ProHoster > Blogi > antaminen > IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen

Aiemmissa artikkeleissa olemme jo tarkastelleet, mitä IdM on, kuinka ymmärtää, tarvitseeko organisaatiosi tällaista järjestelmää, mitä ongelmia se ratkaisee ja kuinka perustella toteutusbudjetti johdolle. Tänään puhumme tärkeistä vaiheista, jotka organisaation itsensä täytyy käydä läpi saavuttaakseen oikean kypsyystason ennen IdM-järjestelmän käyttöönottoa. Loppujen lopuksi IdM on suunniteltu automatisoimaan prosesseja, mutta kaaosta on mahdotonta automatisoida.

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen

Ennen kuin yritys kasvaa suuren yrityksen kokoiseksi ja siihen on kertynyt paljon erilaisia ​​liiketoimintajärjestelmiä, se ei yleensä ajattele kulunvalvontaa. Siksi oikeuksien ja valvontavaltuuksien hankintaprosessit siinä eivät ole jäsenneltyjä ja niitä on vaikea analysoida. Työntekijät täyttävät käyttöoikeushakemukset haluamallaan tavalla, hyväksymisprosessia ei myöskään ole virallistettu, ja joskus sitä ei yksinkertaisesti ole olemassa. On mahdotonta selvittää nopeasti, millaiset käyttöoikeudet työntekijällä on, kuka sen on hyväksynyt ja millä perusteella.

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen
Ottaen huomioon, että pääsyn automatisointiprosessi vaikuttaa kahteen pääasiaan - henkilöstötietoihin ja tietojärjestelmien tietoihin, joiden kanssa integrointi tehdään, harkitsemme tarvittavia toimenpiteitä varmistaaksemme, että IdM:n käyttöönotto sujuu sujuvasti eikä aiheuta hylkäämistä:

  1. Henkilöstöprosessien analysointi ja henkilöstötietokannan tuen optimointi henkilöstöjärjestelmissä.
  2. Käyttäjä- ja oikeustietojen analysointi sekä kulunvalvontamenetelmien päivitys kohdejärjestelmissä, jotka suunnitellaan liitettäväksi IdM:ään.
  3. Organisaatiotoiminta ja henkilöstön osallistuminen IdM:n täytäntöönpanon valmisteluun.

Henkilötiedot

Organisaatiossa voi olla yksi henkilöstötietolähde tai niitä voi olla useita. Organisaatiolla voi esimerkiksi olla melko laaja konttoriverkosto ja jokainen toimipiste voi käyttää omaa henkilöstöpohjaansa.

Ensinnäkin on ymmärrettävä, mitä perustietoja työntekijöistä on tallennettu henkilöstörekisterijärjestelmään, mitä tapahtumia kirjataan, ja arvioitava niiden täydellisyyttä ja rakennetta.

Usein käy niin, että kaikkia henkilöstötapahtumia ei kirjata henkilöstölähteeseen (ja vielä useammin ne huomioidaan ennenaikaisesti eikä täysin oikein). Tässä on joitain tyypillisiä esimerkkejä:

  • Lehtiä, niiden luokkia ja termejä (säännöllisiä tai pitkäaikaisia) ei kirjata;
  • Osa-aikatyötä ei kirjata: esimerkiksi pitkäaikaisella hoitovapaalla oleva työntekijä voi samanaikaisesti tehdä osa-aikatyötä;
  • ehdokkaan tai työntekijän todellinen asema on jo muuttunut (vastaanotto/siirto/irtisanominen), ja tätä tapahtumaa koskeva määräys annetaan viiveellä;
  • työntekijä siirtyy uuteen vakituiseen tehtävään irtisanomisen kautta, kun taas henkilöstöjärjestelmä ei tallenna tietoa, että kyseessä on tekninen irtisanominen.

