ProHoster > وبلاگ > اداره > پیاده سازی IdM آماده سازی برای اجرا توسط مشتری

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری

در مقالات قبلی، قبلاً به این موضوع پرداختیم که IdM چیست، چگونه بفهمیم آیا سازمان شما به چنین سیستمی نیاز دارد یا خیر، چه مشکلاتی را حل می کند، و چگونه می توان بودجه پیاده سازی را برای مدیریت توجیه کرد. امروز در مورد مراحل مهمی که خود سازمان باید طی کند تا قبل از پیاده سازی سیستم IdM به سطح بلوغ مناسب دست یابد صحبت خواهیم کرد. از این گذشته، IdM برای خودکارسازی فرآیندها طراحی شده است، اما خودکارسازی هرج و مرج غیرممکن است.

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری

تا زمانی که یک شرکت به اندازه یک شرکت بزرگ رشد نکند و سیستم های تجاری مختلف زیادی را جمع آوری کند، معمولاً به کنترل دسترسی فکر نمی کند. بنابراین فرآیندهای کسب حقوق و اختیارات کنترلی در آن ساختاری ندارد و تحلیل آن مشکل است. کارمندان هر طور که می خواهند درخواست های دسترسی را پر می کنند؛ روند تأیید نیز رسمی نیست و گاهی اوقات به سادگی وجود ندارد. نمی توان به سرعت فهمید که یک کارمند چه دسترسی دارد، چه کسی آن را تایید کرده است و بر چه اساسی.

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری
با توجه به اینکه فرآیند دسترسی خودکار بر دو جنبه اصلی تأثیر می گذارد - داده های پرسنل و داده های سیستم های اطلاعاتی که قرار است با آنها یکپارچه سازی شود، ما اقدامات لازم را برای اطمینان از اینکه اجرای IdM بدون مشکل پیش می رود و باعث رد نمی شود، در نظر خواهیم گرفت:

  1. تجزیه و تحلیل فرآیندهای پرسنلی و بهینه سازی پشتیبانی پایگاه داده کارکنان در سیستم های پرسنلی.
  2. تجزیه و تحلیل داده های کاربر و حقوق و همچنین به روز رسانی روش های کنترل دسترسی در سیستم های هدفی که قرار است به IdM متصل شوند.
  3. فعالیت های سازمانی و مشارکت پرسنل در فرآیند آماده سازی برای اجرای IdM.

داده های پرسنل

ممکن است یک منبع داده پرسنل در یک سازمان وجود داشته باشد یا ممکن است چندین منبع وجود داشته باشد. به عنوان مثال، یک سازمان ممکن است یک شبکه شعب نسبتاً گسترده داشته باشد و هر شعبه ممکن است از پایگاه پرسنلی خود استفاده کند.

اول از همه، لازم است درک کنیم که چه داده های اساسی در مورد کارکنان در سیستم سوابق پرسنل ذخیره می شود، چه رویدادهایی ثبت می شود و کامل بودن و ساختار آنها را ارزیابی می کند.

اغلب اتفاق می افتد که همه رویدادهای پرسنلی در منبع پرسنلی ذکر نمی شوند (و حتی بیشتر اوقات آنها به موقع و نه کاملاً صحیح ذکر می شوند). در اینجا چند نمونه معمولی وجود دارد:

  • برگها، دسته ها و شرایط آنها (معمولی یا بلند مدت) ثبت نمی شود.
  • اشتغال پاره وقت ثبت نمی شود: به عنوان مثال، در حالی که در مرخصی طولانی مدت برای مراقبت از کودک است، یک کارمند می تواند به طور همزمان به کار پاره وقت بپردازد.
  • وضعیت واقعی نامزد یا کارمند قبلاً تغییر کرده است (پذیرایی / انتقال / اخراج) و دستور مربوط به این رویداد با تاخیر صادر می شود.
  • یک کارمند از طریق اخراج به یک موقعیت عادی جدید منتقل می شود ، در حالی که سیستم پرسنل اطلاعاتی مبنی بر اینکه این یک اخراج فنی است را ثبت نمی کند.

