ProHoster > Blog > administration > Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client

Dans des articles précédents, nous avons déjà examiné ce qu'est l'IdM, comment comprendre si votre organisation a besoin d'un tel système, quels problèmes il résout et comment justifier le budget de mise en œuvre auprès de la direction. Aujourd'hui, nous parlerons des étapes importantes que l'organisation elle-même doit franchir afin d'atteindre le niveau de maturité approprié avant de mettre en œuvre un système IdM. Après tout, l’IdM est conçue pour automatiser les processus, mais il est impossible d’automatiser le chaos.

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client

Jusqu'à ce qu'une entreprise atteigne la taille d'une grande entreprise et ait accumulé de nombreux systèmes commerciaux différents, elle ne pense généralement pas au contrôle d'accès. Par conséquent, les processus d'obtention des droits et de contrôle des pouvoirs ne sont pas structurés et sont difficiles à analyser. Les employés remplissent les demandes d'accès comme ils le souhaitent ; le processus d'approbation n'est pas non plus formalisé, et parfois il n'existe tout simplement pas. Il est impossible de déterminer rapidement de quel accès dispose un employé, qui l'a approuvé et sur quelle base.

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client
Considérant que le processus d'automatisation des accès touche deux aspects principaux : les données du personnel et les données des systèmes d'information avec lesquels l'intégration doit être réalisée, nous examinerons les étapes nécessaires pour garantir que la mise en œuvre de l'IdM se déroule sans problème et n'entraîne pas de rejet :

  1. Analyse des processus du personnel et optimisation du support de la base de données des employés dans les systèmes du personnel.
  2. Analyse des données d'utilisateurs et de droits, ainsi que mise à jour des méthodes de contrôle d'accès dans les systèmes cibles qu'il est prévu de connecter à IdM.
  3. Activités organisationnelles et implication du personnel dans le processus de préparation de la mise en œuvre de l'IdM.

Données personnelles

Il peut y avoir une seule source de données sur le personnel dans une organisation, ou il peut y en avoir plusieurs. Par exemple, une organisation peut disposer d'un réseau de succursales assez étendu et chaque succursale peut utiliser son propre personnel.

Tout d'abord, il est nécessaire de comprendre quelles données de base sur les employés sont stockées dans le système de dossiers du personnel, quels événements sont enregistrés et d'évaluer leur exhaustivité et leur structure.

Il arrive souvent que tous les événements personnels ne soient pas notés dans la source du personnel (et encore plus souvent, ils sont notés inopportunement et pas tout à fait correctement). Voici quelques exemples typiques :

  • Les congés, leurs catégories et durées (régulières ou de longue durée) ne sont pas enregistrés ;
  • L'emploi à temps partiel n'est pas enregistré : par exemple, pendant un congé de longue durée pour s'occuper d'un enfant, un salarié peut simultanément travailler à temps partiel ;
  • le statut réel du candidat ou du salarié a déjà changé (accueil/transfert/licenciement), et l'ordre concernant cet événement est émis avec retard ;
  • un employé est transféré à un nouveau poste régulier par licenciement, alors que le système du personnel n'enregistre pas les informations indiquant qu'il s'agit d'un licenciement technique.

Il convient également d'accorder une attention particulière à l'évaluation de la qualité des données, car toute erreur et inexactitude obtenue à partir d'une source fiable, à savoir les systèmes RH, peut être coûteuse à l'avenir et causer de nombreux problèmes lors de la mise en œuvre de l'IdM. Par exemple, les employés des RH saisissent souvent les postes des employés dans le système du personnel sous différents formats : lettres majuscules et minuscules, abréviations, différents nombres d'espaces, etc. En conséquence, le même poste peut être enregistré dans le système du personnel dans les variantes suivantes :

  • Cadre supérieur
  • cadre supérieur
  • cadre supérieur
  • Art. directeur…

Vous devez souvent faire face à des différences dans l’orthographe de votre nom :

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Pour une automatisation plus poussée, un tel fouillis est inacceptable, surtout si ces attributs constituent un signe d'identification clé, c'est-à-dire que les données sur l'employé et ses pouvoirs dans les systèmes sont comparées précisément par nom complet.

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client
De plus, il ne faut pas oublier la présence éventuelle d'homonymes et d'homonymes complets dans l'entreprise. Si une organisation compte un millier d'employés, il peut y avoir peu de correspondances de ce type, mais s'il y en a 50 XNUMX, cela peut devenir un obstacle critique au bon fonctionnement du système IdM.

