IdM ezartzea. Bezeroak ezartzeko prestatzea

Aurreko artikuluetan, dagoeneko aztertu dugu zer den IdM, nola ulertu zure erakundeak sistema hori behar duen ala ez, zer arazo konpontzen dituen eta nola justifikatu inplementazio aurrekontua zuzendaritzari. Gaurkoan, erakundeak berak igaro behar dituen etapa garrantzitsuei buruz hitz egingo dugu IdM sistema bat ezarri aurretik heldutasun maila egokia lortzeko. Azken finean, IdM prozesuak automatizatzeko diseinatuta dago, baina ezinezkoa da kaosa automatizatzea.

Enpresa bat enpresa handi baten tamainara iritsi arte eta negozio-sistema ezberdin asko pilatu arte, normalean ez du sarbide-kontrolean pentsatzen. Beraz, bertan eskubideak lortzeko eta kontrolatzeko prozesuak ez daude egituratuta eta aztertzen zailak dira. Langileek nahi duten moduan betetzen dituzte sarbide-eskaerak; onarpen-prozesua ere ez dago formalizatuta, eta batzuetan, besterik gabe, ez da existitzen. Ezinezkoa da azkar asmatzea langile batek zer sarbide duen, nork onartu duen eta zer oinarritan.

Sarbidea automatizatzeko prozesuak bi alderdi nagusi eragiten dituela kontuan hartuta -pertsonal-datuak eta integrazioa egin nahi den informazio-sistemetako datuak-, IdM-ren ezarpenak ondo joan dadin eta ezetzarik eragin ez dezan beharrezkoak diren urratsak hartuko ditugu kontuan:

1. Langileen prozesuen analisia eta langileen datu-basearen euskarriaren optimizazioa pertsonal sistemetan.
2. Erabiltzaileen eta eskubideen datuen analisia, baita IdM-ra konektatzeko aurreikusita dauden helburu-sistemetan sarbide-kontrol-metodoak eguneratzea ere.
3. Antolakuntza-jarduerak eta langileen inplikazioa IdM ezartzeko prestatzeko prozesuan.

Langileen datuak

Erakunde batean langileen datuen iturri bat egon daiteke, edo hainbat izan daitezke. Esaterako, erakunde batek sukurtsal sare nahiko zabala izan dezake eta sukurtsal bakoitzak bere langile-oinarria erabil dezake.

Lehenik eta behin, langileei buruzko oinarrizko datuak langileen erregistro-sisteman gordetzen diren ulertu behar da, zer gertakari erregistratzen diren eta horien osotasuna eta egitura ebaluatzea.

Sarritan gertatzen da langileen gertaera guztiak ez direla ageri pertsonalaren iturrian (eta, are gehiago, garaiz kanpoko eta ez guztiz zuzen adierazten dira). Hona hemen adibide tipiko batzuk:

• Hostoak, haien kategoriak eta terminoak (ohikoak edo epe luzekoak) ez dira erregistratzen;
• Lanaldi partzialeko enplegua ez da erregistratzen: adibidez, umea zaintzeko iraupen luzeko eszedentzian dagoen bitartean, langile batek aldi berean lanaldi partziala egin dezake;
• hautagaiaren edo langilearen benetako egoera jada aldatu da (harrera/transferentzia/kaleratze), eta gertakari honi buruzko agindua atzerapenarekin ematen da;
• langile bat ohiko lanpostu berri batera aldatzen da kaleratzearen bidez, langileen sistemak ez du erregistratzen kaleratze teknikoa dela dioen informaziorik.

