ProHoster > Blog > Bestjoer > Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant

Yn eardere artikels hawwe wy al besjoen wat IdM is, hoe te begripen oft jo organisaasje sa'n systeem nedich is, hokker problemen it oplost, en hoe't jo it ymplemintaasjebudzjet rjochtfeardigje kinne foar behear. Hjoed sille wy prate oer de wichtige stadia dy't de organisaasje sels moat gean troch om it juste nivo fan folwoeksenheid te berikken foardat it ymplementearjen fan in IdM-systeem. IdM is ommers ûntworpen om prosessen te automatisearjen, mar it is ûnmooglik om gaos te automatisearjen.

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant

Oant in bedriuw groeit ta de grutte fan in grutte ûndernimming en hat in protte ferskillende bedriuwssystemen sammele, tinkt it normaal net oer tagongskontrôle. Dêrom binne de prosessen foar it krijen fan rjochten en it kontrolearjen fan foegen dêryn net strukturearre en binne lestich te analysearjen. Meiwurkers folje oanfragen foar tagong yn as se wolle; it goedkarringsproses is ek net formalisearre, en soms bestiet it gewoan net. It is ûnmooglik om fluch út te finen hokker tagong in meiwurker hat, wa hat it goedkard en op hokker basis.

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant
Yn betinken nommen dat it proses fan automatisearjen fan tagong twa haadaspekten beynfloedet - personielsgegevens en gegevens fan ynformaasjesystemen wêrmei't yntegraasje moat wurde útfierd, sille wy de stappen beskôgje dy't nedich binne om te soargjen dat de ymplemintaasje fan IdM soepel giet en gjin ôfwizing feroarsaket:

  1. Analyse fan personielsprosessen en optimisaasje fan meiwurkersdatabasestipe yn personielsystemen.
  2. Analyse fan brûkers- en rjochtengegevens, lykas it bywurkjen fan metoaden foar tagongskontrôle yn doelsystemen dy't pland binne te ferbinen mei IdM.
  3. Organisatoaryske aktiviteiten en belutsenens fan personiel yn it proses fan it tarieden op de ymplemintaasje fan IdM.

Persoanlike gegevens

D'r kin ien boarne wêze fan personielsgegevens yn in organisaasje, of d'r kinne ferskate wêze. Bygelyks, in organisaasje kin in frij breed filiaalnetwurk hawwe, en elke branch kin har eigen personielbasis brûke.

Alderearst is it nedich om te begripen hokker basisgegevens oer meiwurkers wurde opslein yn it personielsrekordsysteem, hokker eveneminten wurde opnommen, en har folsleinens en struktuer evaluearje.

Faak komt it foar dat net alle personielseveneminten yn 'e personielsboarne notearre wurde (en noch faker wurde se ûntiid en net folslein korrekt notearre). Hjir binne wat typyske foarbylden:

  • Blêden, har kategoryen en termen (reguliere of lange termyn) wurde net opnommen;
  • Parttime wurkgelegenheid wurdt net registrearre: in meiwurker kin bygelyks by langferlof om in bern te fersoargjen tagelyk yn dieltiid wurkje;
  • de eigentlike status fan 'e kandidaat of wurknimmer is al feroare (ûntfangst / oerdracht / ûntslach), en de oarder oer dit evenemint wurdt útjûn mei in fertraging;
  • in meiwurker wurdt troch ûntslach oerbrocht nei in nije reguliere funksje, wylst it personielssysteem gjin ynformaasje registrearret dat it om in technysk ûntslach giet.

It is ek de muoite wurdich om spesjaal omtinken te jaan oan it beoardieljen fan 'e kwaliteit fan gegevens, om't alle flaters en ûnkrektens krigen fan in fertroude boarne, dat is HR-systemen, kin kostber wêze yn' e takomst en in protte problemen feroarsaakje by it útfieren fan IdM. Bygelyks, HR-meiwurkers ynfiere faak wurknimmersposysjes yn it personielsysteem yn ferskate formaten: haad- en lytse letters, ôfkoartings, ferskate oantallen spaasjes, en sa. As gefolch, deselde posysje kin wurde opnommen yn it personiel systeem yn de folgjende fariaasjes:

  • Hegere liedingjaande
  • hegere liedingjaande
  • hegere liedingjaande
  • Keunst. behearder…

Faak hawwe jo te krijen mei ferskillen yn de stavering fan jo namme:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Foar fierdere automatisearring is sa'n gemienskip net akseptabel, benammen as dizze attributen in wichtich teken fan identifikaasje binne, dat is, gegevens oer de meiwurker en syn foegen yn 'e systemen wurde fergelike mei de folsleine namme.