En résumant tout ce qui précède, nous concluons : le format de saisie des données dans la base de données du personnel de l’organisation doit être standardisé. Les paramètres de saisie des noms, des postes et des départements doivent être clairement définis. La meilleure option est lorsqu'un employé RH ne saisit pas les données manuellement, mais les sélectionne dans un répertoire pré-créé de la structure des départements et des postes à l'aide de la fonction « sélectionner » disponible dans la base de données du personnel.

Pour éviter d'autres erreurs de synchronisation et ne pas avoir à corriger manuellement les écarts dans les rapports, le moyen le plus privilégié d'identifier les employés est de saisir un identifiant pour chaque employé de l'organisation. Un tel identifiant sera attribué à chaque nouvel employé et apparaîtra à la fois dans le système du personnel et dans les systèmes d'information de l'organisation comme attribut de compte obligatoire. Peu importe qu’il s’agisse de chiffres ou de lettres, l’essentiel est qu’il soit unique pour chaque employé (par exemple, de nombreuses personnes utilisent le matricule de l’employé). À l'avenir, l'introduction de cet attribut facilitera grandement la liaison des données des employés dans la source du personnel avec leurs comptes et autorisations dans les systèmes d'information.

Ainsi, toutes les étapes et mécanismes des dossiers du personnel devront être analysés et mis en ordre. Il est fort possible que certains processus doivent être changés ou modifiés. Il s'agit d'un travail fastidieux et minutieux, mais nécessaire, sinon le manque de données claires et structurées sur les événements du personnel entraînera des erreurs dans leur traitement automatique. Dans le pire des cas, les processus non structurés seront impossibles à automatiser.

Systèmes cibles

À l'étape suivante, nous devons déterminer combien de systèmes d'information nous souhaitons intégrer dans la structure IdM, quelles données sur les utilisateurs et leurs droits sont stockées dans ces systèmes et comment les gérer.

Dans de nombreuses organisations, on pense que nous allons installer IdM, configurer les connecteurs vers les systèmes cibles, et d'un coup de baguette magique, tout fonctionnera, sans effort supplémentaire de notre part. Malheureusement, cela n’arrive pas. Dans les entreprises, le paysage des systèmes d’information se développe et s’accroît progressivement. Chaque système peut avoir une approche différente pour accorder des droits d'accès, c'est-à-dire que différentes interfaces de contrôle d'accès peuvent être configurées. Quelque part, le contrôle s'effectue via une API (interface de programmation d'application), quelque part via une base de données utilisant des procédures stockées, quelque part il peut n'y avoir aucune interface d'interaction. Vous devez être préparé au fait que vous devrez reconsidérer de nombreux processus existants de gestion des comptes et des droits dans les systèmes de l'organisation : modifier le format des données, améliorer à l'avance les interfaces d'interaction et allouer des ressources pour ce travail.

Modèle

Vous rencontrerez probablement la notion de modèle au stade du choix d’un fournisseur de solution IdM, car c’est l’une des notions clés dans le domaine de la gestion des droits d’accès. Dans ce modèle, l'accès aux données est fourni via un rôle. Un rôle est un ensemble d'accès qui sont minimalement nécessaires à un employé occupant un certain poste pour exercer ses responsabilités fonctionnelles.

Le contrôle d'accès basé sur les rôles présente un certain nombre d'avantages indéniables :

  • il est simple et efficace d’attribuer les mêmes droits à un grand nombre de salariés ;
  • modifier rapidement l'accès des employés bénéficiant du même ensemble de droits ;
  • éliminer la redondance des droits et délimiter les pouvoirs incompatibles des utilisateurs.

La matrice des rôles est d'abord construite séparément dans chacun des systèmes de l'organisation, puis étendue à l'ensemble du paysage informatique, où les rôles commerciaux globaux sont formés à partir des rôles de chaque système. Par exemple, le rôle Business « Comptable » comprendra plusieurs rôles distincts pour chacun des systèmes d'information utilisés dans le service comptable de l'entreprise.