همچنین ارزش توجه ویژه به ارزیابی کیفیت داده‌ها را دارد، زیرا هرگونه خطا و نادرستی به‌دست‌آمده از یک منبع قابل اعتماد که سیستم‌های منابع انسانی است، می‌تواند در آینده پرهزینه باشد و هنگام پیاده‌سازی IdM مشکلات زیادی ایجاد کند. به عنوان مثال، کارکنان منابع انسانی اغلب موقعیت های کارمند را در قالب های مختلف وارد سیستم پرسنلی می کنند: حروف بزرگ و کوچک، اختصارات، تعداد فاصله های مختلف و موارد مشابه. در نتیجه، همان موقعیت را می توان در سیستم پرسنل در تغییرات زیر ثبت کرد:

  • مدیر ارشد
  • مدیر ارشد
  • مدیر ارشد
  • هنر مدیر…

اغلب باید با تفاوت هایی در املای نام خود کنار بیایید:

  • شملووا ناتالیا گنادیونا،
  • شملووا ناتالیا گنادیونا...

برای اتوماسیون بیشتر، چنین درهم و برهمی غیرقابل قبول است، به خصوص اگر این ویژگی ها نشانه کلیدی شناسایی باشند، یعنی داده های مربوط به کارمند و قدرت های او در سیستم ها دقیقاً با نام کامل مقایسه شوند.

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری
علاوه بر این، نباید حضور احتمالی نام‌ها و نام‌ها را در شرکت فراموش کرد. اگر یک سازمان هزار کارمند داشته باشد، ممکن است تعداد کمی از این کارمندان وجود داشته باشد، اما اگر 50 هزار کارمند وجود داشته باشد، این می تواند به یک مانع حیاتی برای عملکرد صحیح سیستم IdM تبدیل شود.

با جمع بندی تمام موارد فوق، نتیجه می گیریم: فرمت ورود داده ها به پایگاه داده کارکنان سازمان باید استاندارد باشد. پارامترهای وارد کردن نام ها، سمت ها و بخش ها باید به وضوح تعریف شوند. بهترین گزینه زمانی است که یک کارمند منابع انسانی داده ها را به صورت دستی وارد نمی کند، بلکه آنها را از یک فهرست از پیش ایجاد شده ساختار بخش ها و موقعیت ها با استفاده از عملکرد "انتخاب" موجود در پایگاه داده پرسنل انتخاب می کند.

برای جلوگیری از خطاهای بیشتر در همگام سازی و عدم نیاز به اصلاح دستی مغایرت در گزارش ها، بهترین راه برای شناسایی کارمندان، وارد کردن یک شناسه است برای هر کارمند سازمان چنین شناسه ای به هر کارمند جدید اختصاص داده می شود و هم در سیستم پرسنلی و هم در سیستم های اطلاعاتی سازمان به عنوان یک ویژگی حساب اجباری ظاهر می شود. مهم نیست که از اعداد یا حروف تشکیل شده باشد، نکته اصلی این است که برای هر کارمند منحصر به فرد است (به عنوان مثال، بسیاری از افراد از شماره پرسنل کارمند استفاده می کنند). در آینده، معرفی این ویژگی ارتباط داده های کارکنان در منبع پرسنل را با حساب ها و مقامات او در سیستم های اطلاعاتی تسهیل می کند.

بنابراین، تمام مراحل و مکانیسم های سوابق پرسنل نیاز به تجزیه و تحلیل و نظم دهی دارد. این کاملاً ممکن است که برخی از فرآیندها باید تغییر یا اصلاح شوند. این کار خسته کننده و پرزحمت است، اما ضروری است، در غیر این صورت عدم وجود داده های واضح و ساختارمند در مورد رویدادهای پرسنلی منجر به خطا در پردازش خودکار آنها می شود. در بدترین حالت، خودکار کردن فرآیندهای بدون ساختار به هیچ وجه غیرممکن خواهد بود.

سیستم های هدف

در مرحله بعد، باید مشخص کنیم که چه تعداد سیستم اطلاعاتی را می خواهیم در ساختار IdM ادغام کنیم، چه داده هایی در مورد کاربران و حقوق آنها در این سیستم ها ذخیره می شود و چگونه آنها را مدیریت کنیم.