Myös tiedon laadun arviointiin kannattaa kiinnittää erityistä huomiota, sillä luotettavasta lähteestä eli HR-järjestelmistä saadut virheet ja epätarkkuudet voivat tulla tulevaisuudessa kalliiksi ja aiheuttaa monia ongelmia IdM:n käyttöönotossa. Esimerkiksi HR-työntekijät syöttävät henkilöstöjärjestelmään usein työpaikat eri muodoissa: isot ja pienet kirjaimet, lyhenteet, eri välilyöntimäärät ja vastaavat. Tämän seurauksena sama asema voidaan kirjata henkilöstöjärjestelmään seuraavina muunnelmina:

  • Ylempi johtaja
  • vanhempi johtaja
  • vanhempi johtaja
  • Taide. johtaja…

Usein joudut käsittelemään eroja nimesi oikeinkirjoituksessa:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Lisäautomaatiota varten tällaista sekamelskaa ei voida hyväksyä, varsinkin jos nämä attribuutit ovat keskeinen tunnistusmerkki, eli tietoja työntekijästä ja hänen toimivaltuuksistaan ​​järjestelmissä verrataan tarkasti koko nimellä.

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen
Lisäksi emme saa unohtaa mahdollista kaimien ja täydellisten kaimien läsnäoloa yrityksessä. Jos organisaatiossa on tuhat työntekijää, tällaisia ​​osumia voi olla vähän, mutta jos niitä on 50 tuhatta, tämä voi olla kriittinen este IdM-järjestelmän oikealle toiminnalle.

Yhteenvetona kaikesta yllä olevasta päätämme: organisaation henkilöstötietokantaan tietojen syöttämisen muoto on standardoitava. Nimien, virkojen ja osastojen syöttöparametrit on määriteltävä selkeästi. Paras vaihtoehto on, kun HR-työntekijä ei syötä tietoja manuaalisesti, vaan valitsee ne valmiiksi luodusta osastojen ja tehtävien rakennehakemistosta henkilöstötietokannan ”select”-toiminnolla.

Jotta vältytään uusilta synkronointivirheiltä ja ettei sinun tarvitse korjata raporttien eroja manuaalisesti, suosituin tapa tunnistaa työntekijät on syöttää henkilötunnus jokaiselle organisaation työntekijälle. Tällainen tunniste annetaan jokaiselle uudelle työntekijälle ja se näkyy sekä henkilöstöjärjestelmässä että organisaation tietojärjestelmissä pakollisena tilimääritteenä. Sillä ei ole väliä, koostuuko se numeroista vai kirjaimista, pääasia, että se on yksilöllinen jokaiselle työntekijälle (esimerkiksi monet käyttävät työntekijän henkilönumeroa). Jatkossa tämän attribuutin käyttöönotto helpottaa suuresti henkilöstölähteen työntekijätietojen yhdistämistä hänen tileihinsä ja tietojärjestelmissä oleviin viranomaisiin.

Joten kaikki henkilöstökirjanpidon vaiheet ja mekanismit on analysoitava ja saatettava kuntoon. On täysin mahdollista, että joitain prosesseja on muutettava tai muutettava. Tämä on työlästä ja vaivalloista työtä, mutta välttämätöntä, muuten selkeän ja jäsennellyn tiedon puute henkilöstötapahtumista johtaa virheisiin niiden automaattisessa käsittelyssä. Pahimmassa tapauksessa jäsentämättömiä prosesseja on mahdotonta automatisoida ollenkaan.

Kohdejärjestelmät

Seuraavassa vaiheessa on selvitettävä, kuinka monta tietojärjestelmää haluamme integroida IdM-rakenteeseen, mitä tietoja käyttäjistä ja heidän oikeuksistaan ​​näihin järjestelmiin tallennetaan ja miten niitä hallinnoidaan.

Monissa organisaatioissa ollaan sitä mieltä, että asennamme IdM:n, konfiguroimme liittimet kohdejärjestelmiin, ja taikasauvan aallon avulla kaikki toimii ilman lisäponnistuksia. Sitä ei valitettavasti tapahdu. Yrityksissä tietojärjestelmämaailma kehittyy ja kasvaa asteittain. Jokaisella järjestelmällä voi olla erilainen lähestymistapa käyttöoikeuksien myöntämiseen, toisin sanoen voidaan konfiguroida erilaisia ​​kulunvalvontarajapintoja. Jossain ohjaus tapahtuu API:n (sovellusohjelmointirajapinnan) kautta, jossain tietokannan kautta tallennettuja proseduureja käyttäen, jossain vuorovaikutusrajapintoja ei ehkä ole ollenkaan. Sinun tulee varautua siihen, että joudut harkitsemaan uudelleen monia olemassa olevia tilien ja oikeuksien hallintaprosesseja organisaation järjestelmissä: muuttamaan tietomuotoa, parantamaan vuorovaikutusrajapintoja etukäteen ja kohdistamaan resursseja tähän työhön.

