در مقالات قبلی، قبلاً به این موضوع پرداختیم که IdM چیست، چگونه بفهمیم آیا سازمان شما به چنین سیستمی نیاز دارد یا خیر، چه مشکلاتی را حل می کند، و چگونه می توان بودجه پیاده سازی را برای مدیریت توجیه کرد. امروز در مورد مراحل مهمی که خود سازمان باید طی کند تا قبل از پیاده سازی سیستم IdM به سطح بلوغ مناسب دست یابد صحبت خواهیم کرد. از این گذشته، IdM برای خودکارسازی فرآیندها طراحی شده است، اما خودکارسازی هرج و مرج غیرممکن است.
تا زمانی که یک شرکت به اندازه یک شرکت بزرگ رشد نکند و سیستم های تجاری مختلف زیادی را جمع آوری کند، معمولاً به کنترل دسترسی فکر نمی کند. بنابراین فرآیندهای کسب حقوق و اختیارات کنترلی در آن ساختاری ندارد و تحلیل آن مشکل است. کارمندان هر طور که می خواهند درخواست های دسترسی را پر می کنند؛ روند تأیید نیز رسمی نیست و گاهی اوقات به سادگی وجود ندارد. نمی توان به سرعت فهمید که یک کارمند چه دسترسی دارد، چه کسی آن را تایید کرده است و بر چه اساسی.
با توجه به اینکه فرآیند دسترسی خودکار بر دو جنبه اصلی تأثیر می گذارد - داده های پرسنل و داده های سیستم های اطلاعاتی که قرار است با آنها یکپارچه سازی شود، ما اقدامات لازم را برای اطمینان از اینکه اجرای IdM بدون مشکل پیش می رود و باعث رد نمی شود، در نظر خواهیم گرفت:
- تجزیه و تحلیل فرآیندهای پرسنلی و بهینه سازی پشتیبانی پایگاه داده کارکنان در سیستم های پرسنلی.
- تجزیه و تحلیل داده های کاربر و حقوق و همچنین به روز رسانی روش های کنترل دسترسی در سیستم های هدفی که قرار است به IdM متصل شوند.
- فعالیت های سازمانی و مشارکت پرسنل در فرآیند آماده سازی برای اجرای IdM.
داده های پرسنل
ممکن است یک منبع داده پرسنل در یک سازمان وجود داشته باشد یا ممکن است چندین منبع وجود داشته باشد. به عنوان مثال، یک سازمان ممکن است یک شبکه شعب نسبتاً گسترده داشته باشد و هر شعبه ممکن است از پایگاه پرسنلی خود استفاده کند.
اول از همه، لازم است درک کنیم که چه داده های اساسی در مورد کارکنان در سیستم سوابق پرسنل ذخیره می شود، چه رویدادهایی ثبت می شود و کامل بودن و ساختار آنها را ارزیابی می کند.
اغلب اتفاق می افتد که همه رویدادهای پرسنلی در منبع پرسنلی ذکر نمی شوند (و حتی بیشتر اوقات آنها به موقع و نه کاملاً صحیح ذکر می شوند). در اینجا چند نمونه معمولی وجود دارد:
- برگها، دسته ها و شرایط آنها (معمولی یا بلند مدت) ثبت نمی شود.
- اشتغال پاره وقت ثبت نمی شود: به عنوان مثال، در حالی که در مرخصی طولانی مدت برای مراقبت از کودک است، یک کارمند می تواند به طور همزمان به کار پاره وقت بپردازد.
- وضعیت واقعی نامزد یا کارمند قبلاً تغییر کرده است (پذیرایی / انتقال / اخراج) و دستور مربوط به این رویداد با تاخیر صادر می شود.
- یک کارمند از طریق اخراج به یک موقعیت عادی جدید منتقل می شود ، در حالی که سیستم پرسنل اطلاعاتی مبنی بر اینکه این یک اخراج فنی است را ثبت نمی کند.