Récemment, il a été considéré comme une « meilleure pratique » de créer un modèle même au stade du développement d'applications, de bases de données et de systèmes d'exploitation. Dans le même temps, il arrive souvent que les rôles ne soient pas configurés dans le système ou qu'ils n'existent tout simplement pas. Dans ce cas, l'administrateur de ce système doit saisir les informations du compte dans plusieurs fichiers, bibliothèques et répertoires différents qui fournissent les autorisations nécessaires. L'utilisation de rôles prédéfinis vous permet d'accorder des privilèges pour effectuer toute une gamme d'opérations dans un système comportant des données composites complexes.

En règle générale, les rôles dans un système d'information sont répartis entre les postes et les départements en fonction de la structure du personnel, mais peuvent également être créés pour certains processus métier. Par exemple, dans une organisation financière, plusieurs employés du service de règlement occupent le même poste - opérateur. Mais au sein du département, il existe également une répartition en processus distincts, selon différents types d'opérations (externes ou internes, dans des devises différentes, avec différents segments de l'organisation). Afin de permettre à chacun des domaines d'activité d'un service d'accéder au système d'information selon les spécificités requises, il est nécessaire d'inclure des droits dans les rôles fonctionnels individuels. Cela permettra de prévoir un ensemble minimum de pouvoirs suffisant, qui ne comporte pas de droits redondants, pour chacun des domaines d'activité.

De plus, pour les grands systèmes comportant des centaines de rôles, des milliers d’utilisateurs et des millions d’autorisations, il est recommandé d’utiliser une hiérarchie de rôles et d’héritage de privilèges. Par exemple, le rôle parent Administrateur héritera des privilèges des rôles enfants : Utilisateur et Lecteur, puisque l'Administrateur peut faire tout ce que l'Utilisateur et le Lecteur peuvent faire, et disposera en plus de droits administratifs supplémentaires. Grâce à la hiérarchie, il n'est pas nécessaire de re-spécifier les mêmes droits dans plusieurs rôles du même module ou système.

Dans un premier temps, vous pouvez créer des rôles dans les systèmes où le nombre possible de combinaisons de droits n'est pas très important et, par conséquent, il est facile de gérer un petit nombre de rôles. Il peut s'agir de droits typiques requis par tous les employés de l'entreprise pour accéder à des systèmes accessibles au public tels que Active Directory (AD), les systèmes de messagerie, Service Manager, etc. Ensuite, les matrices de rôles créées pour les systèmes d'information peuvent être incluses dans le modèle de rôle général, en les combinant en rôles métier.

Grâce à cette approche, à l'avenir, lors de la mise en œuvre d'un système IdM, il sera facile d'automatiser l'ensemble du processus d'octroi des droits d'accès en fonction des rôles de première étape créés.

NB Vous ne devez pas essayer d'inclure immédiatement autant de systèmes que possible dans l'intégration. Il est préférable de connecter les systèmes avec une architecture plus complexe et une structure de gestion des droits d'accès à l'IdM en mode semi-automatique dans un premier temps. C'est-à-dire mettre en œuvre, en fonction des événements du personnel, uniquement la génération automatique d'une demande d'accès, qui sera envoyée à l'administrateur pour exécution, et il configurera les droits manuellement.

Après avoir terminé avec succès la première étape, vous pouvez étendre les fonctionnalités du système à de nouveaux processus métier étendus, mettre en œuvre une automatisation et une mise à l'échelle complètes avec la connexion de systèmes d'information supplémentaires.

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client
En d'autres termes, afin de préparer la mise en œuvre de l'IdM, il est nécessaire d'évaluer l'état de préparation des systèmes d'information au nouveau processus et de finaliser en amont les interfaces d'interaction externes pour la gestion des comptes utilisateurs et des droits des utilisateurs, si ces interfaces ne sont pas disponibles. disponible dans le système. La question de la création étape par étape de rôles dans les systèmes d'information pour un contrôle d'accès global devrait également être explorée.

Événements organisationnels

Ne négligez pas non plus les problèmes d’organisation. Dans certains cas, ils peuvent jouer un rôle décisif, car le résultat de l'ensemble du projet dépend souvent d'une interaction efficace entre les départements. Pour ce faire, nous conseillons généralement de créer une équipe d'acteurs du processus dans l'organisation, qui comprendra tous les départements impliqués. Puisqu'il s'agit d'un fardeau supplémentaire pour les personnes, essayez d'expliquer à l'avance à tous les participants au processus futur leur rôle et leur importance dans la structure d'interaction. Si vous « vendez » l'idée d'IdM à vos collègues à ce stade, vous pourrez éviter de nombreuses difficultés à l'avenir.