در بسیاری از سازمان ها، این عقیده وجود دارد که ما IdM را نصب می کنیم، کانکتورها را به سیستم های هدف پیکربندی می کنیم، و با موجی از عصای جادویی، همه چیز بدون تلاش اضافی از سوی ما کار خواهد کرد. که، افسوس، اتفاق نمی افتد. در شرکت ها، چشم انداز سیستم های اطلاعاتی در حال توسعه و افزایش تدریجی است. هر سیستم می تواند رویکرد متفاوتی برای اعطای حقوق دسترسی داشته باشد، یعنی رابط های کنترل دسترسی مختلف را می توان پیکربندی کرد. در جایی کنترل از طریق یک API (رابط برنامه نویسی برنامه)، جایی از طریق پایگاه داده با استفاده از رویه های ذخیره شده، در جایی ممکن است اصلاً رابط های تعاملی وجود نداشته باشد. شما باید برای این واقعیت آماده باشید که باید در بسیاری از فرآیندهای موجود برای مدیریت حساب ها و حقوق در سیستم های سازمان تجدید نظر کنید: تغییر قالب داده ها، بهبود رابط های تعامل از قبل و تخصیص منابع برای این کار.

الگو

احتمالاً در مرحله انتخاب ارائه دهنده راه حل IdM با مفهوم الگو مواجه خواهید شد، زیرا این یکی از مفاهیم کلیدی در زمینه مدیریت حقوق دسترسی است. در این مدل دسترسی به داده ها از طریق نقش فراهم می شود. نقش مجموعه‌ای از دسترسی‌ها است که برای انجام مسئولیت‌های عملکردی خود برای یک کارمند در یک موقعیت خاص حداقل ضروری است.

کنترل دسترسی مبتنی بر نقش چندین مزیت غیرقابل انکار دارد:

  • تخصیص حقوق یکسان به تعداد زیادی از کارمندان ساده و مؤثر است.
  • تغییر سریع دسترسی کارکنان با مجموعه حقوق یکسان؛
  • حذف افزونگی حقوق و محدود کردن اختیارات ناسازگار برای کاربران.

ماتریس نقش ابتدا به طور جداگانه در هر یک از سیستم های سازمان ساخته می شود و سپس به کل چشم انداز فناوری اطلاعات مقیاس می شود، جایی که نقش های تجاری جهانی از نقش های هر سیستم شکل می گیرد. به عنوان مثال، نقش تجاری "حسابدار" شامل چندین نقش جداگانه برای هر یک از سیستم های اطلاعاتی مورد استفاده در بخش حسابداری شرکت خواهد بود.

اخیراً، ایجاد یک الگوی نقش حتی در مرحله توسعه برنامه‌های کاربردی، پایگاه‌های داده و سیستم‌عامل‌ها «بهترین شیوه» در نظر گرفته شده است. در همان زمان، اغلب موقعیت هایی وجود دارد که نقش ها در سیستم پیکربندی نشده اند یا به سادگی وجود ندارند. در این صورت، مدیر این سیستم باید اطلاعات حساب کاربری را در چندین فایل، کتابخانه و دایرکتوری مختلف که مجوزهای لازم را ارائه می کنند، وارد کند. استفاده از نقش های از پیش تعریف شده به شما اجازه می دهد تا امتیازاتی را برای انجام طیف وسیعی از عملیات در یک سیستم با داده های ترکیبی پیچیده اعطا کنید.

نقش ها در یک سیستم اطلاعاتی، به عنوان یک قاعده، برای موقعیت ها و بخش ها با توجه به ساختار کارکنان توزیع می شود، اما همچنین می تواند برای فرآیندهای تجاری خاص ایجاد شود. به عنوان مثال، در یک سازمان مالی، چندین کارمند بخش تسویه حساب یک موقعیت - اپراتور را اشغال می کنند. اما در داخل بخش نیز توزیع به فرآیندهای جداگانه، با توجه به انواع مختلف عملیات (خارجی یا داخلی، به ارزهای مختلف، با بخش‌های مختلف سازمان) وجود دارد. برای دسترسی به هر یک از حوزه های تجاری یک بخش با توجه به مشخصات مورد نیاز، لازم است حقوق در نقش های عملکردی فردی گنجانده شود. این امکان فراهم کردن حداقل مجموعه ای از اختیارات کافی را که شامل حقوق اضافی نمی شود برای هر یک از حوزه های فعالیت فراهم می کند.

علاوه بر این، برای سیستم‌های بزرگ با صدها نقش، هزاران کاربر و میلیون‌ها مجوز، استفاده از سلسله‌مراتب نقش‌ها و وراثت امتیازها تمرین خوبی است. به عنوان مثال، نقش والد Administrator امتیازات نقش‌های فرزند را به ارث می‌برد: کاربر و خواننده، زیرا مدیر می‌تواند هر کاری را که کاربر و خواننده می‌توانند انجام دهند انجام دهد، به‌علاوه حقوق مدیریتی اضافی نیز خواهد داشت. با استفاده از سلسله مراتب، نیازی به تعیین مجدد حقوق یکسان در چندین نقش از یک ماژول یا سیستم نیست.