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant
Dêrneist moatte wy net ferjitte oer de mooglike oanwêzigens fan nammegenoaten en folsleine nammegenoaten yn it bedriuw. As in organisaasje tûzen meiwurkers hat, kinne der in pear sokke wedstriden wêze, mar as der 50 tûzen binne, dan kin dit in kritysk obstakel wurde foar de goede wurking fan it IdM-systeem.

Gearfetsjend al it boppesteande, wy konkludearje: it formaat foar it ynfieren fan gegevens yn de organisaasje syn personiel databank moat wurde standerdisearre. De parameters foar it ynfieren fan nammen, posysjes en ôfdielingen moatte dúdlik definiearre wurde. De bêste opsje is as in HR-meiwurker gegevens net manuell ynfiert, mar selekteart út in foarôf oanmakke map fan 'e struktuer fan ôfdielingen en posysjes mei de funksje "selektearje" beskikber yn 'e personielsdatabase.

Om fierdere flaters yn syngronisaasje te foarkommen en gjin ôfwikingen yn rapporten manuell te korrigearjen, de meast foarkommende manier om meiwurkers te identifisearjen is in ID yn te fieren foar elke meiwurker fan 'e organisaasje. Sa'n identifier sil wurde tawiisd oan elke nije meiwurker en sil ferskine sawol yn it personiel systeem as yn de organisaasje syn ynformaasje systemen as in ferplichte account attribút. It makket net út oft it bestiet út sifers of letters, it wichtichste is dat it unyk is foar elke meiwurker (in protte minsken brûke bygelyks it personielnûmer fan 'e meiwurker). Yn 'e takomst sil de ynfiering fan dit attribút de keppeling fan meiwurkersgegevens yn' e personielsboarne mei syn akkounts en autoriteiten yn ynformaasjesystemen sterk fasilitearje.

Dat, alle stappen en meganismen fan personielsrecords sille moatte wurde analysearre en yn oarder pleatst. It is hiel goed mooglik dat guon prosessen sille moatte wurde feroare of wizige. Dit is ferfeelsum en pynlik wurk, mar it is nedich, oars sil it gebrek oan dúdlike en strukturearre gegevens oer personielseveneminten liede ta flaters yn har automatyske ferwurking. Yn it slimste gefal sille ûnstruktuerde prosessen hielendal ûnmooglik wêze om te automatisearjen.

Doelsystemen

Op it folgjende poadium moatte wy útfine hoefolle ynformaasjesystemen wy wolle yntegrearje yn 'e IdM-struktuer, hokker gegevens oer brûkers en har rjochten binne opslein yn dizze systemen, en hoe't se har beheare.

Yn in protte organisaasjes is d'r in miening dat wy IdM sille ynstallearje, ferbiners foar de doelsystemen konfigurearje, en mei in welle fan in toverstok alles sil wurkje, sûnder ekstra ynspanning fan ús kant. Dat bart, helaas, net. Yn bedriuwen ûntwikkelet en nimt it lânskip fan ynformaasjesystemen stadichoan ta. Elk systeem kin in oare oanpak hawwe om tagongsrjochten te jaan, dat is, ferskate tagongskontrôle-ynterfaces kinne wurde konfigureare. Earne kontrôle fynt plak fia in API (applikaasje programmearring ynterface), earne fia in databank mei help fan bewarre prosedueres, earne kin der gjin ynteraksje Schnittstellen at all. Jo moatte ree wêze op it feit dat jo in protte besteande prosessen moatte opnij besjen foar it behearen fan akkounts en rjochten yn 'e systemen fan' e organisaasje: feroarje it gegevensformaat, ferbetterje ynteraksje-ynterfaces foarôf en allocearje boarnen foar dit wurk.

Rolmodel

Jo sille wierskynlik it konsept fan in rolmodel tsjinkomme yn it stadium fan it kiezen fan in IdM-oplossingprovider, om't dit ien fan 'e kaaibegripen is op it mêd fan behear fan tagongsrjochten. Yn dit model wurdt tagong ta gegevens levere troch in rol. In rol is in set fan tagongen dy't minimaal nedich binne foar in meiwurker yn in bepaalde posysje om har funksjonele ferantwurdlikheden út te fieren.

Rol-basearre tagongskontrôle hat in oantal ûnbestriden foardielen:

  • it is ienfâldich en effektyf om deselde rjochten ta te jaan oan in grut oantal meiwurkers;
  • it prompt feroarjen fan de tagong fan meiwurkers mei deselde set fan rjochten;
  • it eliminearjen fan ûntslach fan rjochten en it beheinen fan ynkompatibele foegen foar brûkers.

De rolmatrix wurdt earst apart boud yn elk fan 'e systemen fan' e organisaasje, en dan opskaald nei it heule IT-lânskip, wêr't wrâldwide saaklike rollen wurde foarme út 'e rollen fan elk systeem. Bygelyks, de saaklike rol "Accountant" sil ferskate aparte rollen omfetsje foar elk fan 'e ynformaasjesystemen brûkt yn' e boekhâldkundige ôfdieling fan 'e ûndernimming.