Datuen kalitatea ebaluatzeari ere arreta berezia jartzea merezi du, izan ere, iturri fidagarri batetik lortutako akatsak eta zehaztasunik ezak, hau da, HR sistemetatik, garestia izan daiteke etorkizunean eta arazo ugari sor ditzake IdM ezartzerakoan. Esaterako, HR langileek maiz langileen postuak sartzen dituzte langileen sisteman formatu ezberdinetan: letra larriak eta minuskulak, laburdurak, espazio-kopuru desberdinak eta antzekoak. Ondorioz, langileen sisteman posizio bera erregistratu daiteke aldaera hauetan:

• Zuzendari nagusia
• goi-zuzendaria
• goi-zuzendaria
• art. kudeatzailea…

Askotan, zure izenaren ortografiaren desberdintasunei aurre egin behar diezu:

• Shmeleva Natalya Gennadievna,
• Shmeleva Natalia Gennadievna...

Automatizazio gehiago lortzeko, nahasketa hori onartezina da, batez ere atributu horiek identifikazio-seinale gako bat badira, hau da, langileari eta sistemetan dituen ahalmenei buruzko datuak izen-abizenaren arabera konparatzen dira.

Horrez gain, ez dugu ahaztu behar enpresan izen-abizenak eta izen-abizenak izan daitezkeen presentziaz. Erakunde batek mila langile baditu, baliteke halako partida gutxi egotea, baina 50 mila badira, hori oztopo kritikoa izan daiteke IdM sistemaren funtzionamendu zuzena izateko.

Aurreko guztia laburbilduz, ondorioztatzen dugu: erakundeko langileen datu-basean datuak sartzeko formatua normalizatu egin behar da. Izenak, karguak eta sailak sartzeko parametroak argi zehaztu behar dira. Aukera onena da HR langile batek datuak eskuz sartzen ez dituenean, baina aldez aurretik sortutako sailen eta postuen egituraren direktorio batetik hautatzen du langileen datu-basean eskuragarri dagoen "hautatu" funtzioa erabiliz.

Sinkronizazioan akats gehiago saihesteko eta txostenetako desadostasunak eskuz zuzendu behar ez izateko, Langileak identifikatzeko modurik hobetsiena NAN bat sartzea da erakundeko langile bakoitzarentzat. Identifikatzaile hori langile berri bakoitzari esleituko zaio eta langileen sisteman zein erakundearen informazio sistemetan agertuko da nahitaezko kontu-atributu gisa. Berdin du zenbakiz edo letrez osatuta dagoen, gauza nagusia langile bakoitzarentzat bakarra dela da (adibidez, jende askok langilearen langile-zenbakia erabiltzen du). Etorkizunean, atributu hau sartzeak asko erraztuko du langileen iturriko langileen datuak lotzea bere kontuekin eta informazio sistemetako agintariekin.

Beraz, langileen erregistroen urrats eta mekanismo guztiak aztertu eta ordenatu beharko dira. Baliteke prozesu batzuk aldatu edo aldatu behar izatea. Lan neketsua eta neketsua da, baina beharrezkoa da, bestela langileen gertakariei buruzko datu argi eta egituratuak ez izateak akatsak ekarriko ditu haien prozesamendu automatikoan. Kasurik txarrenean, egituratu gabeko prozesuak ezinezkoak izango dira batere automatizatzea.

Helburu-sistemak

Hurrengo fasean, irudikatu behar dugu zenbat informazio sistema integratu nahi ditugun IdM egituran, erabiltzaileei eta haien eskubideei buruzko zer datu gordetzen diren sistema horietan eta nola kudeatu.

Erakunde askotan, IdM instalatuko dugula, xede-sistemetarako konektoreak konfiguratuko ditugula eta makila magiko baten uhinarekin dena funtzionatuko duela uste da, gure aldetik ahalegin gehigarririk gabe. Hori, ai, ez da gertatzen. Enpresetan, informazio sistemen panorama garatzen eta handitzen ari da pixkanaka. Sistema bakoitzak sarbide-eskubideak emateko ikuspegi desberdina izan dezake, hau da, sarbide-kontroleko interfaze desberdinak konfigura daitezke. Nonbait kontrola API baten bidez (aplikazioen programazio interfazea) gertatzen da, nonbait datu-base baten bidez gordetako prozedurak erabiliz, nonbait ez dago interakzio interfazerik. Prest egon beharko zenuke erakundearen sistemetan kontuak eta eskubideak kudeatzeko dauden prozesu asko birplanteatu beharko dituzula: datuen formatua aldatu, interakzio-interfazeak aldez aurretik hobetu eta lan honetarako baliabideak esleitu.