همچنین ارزش توجه ویژه به ارزیابی کیفیت دادهها را دارد، زیرا هرگونه خطا و نادرستی بهدستآمده از یک منبع قابل اعتماد که سیستمهای منابع انسانی است، میتواند در آینده پرهزینه باشد و هنگام پیادهسازی IdM مشکلات زیادی ایجاد کند. به عنوان مثال، کارکنان منابع انسانی اغلب موقعیت های کارمند را در قالب های مختلف وارد سیستم پرسنلی می کنند: حروف بزرگ و کوچک، اختصارات، تعداد فاصله های مختلف و موارد مشابه. در نتیجه، همان موقعیت را می توان در سیستم پرسنل در تغییرات زیر ثبت کرد:
- مدیر ارشد
- مدیر ارشد
- مدیر ارشد
- هنر مدیر…
اغلب باید با تفاوت هایی در املای نام خود کنار بیایید:
- شملووا ناتالیا گنادیونا،
- شملووا ناتالیا گنادیونا...
برای اتوماسیون بیشتر، چنین درهم و برهمی غیرقابل قبول است، به خصوص اگر این ویژگی ها نشانه کلیدی شناسایی باشند، یعنی داده های مربوط به کارمند و قدرت های او در سیستم ها دقیقاً با نام کامل مقایسه شوند.
علاوه بر این، نباید حضور احتمالی نامها و نامها را در شرکت فراموش کرد. اگر یک سازمان هزار کارمند داشته باشد، ممکن است تعداد کمی از این کارمندان وجود داشته باشد، اما اگر 50 هزار کارمند وجود داشته باشد، این می تواند به یک مانع حیاتی برای عملکرد صحیح سیستم IdM تبدیل شود.
با جمع بندی تمام موارد فوق، نتیجه می گیریم: فرمت ورود داده ها به پایگاه داده کارکنان سازمان باید استاندارد باشد. پارامترهای وارد کردن نام ها، سمت ها و بخش ها باید به وضوح تعریف شوند. بهترین گزینه زمانی است که یک کارمند منابع انسانی داده ها را به صورت دستی وارد نمی کند، بلکه آنها را از یک فهرست از پیش ایجاد شده ساختار بخش ها و موقعیت ها با استفاده از عملکرد "انتخاب" موجود در پایگاه داده پرسنل انتخاب می کند.
برای جلوگیری از خطاهای بیشتر در همگام سازی و عدم نیاز به اصلاح دستی مغایرت در گزارش ها، بهترین راه برای شناسایی کارمندان، وارد کردن یک شناسه است برای هر کارمند سازمان چنین شناسه ای به هر کارمند جدید اختصاص داده می شود و هم در سیستم پرسنلی و هم در سیستم های اطلاعاتی سازمان به عنوان یک ویژگی حساب اجباری ظاهر می شود. مهم نیست که از اعداد یا حروف تشکیل شده باشد، نکته اصلی این است که برای هر کارمند منحصر به فرد است (به عنوان مثال، بسیاری از افراد از شماره پرسنل کارمند استفاده می کنند). در آینده، معرفی این ویژگی ارتباط داده های کارکنان در منبع پرسنل را با حساب ها و مقامات او در سیستم های اطلاعاتی تسهیل می کند.
بنابراین، تمام مراحل و مکانیسم های سوابق پرسنل نیاز به تجزیه و تحلیل و نظم دهی دارد. این کاملاً ممکن است که برخی از فرآیندها باید تغییر یا اصلاح شوند. این کار خسته کننده و پرزحمت است، اما ضروری است، در غیر این صورت عدم وجود داده های واضح و ساختارمند در مورد رویدادهای پرسنلی منجر به خطا در پردازش خودکار آنها می شود. در بدترین حالت، خودکار کردن فرآیندهای بدون ساختار به هیچ وجه غیرممکن خواهد بود.
سیستم های هدف
در مرحله بعد، باید مشخص کنیم که چه تعداد سیستم اطلاعاتی را می خواهیم در ساختار IdM ادغام کنیم، چه داده هایی در مورد کاربران و حقوق آنها در این سیستم ها ذخیره می شود و چگونه آنها را مدیریت کنیم.