Roolimalli

Tulet todennäköisesti törmäämään roolimallin käsitteeseen IdM-ratkaisun toimittajan valintavaiheessa, koska tämä on yksi käyttöoikeuksien hallinnan avainkäsitteistä. Tässä mallissa pääsy tietoihin tarjotaan roolin kautta. Rooli on joukko käyttöoikeuksia, joita tietyssä asemassa oleva työntekijä tarvitsee toiminnallisten tehtäviensä suorittamiseksi.

Roolipohjaisella kulunvalvonnalla on useita kiistattomia etuja:

  • on yksinkertaista ja tehokasta antaa samat oikeudet suurelle määrälle työntekijöitä;
  • muuttaa nopeasti työntekijöiden pääsyä samat oikeudet;
  • oikeuksien redundanssin poistaminen ja käyttäjien yhteensopimattomien valtuuksien rajaaminen.

Roolimatriisi rakennetaan ensin erikseen jokaiseen organisaation järjestelmään ja skaalataan sitten koko IT-ympäristöön, jossa kunkin järjestelmän rooleista muodostuu globaalit Business-roolit. Esimerkiksi Business-rooli "Tilinpitäjä" sisältää useita erillisiä rooleja jokaiselle yrityksen kirjanpitoosastolla käytettävälle tietojärjestelmälle.

Viime aikoina on pidetty ”parhaana käytäntönä” roolimallin luomista jo sovellusten, tietokantojen ja käyttöjärjestelmien kehitysvaiheessa. Samaan aikaan tulee usein tilanteita, joissa rooleja ei ole konfiguroitu järjestelmässä tai niitä ei yksinkertaisesti ole olemassa. Tässä tapauksessa tämän järjestelmän ylläpitäjän on syötettävä tilitiedot useisiin eri tiedostoihin, kirjastoihin ja hakemistoihin, jotka tarjoavat tarvittavat käyttöoikeudet. Ennalta määritettyjen roolien käyttö mahdollistaa oikeuksien myöntämisen useiden toimintojen suorittamiseen järjestelmässä, jossa on monimutkaisia ​​yhdistelmätietoja.

Roolit tietojärjestelmässä jaetaan pääsääntöisesti tehtäville ja osastoille henkilöstörakenteen mukaan, mutta niitä voidaan luoda myös tiettyjä liiketoimintaprosesseja varten. Esimerkiksi rahoitusorganisaatiossa useat selvitysosaston työntekijät ovat samassa asemassa - operaattorina. Mutta osastolla on myös jakautuminen erillisiin prosesseihin erilaisten toimintojen mukaan (ulkoinen tai sisäinen, eri valuutoissa, organisaation eri segmenteillä). Jotta yhden osaston jokaiselle liiketoiminta-alueelle saataisiin pääsy tietojärjestelmään vaadittujen spesifikaatioiden mukaisesti, on tarpeen sisällyttää oikeudet yksittäisiin toiminnallisiin rooleihin. Tämä mahdollistaa riittävän vähimmäistoimivallan, joka ei sisällä ylimääräisiä oikeuksia, jokaiselle toiminta-alueelle.

Lisäksi suurissa järjestelmissä, joissa on satoja rooleja, tuhansia käyttäjiä ja miljoonia käyttöoikeuksia, on hyvä käytäntö käyttää roolihierarkiaa ja oikeuksien periytymistä. Esimerkiksi päärooli Järjestelmänvalvoja perii alatason roolien: Käyttäjän ja Lukijan oikeudet, koska järjestelmänvalvoja voi tehdä kaiken, mitä käyttäjä ja lukija voivat tehdä, ja lisäksi hänellä on ylimääräisiä järjestelmänvalvojan oikeuksia. Hierarkiaa käyttämällä ei tarvitse määrittää samoja oikeuksia uudelleen saman moduulin tai järjestelmän useissa rooleissa.