در مرحله اول، می‌توانید نقش‌هایی را در سیستم‌هایی ایجاد کنید که تعداد احتمالی ترکیبات حقوق خیلی زیاد نیست و در نتیجه مدیریت تعداد کمی از نقش‌ها آسان است. اینها ممکن است حقوق معمولی مورد نیاز همه کارمندان شرکت برای سیستم های قابل دسترسی عمومی مانند Active Directory (AD)، سیستم های پستی، Service Manager و موارد مشابه باشد. سپس، ماتریس های نقش ایجاد شده برای سیستم های اطلاعاتی را می توان در الگوی نقش کلی گنجاند و آنها را در نقش های تجاری ترکیب کرد.

با استفاده از این رویکرد، در آینده، هنگام پیاده‌سازی سیستم IdM، خودکارسازی کل فرآیند اعطای حقوق دسترسی بر اساس نقش‌های مرحله اول ایجاد شده آسان خواهد بود.

NB شما نباید سعی کنید فوراً تا حد امکان بسیاری از سیستم ها را در یکپارچه سازی بگنجانید. بهتر است در مرحله اول سیستم هایی با معماری پیچیده تر و ساختار مدیریت حقوق دسترسی به IdM در حالت نیمه اتوماتیک متصل شوند. یعنی بر اساس رویدادهای پرسنلی فقط تولید خودکار درخواست دسترسی را پیاده سازی کنید که برای اجرا به مدیر ارسال می شود و او حقوق را به صورت دستی پیکربندی می کند.

پس از انجام موفقیت آمیز مرحله اول، می توانید عملکرد سیستم را به فرآیندهای تجاری توسعه یافته جدید گسترش دهید، اتوماسیون کامل و مقیاس بندی را با اتصال سیستم های اطلاعات اضافی پیاده سازی کنید.

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری
به عبارت دیگر، به منظور آماده سازی برای پیاده سازی IdM، لازم است آمادگی سیستم های اطلاعاتی برای فرآیند جدید ارزیابی شود و از قبل رابط های تعامل خارجی برای مدیریت حساب های کاربری و حقوق کاربر نهایی شود، در صورتی که چنین رابط هایی وجود ندارند. موجود در سیستم موضوع ایجاد گام به گام نقش ها در سیستم های اطلاعاتی برای کنترل دسترسی جامع نیز باید مورد بررسی قرار گیرد.

رویدادهای سازمانی

مسائل سازمانی را نیز کاهش ندهید. در برخی موارد، آنها می توانند نقش تعیین کننده ای داشته باشند، زیرا نتیجه کل پروژه اغلب به تعامل مؤثر بین بخش ها بستگی دارد. برای انجام این کار، ما معمولاً توصیه می کنیم یک تیم از شرکت کنندگان فرآیند در سازمان ایجاد کنید که شامل تمام بخش های درگیر باشد. از آنجایی که این یک بار اضافی برای افراد است، سعی کنید از قبل برای همه شرکت کنندگان در فرآیند آینده، نقش و اهمیت آنها را در ساختار تعامل توضیح دهید. اگر ایده IdM را در این مرحله به همکاران خود "بفروشید" می توانید از بسیاری از مشکلات در آینده جلوگیری کنید.

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری
اغلب بخش‌های امنیت اطلاعات یا IT «صاحبان» پروژه پیاده‌سازی IdM در یک شرکت هستند و نظرات بخش‌های تجاری در نظر گرفته نمی‌شود. این یک اشتباه بزرگ است، زیرا فقط آنها می دانند که هر منبع چگونه و در چه فرآیندهای تجاری استفاده می شود، چه کسی باید به آن دسترسی داشته باشد و چه کسی نباید. بنابراین، در مرحله آماده سازی، مهم است که نشان داده شود که این مالک کسب و کار است که مسئول مدل عملکردی است که بر اساس آن مجموعه ای از حقوق کاربر (نقش ها) در سیستم اطلاعاتی توسعه می یابد، و همچنین برای اطمینان از اینکه این نقش ها به روز نگه داشته می شوند. الگو، ماتریس ایستا نیست که یک بار ساخته شود و بتوانید روی آن آرام باشید. این یک "ارگانیسم زنده" است که به دنبال تغییرات در ساختار سازمان و عملکرد کارکنان باید دائما تغییر کند، به روز شود و توسعه یابد. در غیر این صورت، یا مشکلات مرتبط با تأخیر در ارائه دسترسی به وجود خواهد آمد، یا خطرات امنیت اطلاعات مرتبط با حقوق دسترسی بیش از حد، که حتی بدتر است، به وجود می آید.

