kaj li agordos la rajtojn permane.

Post sukcese kompletigi la unuan etapon, vi povas etendi la funkciecon de la sistemo al novaj vastigitaj komercaj procezoj, efektivigi plenan aŭtomatigon kaj grimpi kun la konekto de pliaj informsistemoj.

Efektivigo de IdM. Preparado por efektivigo de la kliento
Alivorte, por prepari por la efektivigo de IdM, estas necese taksi la pretecon de informsistemoj por la nova procezo kaj finpretigi anticipe la eksterajn interagajn interfacojn por administri uzantkontojn kaj uzantrajtojn, se tiaj interfacoj ne estas. disponebla en la sistemo. La temo de paŝo-post-paŝa kreado de roloj en informsistemoj por ampleksa alirkontrolo devus ankaŭ esti esplorita.

Organizaj eventoj

Ankaŭ ne rabatu organizajn aferojn. En iuj kazoj, ili povas ludi decidan rolon, ĉar la rezulto de la tuta projekto ofte dependas de efika interago inter fakoj. Por fari tion, ni kutime konsilas krei teamon de procezaj partoprenantoj en la organizo, kiu inkluzivos ĉiujn koncernatajn fakojn. Ĉar ĉi tio estas plia ŝarĝo por homoj, provu klarigi anticipe al ĉiuj partoprenantoj en la estonta procezo ilian rolon kaj signifon en la interaga strukturo. Se vi "vendas" la ideon de IdM al viaj kolegoj en ĉi tiu etapo, vi povas eviti multajn malfacilaĵojn en la estonteco.

Efektivigo de IdM. Preparado por efektivigo de la kliento
Ofte la informa sekureco aŭ IT-sekcioj estas la "posedantoj" de la IdM-efektivprojekto en firmao, kaj la opinioj de komercaj fakoj ne estas konsiderataj. Ĉi tio estas granda eraro, ĉar nur ili scias kiel kaj en kiaj komercaj procezoj ĉiu rimedo estas uzata, kiu devus ricevi aliron al ĝi kaj kiu ne devus. Tial, en la prepara etapo, estas grave indiki, ke estas la komercisto kiu respondecas pri la funkcia modelo surbaze de kiu aroj de uzantrajtoj (roloj) en la informsistemo estas disvolvitaj, kaj ankaŭ por certigi, ke ĉi tiuj roloj estas ĝisdatigitaj. Rolmodelo ne estas statika matrico, kiu estas konstruita unufoje kaj vi povas trankviliĝi pri ĝi. Ĉi tio estas "viva organismo", kiu devas konstante ŝanĝiĝi, ĝisdatigi kaj disvolviĝi, sekvante ŝanĝojn en la strukturo de la organizo kaj la funkcieco de dungitoj. Alie, aŭ problemoj aperos asociitaj kun malfruoj en disponigado de aliro, aŭ informsekurecaj riskoj estiĝos asociitaj kun troaj alirrajtoj, kio estas eĉ pli malbona.

Kiel vi scias, "sep infanistinoj havas infanon sen okulo", do la kompanio devas disvolvi metodikon, kiu priskribas la arkitekturon de la rolmodelo, la interago kaj respondeco de specifaj partoprenantoj en la procezo por konservi ĝin ĝisdatigita. Se firmao havas multajn areojn de komerca agado kaj, sekve, multajn dividojn kaj fakojn, tiam por ĉiu areo (ekzemple, pruntedonado, funkcia laboro, foraj servoj, plenumado kaj aliaj) kiel parto de la rol-bazita aliradministradprocezo, ĝi necesas nomumi apartajn kuratorojn. Per ili eblos rapide ricevi informojn pri ŝanĝoj en la strukturo de la fako kaj la alirrajtoj necesaj por ĉiu rolo.

Nepras rekruti la subtenon de la administrado de la organizo por solvi konfliktajn situaciojn inter fakoj partoprenantaj en la procezo. Kaj konfliktoj kiam oni enkondukas iun novan procezon estas neeviteblaj, kredu nian sperton. Tial ni bezonas arbitraciiston, kiu solvos eblajn intereskonfliktojn, por ne malŝpari tempon pro alies miskomprenoj kaj sabotado.

Efektivigo de IdM. Preparado por efektivigo de la kliento
NB Bona loko por komenci konsciigi estas trejni vian personaron. Detala studo pri la funkciado de la estonta procezo kaj la rolo de ĉiu partoprenanto en ĝi minimumigos la malfacilaĵojn de transiro al nova solvo.

Kontrolisto

Por resumi, ni resumas la ĉefajn paŝojn, kiujn organizo planas efektivigi IdM devus fari:

  • ordigi personajn datumojn;
  • enigu unikan identigan parametron por ĉiu dungito;
  • taksi la pretecon de informsistemoj por la efektivigo de IdM;
  • evoluigi interfacojn por interago kun informsistemoj por alirkontrolo, se ili mankas, kaj asigni rimedojn por ĉi tiu laboro;
  • evoluigi kaj konstrui rolmodelon;
  • konstrui rolmodelan administradprocezon kaj inkluzivi kuratorojn de ĉiu komerca areo en ĝi;
  • elektu plurajn sistemojn por komenca konekto al IdM;
  • krei efikan projektan teamon;
  • akiri subtenon de administrado de kompanio;
  • trajno personaro.

La prepara procezo povas esti malfacila, do se eble, impliku konsilistojn.

Efektivigi IdM-solvon estas malfacila kaj respondeca paŝo, kaj por ĝia sukcesa efektivigo, ambaŭ la klopodoj de ĉiu partio individue - dungitoj de komercaj fakoj, IT kaj informa sekureco servoj, kaj la interago de la tuta teamo kiel tutaĵo estas gravaj. Sed la klopodoj valoras ĝin: post efektivigo de IdM en firmao, la nombro da incidentoj rilataj al troaj povoj kaj nerajtigitaj rajtoj en informsistemoj malpliiĝas; malfunkcio de dungito pro manko/longa atendo por necesaj rajtoj malaperas; Pro aŭtomatigo, laborkostoj estas reduktitaj kaj laborproduktiveco de IT kaj informsekurecaj servoj estas pliigita.

fonto: www.habr.com

Aldoni komenton