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client
Souvent, les services de sécurité de l'information ou informatiques sont les « propriétaires » du projet de mise en œuvre de l'IdM dans une entreprise, et les avis des services métiers ne sont pas pris en compte. C'est une grave erreur, car eux seuls savent comment et dans quels processus métier chaque ressource est utilisée, qui doit y avoir accès et qui ne doit pas y avoir accès. Par conséquent, au stade de la préparation, il est important d'indiquer que c'est le propriétaire de l'entreprise qui est responsable du modèle fonctionnel sur la base duquel les ensembles de droits d'utilisation (rôles) dans le système d'information sont développés, ainsi que de garantir que ces rôles sont tenus à jour. Un modèle de rôle n’est pas une matrice statique qui se construit une seule fois et sur laquelle vous pouvez vous calmer. Il s'agit d'un « organisme vivant » qui doit constamment changer, se mettre à jour et se développer, au gré des changements dans la structure de l'organisation et dans la fonctionnalité des salariés. Sinon, soit des problèmes surgiront liés à des retards dans l'octroi de l'accès, soit des risques pour la sécurité de l'information surviendront liés à des droits d'accès excessifs, ce qui est encore pire.

Comme vous le savez, « sept nounous ont un enfant sans œil », l'entreprise doit donc développer une méthodologie qui décrit l'architecture du modèle, l'interaction et la responsabilité des participants spécifiques dans le processus de mise à jour. Si une entreprise a de nombreux domaines d'activité commerciale et, par conséquent, de nombreuses divisions et départements, alors pour chaque domaine (par exemple, prêts, travail opérationnel, services à distance, conformité et autres) dans le cadre du processus de gestion des accès basé sur les rôles, il est nécessaire de nommer des conservateurs distincts. Grâce à eux, il sera possible de recevoir rapidement des informations sur les changements dans la structure du département et les droits d'accès requis pour chaque rôle.

Il est impératif d'obtenir le soutien de la direction de l'organisation pour résoudre les situations conflictuelles entre les départements participant au processus. Et les conflits lors de l’introduction d’un nouveau processus sont inévitables, selon notre expérience. Par conséquent, nous avons besoin d’un arbitre qui résoudra d’éventuels conflits d’intérêts, afin de ne pas perdre de temps à cause des malentendus et du sabotage de quelqu’un d’autre.

Mise en œuvre de l'IDM. Préparation de la mise en œuvre par le client
NB Un bon point de départ pour sensibiliser la population est de former votre personnel. Une étude détaillée du fonctionnement du futur processus et du rôle de chaque participant minimisera les difficultés de transition vers une nouvelle solution.

Liste de contrôle

Pour résumer, nous résumons les principales étapes qu'une organisation envisageant de mettre en œuvre l'IdM devrait suivre :

  • mettre de l'ordre dans les données du personnel ;
  • saisir un paramètre d'identification unique pour chaque employé ;
  • évaluer l'état de préparation des systèmes d'information pour la mise en œuvre de l'IdM ;
  • développer des interfaces d'interaction avec les systèmes d'information pour le contrôle d'accès, si elles sont manquantes, et allouer des ressources pour ce travail ;
  • développer et construire un modèle;
  • construire un processus de gestion modèle et y inclure des conservateurs de chaque secteur d'activité ;
  • sélectionner plusieurs systèmes pour la connexion initiale à IdM ;
  • créer une équipe de projet efficace ;
  • obtenir le soutien de la direction de l'entreprise ;
  • former le personnel.

Le processus de préparation peut être difficile, alors si possible, faites appel à des consultants.

La mise en œuvre d'une solution IdM est une étape difficile et responsable, et pour sa mise en œuvre réussie, les efforts de chaque partie individuellement - les employés des services commerciaux, les services informatiques et de sécurité de l'information, ainsi que l'interaction de l'ensemble de l'équipe dans son ensemble sont importants. Mais les efforts en valent la peine : après la mise en œuvre de l'IdM dans une entreprise, le nombre d'incidents liés à des pouvoirs excessifs et à des droits non autorisés dans les systèmes d'information diminue ; les temps d'arrêt des employés dus au manque/à la longue attente des droits nécessaires disparaissent ; Grâce à l'automatisation, les coûts de main-d'œuvre sont réduits et la productivité du travail des services informatiques et de sécurité de l'information est augmentée.

Source: habr.com

Ajouter un commentaire