Ensimmäisessä vaiheessa voit luoda rooleja niissä järjestelmissä, joissa mahdollinen oikeusyhdistelmien määrä ei ole kovin suuri ja sen seurauksena pientä roolimäärää on helppo hallita. Nämä voivat olla tyypillisiä oikeuksia, joita kaikki yrityksen työntekijät vaativat julkisiin järjestelmiin, kuten Active Directory (AD), sähköpostijärjestelmät, Service Manager ja vastaavat. Tämän jälkeen tietojärjestelmille luodut roolimatriisit voidaan sisällyttää yleiseen roolimalliin yhdistämällä ne Business-rooleiksi.

Tällä lähestymistavalla tulevaisuudessa IdM-järjestelmää toteutettaessa on helppo automatisoida koko käyttöoikeuksien myöntämisprosessi luotujen ensimmäisen vaiheen roolien perusteella.

NB Sinun ei pitäisi yrittää heti sisällyttää integraatioon mahdollisimman monia järjestelmiä. On parempi yhdistää järjestelmät, joissa on monimutkaisempi arkkitehtuuri ja käyttöoikeuksien hallintarakenne IdM:ään puoliautomaattisessa tilassa ensimmäisessä vaiheessa. Eli toteuta henkilöstötapahtumien perusteella vain automaattinen käyttöoikeuspyyntö, joka lähetetään järjestelmänvalvojalle suoritettaviksi, ja hän määrittää oikeudet manuaalisesti.

Ensimmäisen vaiheen onnistuneen suorittamisen jälkeen voit laajentaa järjestelmän toimivuutta uusiin laajennettuihin liiketoimintaprosesseihin, toteuttaa täyden automaation ja skaalauksen liittämällä lisätietojärjestelmiä.

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen
Toisin sanoen IdM:n käyttöönottoon valmistautumiseksi on tarpeen arvioida tietojärjestelmien valmius uuteen prosessiin ja viimeistellä etukäteen ulkoiset vuorovaikutusrajapinnat käyttäjätilien ja käyttöoikeuksien hallintaan, mikäli sellaisia ​​ei ole saatavilla järjestelmässä. Olisi myös tutkittava kysymystä vaiheittaisesta roolien luomisesta tietojärjestelmiin kattavaa kulunvalvontaa varten.

Järjestötapahtumat

Älä myöskään vähättele organisaatioongelmia. Joissain tapauksissa niillä voi olla ratkaiseva rooli, koska koko projektin lopputulos riippuu usein tehokkaasta osastojen välisestä vuorovaikutuksesta. Tätä varten suosittelemme yleensä luomaan organisaatioon prosessin osallistujista koostuvan tiimin, johon kuuluvat kaikki mukana olevat osastot. Koska tämä on lisätaakka ihmisille, yritä selittää etukäteen kaikille tulevan prosessin osallistujille heidän roolinsa ja merkityksensä vuorovaikutusrakenteessa. Jos "myy" IdM-idea kollegoillesi tässä vaiheessa, voit välttää monia vaikeuksia tulevaisuudessa.

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen
Usein tietoturva- tai IT-osastot ovat IdM-toteutusprojektin ”omistajia” yrityksessä, eikä talousosastojen mielipiteitä oteta huomioon. Tämä on suuri virhe, koska vain he tietävät, miten ja missä liiketoimintaprosesseissa kutakin resurssia käytetään, kenelle siihen pitäisi päästää ja kenelle ei. Siksi valmisteluvaiheessa on tärkeää osoittaa, että yrityksen omistaja on vastuussa siitä toimintamallista, jonka pohjalta tietojärjestelmän käyttöoikeusjoukkoja (rooleja) kehitetään, sekä siitä, että nämä roolit pidetään ajan tasalla. Roolimalli ei ole staattinen matriisi, joka rakennetaan kerran ja jonka varaan voi rauhoittua. Tämä on "elävä organismi", jonka täytyy jatkuvasti muuttua, päivittyä ja kehittyä seuraten organisaation rakenteen ja työntekijöiden toimivuuden muutoksia. Muuten syntyy joko pääsyn viivästymiseen liittyviä ongelmia tai liiallisiin pääsyoikeuksiin liittyy tietoturvariskejä, mikä on vielä pahempaa.