Rol eredu

Seguruenik, IdM irtenbide-hornitzaile bat aukeratzeko fasean eredu baten kontzeptua topatuko duzu, hori baita sarbide-eskubideen kudeaketaren arloan funtsezko kontzeptuetako bat. Eredu honetan, datuetarako sarbidea rol baten bidez ematen da. Rol bat lanpostu jakin batean langile batek bere erantzukizun funtzionalak betetzeko gutxieneko beharrezkoak diren sarbide multzoa da.

Roletan oinarritutako sarbide-kontrolak abantaila ukaezinak ditu:

• erraza eta eraginkorra da langile kopuru handi bati eskubide berberak esleitzea;
• eskubide multzo bera duten langileen sarbidea berehala aldatzea;
• eskubideen erredundantzia ezabatzea eta erabiltzaileen eskumen bateraezinak mugatzea.

Rolen matrizea erakundearen sistema bakoitzean bereizita eraikitzen da, eta gero IT panorama osora eskalatzen da, non negozio globalak sistema bakoitzaren roletatik eratzen diren. Esate baterako, "Kontulari" negozio-eginkizunak hainbat rol bereiziko ditu enpresaren kontabilitate-sailean erabiltzen diren informazio-sistemetako bakoitzarentzat.

Berriki, "praktika onen"tzat jotzen da eredu bat sortzea aplikazioak, datu-baseak eta sistema eragileak garatzeko fasean ere. Aldi berean, rolak sisteman konfiguratuta ez dauden edo besterik gabe existitzen ez diren egoerak egon ohi dira. Kasu honetan, sistema honen administratzaileak kontuaren informazioa sartu beharko du beharrezko baimenak ematen dituzten hainbat fitxategi, liburutegi eta direktoriotan. Aurrez definitutako rolak erabiltzeak datu konposatu konplexuak dituen sistema batean eragiketa sorta osoa egiteko pribilegioak ematea ahalbidetzen du.

Informazio-sistema bateko rolak, oro har, lanpostuetarako eta sailetarako banatzen dira plantilla-egituraren arabera, baina negozio-prozesu jakin batzuetarako ere sor daitezke. Adibidez, finantza-erakunde batean, likidazio-saileko hainbat langilek posizio bera hartzen dute - operadorea. Baina departamentuaren barruan prozesu bereizietan ere banatzen da, eragiketa mota ezberdinen arabera (kanpokoak edo barnekoak, moneta ezberdinetan, erakundearen segmentu ezberdinekin). Sail bateko negozio-arlo bakoitzari informazio-sistemarako sarbidea eskaintzeko behar diren zehaztasunen arabera, beharrezkoa da eskubideak sartu behar dira banakako rol funtzionaletan. Horri esker, ahalbidetuko da jarduera-esparru bakoitzeko gutxieneko eskumen-multzo nahikoa eskaintzea, eskubide soberakoak barne hartzen ez dituena.

Gainera, ehunka rol, milaka erabiltzaile eta milioika baimen dituzten sistema handietarako, praktika ona da rolen hierarkia eta pribilegioen herentzia erabiltzea. Esaterako, guraso-rolaren Administratzaileak haurren rolen pribilegioak heredatuko ditu: Erabiltzailea eta Irakurlea, Administratzaileak Erabiltzaileak eta Irakurleak egin dezaketen guztia egin dezakeelako, eta administrazio-eskubide gehigarriak izango ditu. Hierarkia erabiliz, ez dago eskubide berberak berriro zehaztu behar modulu edo sistema bereko rol anitzetan.