همانطور که می دانید، "هفت پرستار بچه بدون چشم دارند"، بنابراین شرکت باید روشی را توسعه دهد که معماری الگو، تعامل و مسئولیت شرکت کنندگان خاص در فرآیند را برای به روز نگه داشتن آن توصیف کند. اگر یک شرکت دارای حوزه‌های زیادی از فعالیت تجاری و بر این اساس، بخش‌ها و بخش‌های زیادی باشد، برای هر حوزه (به عنوان مثال، وام، کار عملیاتی، خدمات از راه دور، انطباق و موارد دیگر) به عنوان بخشی از فرآیند مدیریت دسترسی مبتنی بر نقش، آن را انجام می‌دهد. تعیین متصدیان جداگانه ضروری است. از طریق آنها دریافت سریع اطلاعات در مورد تغییرات در ساختار بخش و حقوق دسترسی مورد نیاز برای هر نقش امکان پذیر خواهد بود.

جلب حمایت مدیریت سازمان برای حل و فصل موقعیت های تعارض بین بخش های شرکت کننده در فرآیند ضروری است. و تضادها هنگام معرفی هر فرآیند جدید اجتناب ناپذیر است، تجربه ما را باور کنید. بنابراین، ما به یک داور نیاز داریم که تضاد منافع احتمالی را حل کند تا زمان را به دلیل سوء تفاهم و خرابکاری دیگران هدر ندهیم.

پیاده سازی IdM آماده سازی برای اجرا توسط مشتری
NB یک مکان خوب برای شروع افزایش آگاهی، آموزش کارکنان است. مطالعه دقیق عملکرد فرآیند آینده و نقش هر یک از شرکت کنندگان در آن، مشکلات انتقال به یک راه حل جدید را به حداقل می رساند.

چک لیست

به طور خلاصه، ما مراحل اصلی را که سازمانی که قصد پیاده سازی IdM را دارد باید انجام دهد را خلاصه می کنیم:

  • نظم دادن به داده های پرسنل؛
  • یک پارامتر شناسایی منحصر به فرد برای هر کارمند وارد کنید.
  • ارزیابی آمادگی سیستم های اطلاعاتی برای اجرای IdM.
  • توسعه واسط هایی برای تعامل با سیستم های اطلاعاتی برای کنترل دسترسی، در صورت عدم وجود آنها، و تخصیص منابع برای این کار.
  • توسعه و ساختن یک الگو؛
  • یک فرآیند مدیریت الگو بسازید و متصدیان هر حوزه تجاری را در آن بگنجانید.
  • چندین سیستم را برای اتصال اولیه به IdM انتخاب کنید.
  • ایجاد یک تیم پروژه موثر؛
  • کسب حمایت از مدیریت شرکت؛
  • آموزش کارکنان

فرآیند آماده سازی می تواند دشوار باشد، بنابراین در صورت امکان، مشاوران را درگیر کنید.

پیاده سازی راه حل IdM یک گام دشوار و مسئولانه است و برای اجرای موفقیت آمیز آن، هم تلاش هر یک از طرفین به صورت جداگانه - کارمندان بخش های تجاری، خدمات فناوری اطلاعات و امنیت اطلاعات و تعامل کل تیم به عنوان یک کل مهم است. اما تلاش ها ارزشش را دارد: پس از پیاده سازی IdM در یک شرکت، تعداد حوادث مربوط به قدرت های بیش از حد و حقوق غیرمجاز در سیستم های اطلاعاتی کاهش می یابد. از کار افتادگی کارمند به دلیل کمبود / انتظار طولانی برای حقوق ضروری ناپدید می شود. به دلیل اتوماسیون، هزینه های نیروی کار کاهش می یابد و بهره وری نیروی کار خدمات فناوری اطلاعات و امنیت اطلاعات افزایش می یابد.

منبع: www.habr.com

اضافه کردن نظر