Kuten tiedät, "seitsemällä lastenhoitajalla on lapsi ilman silmää", joten yrityksen on kehitettävä menetelmä, joka kuvaa roolimallin arkkitehtuuria, prosessiin osallistuvien vuorovaikutusta ja vastuuta sen pitämisestä ajan tasalla. Jos yrityksellä on monia liiketoiminta-alueita ja vastaavasti monia divisioonia ja osastoja, niin jokaiselle osa-alueelle (esimerkiksi lainaus, operatiiviset työt, etäpalvelut, vaatimustenmukaisuus ja muut) osana roolipohjaista pääsynhallintaprosessia on tarpeen nimittää erilliset kuraattorit. Niiden kautta on mahdollista saada nopeasti tietoa osaston rakenteen muutoksista ja kunkin roolin edellyttämistä käyttöoikeuksista.

On välttämätöntä saada organisaation johdon tuki prosessiin osallistuvien osastojen välisten konfliktitilanteiden ratkaisemiseen. Ja konfliktit uuden prosessin käyttöönotossa ovat väistämättömiä, usko kokemuksemme. Siksi tarvitsemme välimiehen, joka ratkaisee mahdolliset eturistiriidat, jotta emme tuhlaa aikaa jonkun toisen väärinkäsityksen ja sabotoinnin takia.

IdM:n käyttöönotto. Valmistautuminen asiakkaan toimesta toteutukseen
NB Hyvä paikka aloittaa tietoisuuden lisääminen on kouluttaa henkilökuntaa. Yksityiskohtainen tutkimus tulevaisuuden prosessin toimivuudesta ja kunkin osallistujan roolista siinä minimoi uuteen ratkaisuun siirtymisen vaikeudet.

Tarkistuslista

Yhteenvetona teemme yhteenvedon tärkeimmistä vaiheista, jotka organisaation, joka suunnittelee IdM:n käyttöönottoa, tulisi ottaa:

  • järjestää henkilöstötiedot;
  • syötä yksilöllinen tunnistusparametri jokaiselle työntekijälle;
  • arvioida tietojärjestelmien valmiutta IdM:n toteuttamiseen;
  • kehittää rajapintoja vuorovaikutukseen kulunvalvonnan tietojärjestelmien kanssa, jos ne puuttuvat, ja allokoida resursseja tätä työtä varten;
  • kehittää ja rakentaa roolimalli;
  • rakentaa roolimallijohtamisprosessi ja sisällyttää siihen kuraattorit jokaiselta liiketoiminta-alueelta;
  • valitse useita järjestelmiä ensimmäistä yhteyttä varten IdM:ään;
  • luoda tehokas projektiryhmä;
  • saada tukea yrityksen johdolta;
  • junan henkilökuntaa.

Valmisteluprosessi voi olla vaikea, joten ota tarvittaessa mukaan konsultteja.

IdM-ratkaisun käyttöönotto on vaikea ja vastuullinen askel, ja sen onnistuneelle toteuttamiselle ovat tärkeitä sekä kunkin osapuolen – liiketoimintayksiköiden työntekijöiden, IT- ja tietoturvapalveluiden – panostus erikseen että koko tiimin vuorovaikutus kokonaisuutena. Mutta ponnistelut ovat sen arvoisia: IdM:n käyttöönoton jälkeen tietojärjestelmissä liiallisiin valtuuksiin ja luvattomiin oikeuksiin liittyvien tapausten määrä vähenee; työntekijöiden seisokit puutteesta/pitkä odottelu välttämättömien oikeuksien vuoksi katoavat; Automatisoinnin ansiosta työvoimakustannukset pienenevät ja IT- ja tietoturvapalveluiden työn tuottavuus kasvaa.

Lähde: will.com

Lisää kommentti