Lehen fasean, eskubide-konbinazio-kopurua oso handia ez den sistema horietan rolak sor ditzakezu eta, ondorioz, rol-kopuru txiki bat kudeatzea erraza da. Hauek izan daitezke konpainiako langile guztiek publikoki eskuragarri dauden sistemetarako eskatzen dituzten eskubide tipikoak, hala nola Active Directory (AD), posta sistemak, Zerbitzu Kudeatzailea eta antzekoak. Ondoren, informazio sistemetarako sortutako rol-matrizeak eredu orokorrean sar daitezke, Negozio-roletan konbinatuz.

Ikuspegi hori erabiliz, etorkizunean, IdM sistema bat ezartzerakoan, erraza izango da sarbide-eskubideak emateko prozesu osoa automatizatzea, sortutako lehen faseko roletan oinarrituta.

Oharra Ez zara saiatu behar berehala ahalik eta sistema gehien sartzen integrazioan. Hobe da arkitektura konplexuagoa eta sarbide-eskubideak kudeatzeko egitura duten sistemak IdM-ra modu erdi-automatikoan konektatzea lehen fasean. Hau da, ezartzea, langileen gertaeretan oinarrituta, sarbide-eskaera automatikoa soilik sortzea, administratzaileari exekutatzeko bidaliko dena, eta eskuz konfiguratuko ditu eskubideak.

Lehenengo etapa arrakastaz amaitu ondoren, sistemaren funtzionaltasuna zabaldutako negozio-prozesu berrietara heda dezakezu, automatizazio osoa eta eskalatzea informazio-sistema osagarrien konexioarekin.

Beste era batera esanda, IdM-a ezartzeko prestatzeko, beharrezkoa da informazio-sistemak prozesu berrirako prest dauden ebaluatzea eta erabiltzaile-kontuak eta erabiltzaile-eskubideak kudeatzeko kanpoko interakzio-interfazeak aldez aurretik amaitzea, interfaze horiek ez badira. sisteman eskuragarri. Sarbide-kontrol integralerako informazio-sistemetan rolak urratsez urrats sortzearen gaia ere aztertu behar da.

Antolakuntza ekitaldiak

Ez deskontatu antolaketa-arazoak ere. Zenbait kasutan, zeregin erabakigarria izan dezakete, proiektu osoaren emaitza askotan sailen arteko interakzio eraginkorraren araberakoa baita. Horretarako, normalean, erakundean prozesu parte-hartzaileen talde bat sortzea aholkatzen dugu, parte hartzen duten sail guztiak barne hartuko dituena. Hau pertsonentzako zama gehigarria denez, saiatu aldez aurretik etorkizuneko prozesuko parte-hartzaile guztiei azaltzen elkarrekintza-egituran duten eginkizuna eta garrantzia. Etapa honetan IdM-ren ideia zure lankideei "saltzen" badiezu, etorkizunean zailtasun asko saihes ditzakezu.

Askotan, informazioaren segurtasuna edo informatika sailak dira enpresa batean IdM ezarpen-proiektuaren “jabeak”, eta negozio-sailen iritziak ez dira kontuan hartzen. Hau akats handia da, haiek bakarrik dakitelako nola eta zein negozio-prozesutan erabiltzen den baliabide bakoitza, nori eman behar zaion sarbidea eta nori ez. Hori dela eta, prestatzeko fasean, garrantzitsua da enpresa-jabea dela informazio-sistemako erabiltzaile-eskubideen (rolen) multzoak garatzen diren eredu funtzionalaren arduraduna, eta baita hori ziurtatzeko ere. rol horiek eguneratuta mantentzen dira. Eredu bat ez da behin eraikitzen den matrize estatiko bat eta lasaitu zaitezke. "Organismo biziduna" da, etengabe aldatu, eguneratu eta garatu behar duena, erakundearen egituran eta langileen funtzionaltasunean izandako aldaketen ondoren. Bestela, sarbidea emateko atzerapenekin lotutako arazoak sortuko dira, edo informaziorako segurtasun arriskuak sortuko dira gehiegizko sarbide-eskubideekin lotutakoak, eta hori are okerragoa da.