در بسیاری از سازمان ها، این عقیده وجود دارد که ما IdM را نصب می کنیم، کانکتورها را به سیستم های هدف پیکربندی می کنیم، و با موجی از عصای جادویی، همه چیز بدون تلاش اضافی از سوی ما کار خواهد کرد. که، افسوس، اتفاق نمی افتد. در شرکت ها، چشم انداز سیستم های اطلاعاتی در حال توسعه و افزایش تدریجی است. هر سیستم می تواند رویکرد متفاوتی برای اعطای حقوق دسترسی داشته باشد، یعنی رابط های کنترل دسترسی مختلف را می توان پیکربندی کرد. در جایی کنترل از طریق یک API (رابط برنامه نویسی برنامه)، جایی از طریق پایگاه داده با استفاده از رویه های ذخیره شده، در جایی ممکن است اصلاً رابط های تعاملی وجود نداشته باشد. شما باید برای این واقعیت آماده باشید که باید در بسیاری از فرآیندهای موجود برای مدیریت حساب ها و حقوق در سیستم های سازمان تجدید نظر کنید: تغییر قالب داده ها، بهبود رابط های تعامل از قبل و تخصیص منابع برای این کار.
الگو
احتمالاً در مرحله انتخاب ارائه دهنده راه حل IdM با مفهوم الگو مواجه خواهید شد، زیرا این یکی از مفاهیم کلیدی در زمینه مدیریت حقوق دسترسی است. در این مدل دسترسی به داده ها از طریق نقش فراهم می شود. نقش مجموعهای از دسترسیها است که برای انجام مسئولیتهای عملکردی خود برای یک کارمند در یک موقعیت خاص حداقل ضروری است.
کنترل دسترسی مبتنی بر نقش چندین مزیت غیرقابل انکار دارد:
- تخصیص حقوق یکسان به تعداد زیادی از کارمندان ساده و مؤثر است.
- تغییر سریع دسترسی کارکنان با مجموعه حقوق یکسان؛
- حذف افزونگی حقوق و محدود کردن اختیارات ناسازگار برای کاربران.
ماتریس نقش ابتدا به طور جداگانه در هر یک از سیستم های سازمان ساخته می شود و سپس به کل چشم انداز فناوری اطلاعات مقیاس می شود، جایی که نقش های تجاری جهانی از نقش های هر سیستم شکل می گیرد. به عنوان مثال، نقش تجاری "حسابدار" شامل چندین نقش جداگانه برای هر یک از سیستم های اطلاعاتی مورد استفاده در بخش حسابداری شرکت خواهد بود.
اخیراً، ایجاد یک الگوی نقش حتی در مرحله توسعه برنامههای کاربردی، پایگاههای داده و سیستمعاملها «بهترین شیوه» در نظر گرفته شده است. در همان زمان، اغلب موقعیت هایی وجود دارد که نقش ها در سیستم پیکربندی نشده اند یا به سادگی وجود ندارند. در این صورت، مدیر این سیستم باید اطلاعات حساب کاربری را در چندین فایل، کتابخانه و دایرکتوری مختلف که مجوزهای لازم را ارائه می کنند، وارد کند. استفاده از نقش های از پیش تعریف شده به شما اجازه می دهد تا امتیازاتی را برای انجام طیف وسیعی از عملیات در یک سیستم با داده های ترکیبی پیچیده اعطا کنید.
نقش ها در یک سیستم اطلاعاتی، به عنوان یک قاعده، برای موقعیت ها و بخش ها با توجه به ساختار کارکنان توزیع می شود، اما همچنین می تواند برای فرآیندهای تجاری خاص ایجاد شود. به عنوان مثال، در یک سازمان مالی، چندین کارمند بخش تسویه حساب یک موقعیت - اپراتور را اشغال می کنند. اما در داخل بخش نیز توزیع به فرآیندهای جداگانه، با توجه به انواع مختلف عملیات (خارجی یا داخلی، به ارزهای مختلف، با بخشهای مختلف سازمان) وجود دارد. برای دسترسی به هر یک از حوزه های تجاری یک بخش با توجه به مشخصات مورد نیاز، لازم است حقوق در نقش های عملکردی فردی گنجانده شود. این امکان فراهم کردن حداقل مجموعه ای از اختیارات کافی را که شامل حقوق اضافی نمی شود برای هر یک از حوزه های فعالیت فراهم می کند.
علاوه بر این، برای سیستمهای بزرگ با صدها نقش، هزاران کاربر و میلیونها مجوز، استفاده از سلسلهمراتب نقشها و وراثت امتیازها تمرین خوبی است. به عنوان مثال، نقش والد Administrator امتیازات نقشهای فرزند را به ارث میبرد: کاربر و خواننده، زیرا مدیر میتواند هر کاری را که کاربر و خواننده میتوانند انجام دهند انجام دهد، بهعلاوه حقوق مدیریتی اضافی نیز خواهد داشت. با استفاده از سلسله مراتب، نیازی به تعیین مجدد حقوق یکسان در چندین نقش از یک ماژول یا سیستم نیست.