Dakizuenez, “zazpi umezainek begirik gabeko haur bat dute”, beraz, konpainiak ereduaren arkitektura deskribatzen duen metodologia bat garatu behar du, berau eguneratuta mantentzeko prozesuan parte-hartzaile zehatzen elkarrekintza eta erantzukizuna deskribatzen dituena. Enpresa batek negozio-jarduera asko baditu, eta, horren arabera, dibisio eta sail asko baditu, orduan eremu bakoitzerako (adibidez, maileguak, lan operatiboak, urruneko zerbitzuak, betetzea eta beste batzuk) roletan oinarritutako sarbidea kudeatzeko prozesuaren barruan, beharrezkoa da komisario bereiziak izendatzea. Horien bitartez, sailaren egituraren aldaketei eta eginkizun bakoitzerako beharrezkoak diren sarbide-eskubideei buruzko informazioa azkar jaso ahal izango da.

Ezinbestekoa da erakundeko zuzendaritzaren laguntza bilatzea prozesuan parte hartzen duten sailen arteko gatazka-egoerak konpontzeko. Eta edozein prozesu berri sartzerakoan gatazkak saihestezinak dira, uste gure esperientzia. Horregatik, interes-gatazka posibleak konponduko dituen arbitro bat behar dugu, beste norbaiten gaizki-ulertu eta sabotajeengatik denborarik ez galtzeko.

Oharra Kontzientziatzen hasteko leku ona zure langileak prestatzea da. Etorkizuneko prozesuaren funtzionamenduaren eta parte-hartzaile bakoitzak bertan duen eginkizunaren azterketa zehatzak irtenbide berri batera igarotzeko zailtasunak gutxituko ditu.

Egiaztatu zerrenda

Laburbilduz, IdM ezartzeko asmoa duen erakunde batek egin behar dituen urrats nagusiak laburbiltzen ditugu:

• langileen datuei ordena jarri;
• sartu langile bakoitzaren identifikazio-parametro bakarra;
• IdM ezartzeko informazio-sistemen prestutasuna baloratzea;
• sarbide-kontrolerako informazio-sistemekin interakziorako interfazeak garatzea, falta badira, eta lan horretarako baliabideak bideratzea;
• eredu bat garatu eta eraiki;
• eredu kudeaketa-prozesu bat eraiki eta negozio-eremu bakoitzeko komisarioak bertan sartzea;
• IdM-ra hasierako konexiorako hainbat sistema aukeratu;
• proiektu-talde eraginkorra sortu;
• enpresako zuzendaritzaren laguntza lortzea;
• langileak prestatzea.

Prestaketa prozesua zaila izan daiteke, beraz, ahal izanez gero, inplikatu aholkulariek.

IdM irtenbide bat ezartzea urrats zaila eta arduratsua da, eta arrakastaz ezartzeko, bai alderdi bakoitzaren ahaleginak banaka: negozio-sailetako langileak, informatika eta informazioaren segurtasun zerbitzuetakoak eta talde osoaren elkarrekintza, oro har, garrantzitsuak dira. Baina ahaleginak merezi du: enpresa batean IdM ezarri ondoren, informazio sistemetan gehiegizko eskumenekin eta baimenik gabeko eskubideekin lotutako gorabeherak gutxitzen dira; langileen geldialdi-denbora faltagatik/beharrezko eskubideen itxaronaldi luzea desagertzen da; Automatizazioa dela eta, lan-kostuak murrizten dira eta informatika eta informazio-segurtasun zerbitzuen lan produktibitatea handitzen da.

Iturria: www.habr.com