در مرحله اول، میتوانید نقشهایی را در سیستمهایی ایجاد کنید که تعداد احتمالی ترکیبات حقوق خیلی زیاد نیست و در نتیجه مدیریت تعداد کمی از نقشها آسان است. اینها ممکن است حقوق معمولی مورد نیاز همه کارمندان شرکت برای سیستم های قابل دسترسی عمومی مانند Active Directory (AD)، سیستم های پستی، Service Manager و موارد مشابه باشد. سپس، ماتریس های نقش ایجاد شده برای سیستم های اطلاعاتی را می توان در الگوی نقش کلی گنجاند و آنها را در نقش های تجاری ترکیب کرد.
با استفاده از این رویکرد، در آینده، هنگام پیادهسازی سیستم IdM، خودکارسازی کل فرآیند اعطای حقوق دسترسی بر اساس نقشهای مرحله اول ایجاد شده آسان خواهد بود.
NB شما نباید سعی کنید فوراً تا حد امکان بسیاری از سیستم ها را در یکپارچه سازی بگنجانید. بهتر است در مرحله اول سیستم هایی با معماری پیچیده تر و ساختار مدیریت حقوق دسترسی به IdM در حالت نیمه اتوماتیک متصل شوند. یعنی بر اساس رویدادهای پرسنلی فقط تولید خودکار درخواست دسترسی را پیاده سازی کنید که برای اجرا به مدیر ارسال می شود و او حقوق را به صورت دستی پیکربندی می کند.
پس از انجام موفقیت آمیز مرحله اول، می توانید عملکرد سیستم را به فرآیندهای تجاری توسعه یافته جدید گسترش دهید، اتوماسیون کامل و مقیاس بندی را با اتصال سیستم های اطلاعات اضافی پیاده سازی کنید.
به عبارت دیگر، به منظور آماده سازی برای پیاده سازی IdM، لازم است آمادگی سیستم های اطلاعاتی برای فرآیند جدید ارزیابی شود و از قبل رابط های تعامل خارجی برای مدیریت حساب های کاربری و حقوق کاربر نهایی شود، در صورتی که چنین رابط هایی وجود ندارند. موجود در سیستم موضوع ایجاد گام به گام نقش ها در سیستم های اطلاعاتی برای کنترل دسترسی جامع نیز باید مورد بررسی قرار گیرد.
رویدادهای سازمانی
مسائل سازمانی را نیز کاهش ندهید. در برخی موارد، آنها می توانند نقش تعیین کننده ای داشته باشند، زیرا نتیجه کل پروژه اغلب به تعامل مؤثر بین بخش ها بستگی دارد. برای انجام این کار، ما معمولاً توصیه می کنیم یک تیم از شرکت کنندگان فرآیند در سازمان ایجاد کنید که شامل تمام بخش های درگیر باشد. از آنجایی که این یک بار اضافی برای افراد است، سعی کنید از قبل برای همه شرکت کنندگان در فرآیند آینده، نقش و اهمیت آنها را در ساختار تعامل توضیح دهید. اگر ایده IdM را در این مرحله به همکاران خود "بفروشید" می توانید از بسیاری از مشکلات در آینده جلوگیری کنید.
اغلب بخشهای امنیت اطلاعات یا IT «صاحبان» پروژه پیادهسازی IdM در یک شرکت هستند و نظرات بخشهای تجاری در نظر گرفته نمیشود. این یک اشتباه بزرگ است، زیرا فقط آنها می دانند که هر منبع چگونه و در چه فرآیندهای تجاری استفاده می شود، چه کسی باید به آن دسترسی داشته باشد و چه کسی نباید. بنابراین، در مرحله آماده سازی، مهم است که نشان داده شود که این مالک کسب و کار است که مسئول مدل عملکردی است که بر اساس آن مجموعه ای از حقوق کاربر (نقش ها) در سیستم اطلاعاتی توسعه می یابد، و همچنین برای اطمینان از اینکه این نقش ها به روز نگه داشته می شوند. الگو، ماتریس ایستا نیست که یک بار ساخته شود و بتوانید روی آن آرام باشید. این یک "ارگانیسم زنده" است که به دنبال تغییرات در ساختار سازمان و عملکرد کارکنان باید دائما تغییر کند، به روز شود و توسعه یابد. در غیر این صورت، یا مشکلات مرتبط با تأخیر در ارائه دسترسی به وجود خواهد آمد، یا خطرات امنیت اطلاعات مرتبط با حقوق دسترسی بیش از حد، که حتی بدتر است، به وجود می آید.
همانطور که می دانید، "هفت پرستار بچه بدون چشم دارند"، بنابراین شرکت باید روشی را توسعه دهد که معماری الگو، تعامل و مسئولیت شرکت کنندگان خاص در فرآیند را برای به روز نگه داشتن آن توصیف کند. اگر یک شرکت دارای حوزههای زیادی از فعالیت تجاری و بر این اساس، بخشها و بخشهای زیادی باشد، برای هر حوزه (به عنوان مثال، وام، کار عملیاتی، خدمات از راه دور، انطباق و موارد دیگر) به عنوان بخشی از فرآیند مدیریت دسترسی مبتنی بر نقش، آن را انجام میدهد. تعیین متصدیان جداگانه ضروری است. از طریق آنها دریافت سریع اطلاعات در مورد تغییرات در ساختار بخش و حقوق دسترسی مورد نیاز برای هر نقش امکان پذیر خواهد بود.
جلب حمایت مدیریت سازمان برای حل و فصل موقعیت های تعارض بین بخش های شرکت کننده در فرآیند ضروری است. و تضادها هنگام معرفی هر فرآیند جدید اجتناب ناپذیر است، تجربه ما را باور کنید. بنابراین، ما به یک داور نیاز داریم که تضاد منافع احتمالی را حل کند تا زمان را به دلیل سوء تفاهم و خرابکاری دیگران هدر ندهیم.
NB یک مکان خوب برای شروع افزایش آگاهی، آموزش کارکنان است. مطالعه دقیق عملکرد فرآیند آینده و نقش هر یک از شرکت کنندگان در آن، مشکلات انتقال به یک راه حل جدید را به حداقل می رساند.
چک لیست
به طور خلاصه، ما مراحل اصلی را که سازمانی که قصد پیاده سازی IdM را دارد باید انجام دهد را خلاصه می کنیم:
- نظم دادن به داده های پرسنل؛
- یک پارامتر شناسایی منحصر به فرد برای هر کارمند وارد کنید.
- ارزیابی آمادگی سیستم های اطلاعاتی برای اجرای IdM.
- توسعه واسط هایی برای تعامل با سیستم های اطلاعاتی برای کنترل دسترسی، در صورت عدم وجود آنها، و تخصیص منابع برای این کار.
- توسعه و ساختن یک الگو؛
- یک فرآیند مدیریت الگو بسازید و متصدیان هر حوزه تجاری را در آن بگنجانید.
- چندین سیستم را برای اتصال اولیه به IdM انتخاب کنید.
- ایجاد یک تیم پروژه موثر؛
- کسب حمایت از مدیریت شرکت؛
- آموزش کارکنان
فرآیند آماده سازی می تواند دشوار باشد، بنابراین در صورت امکان، مشاوران را درگیر کنید.
پیاده سازی راه حل IdM یک گام دشوار و مسئولانه است و برای اجرای موفقیت آمیز آن، هم تلاش هر یک از طرفین به صورت جداگانه - کارمندان بخش های تجاری، خدمات فناوری اطلاعات و امنیت اطلاعات و تعامل کل تیم به عنوان یک کل مهم است. اما تلاش ها ارزشش را دارد: پس از پیاده سازی IdM در یک شرکت، تعداد حوادث مربوط به قدرت های بیش از حد و حقوق غیرمجاز در سیستم های اطلاعاتی کاهش می یابد. از کار افتادگی کارمند به دلیل کمبود / انتظار طولانی برای حقوق ضروری ناپدید می شود. به دلیل اتوماسیون، هزینه های نیروی کار کاهش می یابد و بهره وری نیروی کار خدمات فناوری اطلاعات و امنیت اطلاعات افزایش می یابد.
منبع: www.habr.com