Koartlyn is it beskôge as "bêste praktyk" om in rolmodel te meitsjen sels op it poadium fan it ûntwikkeljen fan applikaasjes, databases en bestjoeringssystemen. Tagelyk binne d'r faak situaasjes as rollen net yn it systeem binne konfigureare of se besteane gewoan net. Yn dit gefal moat de behearder fan dit systeem akkountynformaasje ynfiere yn ferskate ferskillende bestannen, biblioteken en mappen dy't de nedige tagongsrjochten leverje. It brûken fan foarôf definieare rollen lit jo privileezjes jaan om in heule oanbod fan operaasjes út te fieren yn in systeem mei komplekse gearstalde gegevens.

Rollen yn in ynformaasjesysteem wurde yn 'e regel ferdield foar posysjes en ôfdielingen neffens de personielsstruktuer, mar kinne ek makke wurde foar bepaalde saaklike prosessen. Bygelyks, yn in finansjele organisaasje, ferskate meiwurkers fan de delsetting ôfdieling besette deselde posysje - operator. Mar binnen de ôfdieling is d'r ek in ferdieling yn aparte prosessen, neffens ferskate soarten operaasjes (eksterne of ynterne, yn ferskate munten, mei ferskate segminten fan 'e organisaasje). Om elk fan 'e saaklike gebieten fan ien ôfdieling tagong te jaan ta it ynformaasjesysteem neffens de fereaske spesifikaasjes, is it nedich om rjochten op te nimmen yn yndividuele funksjonele rollen. Dit sil it mooglik meitsje om foar elk fan 'e aktiviteitsgebieten in minimum genôch set fan foegen te leverjen, dy't gjin oerstallige rjochten omfettet.

Derneist, foar grutte systemen mei hûnderten rollen, tûzenen brûkers en miljoenen tagongsrjochten, is it in goede praktyk om in hiërargy fan rollen en privileezje-erfenis te brûken. Bygelyks, de âlderrol Behearder sil de privileezjes fan 'e bernrollen erfje: Brûker en Lêzer, om't de Behearder alles kin dwaan wat de brûker en Lêzer kinne dwaan, en sil ekstra bestjoerlike rjochten hawwe. Mei help fan hiërargy is it net nedich om deselde rjochten yn meardere rollen fan deselde module of systeem opnij oan te jaan.

Op it earste poadium kinne jo rollen oanmeitsje yn dy systemen wêr't it mooglike oantal kombinaasjes fan rjochten net heul grut is en, as gefolch, it maklik is om in lyts oantal rollen te behearjen. Dit kinne typyske rjochten wêze dy't nedich binne troch alle meiwurkers fan it bedriuw foar iepenbier tagonklike systemen lykas Active Directory (AD), postsystemen, Service Manager en sa. Dan kinne de makke rolmatriksen foar ynformaasjesystemen wurde opnaam yn it algemiene rolmodel, en kombinearje se yn saaklike rollen.

Mei dizze oanpak sil it yn 'e takomst by it ymplementearjen fan in IdM-systeem maklik wêze om it hiele proses te automatisearjen fan tagongsrjochten op basis fan' e makke rollen yn 'e earste faze.

NB Jo moatte net besykje om fuortendaliks safolle mooglik systemen yn 'e yntegraasje op te nimmen. It is better om systemen te ferbinen mei in mear komplekse arsjitektuer en tagongsrjochtenbehearstruktuer oan IdM yn in semy-automatyske modus yn 'e earste etappe. Dat is, ymplemintearje, basearre op personielseveneminten, allinich de automatyske generaasje fan in tagongsfersyk, dy't stjoerd wurdt nei de behearder foar útfiering, en hy sil de rjochten manuell konfigurearje.

Nei it suksesfolle foltôgjen fan 'e earste etappe kinne jo de funksjonaliteit fan it systeem útwreidzje nei nije útwreide saaklike prosessen, folsleine automatisearring en skaalfergrutting útfiere mei de ferbining fan ekstra ynformaasjesystemen.

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant
Mei oare wurden, om ta te rieden foar de ymplemintaasje fan IdM, is it nedich om de reewilligens fan ynformaasjesystemen foar it nije proses te beoardieljen en de eksterne ynteraksje-ynterfaces foar it behearen fan brûkersakkounts en brûkersrjochten foarôf te finalisearjen, as sokke ynterfaces net binne beskikber yn it systeem. It probleem fan stap-foar-stap oanmeitsjen fan rollen yn ynformaasjesystemen foar wiidweidige tagongskontrôle moat ek ûndersocht wurde.

Organisatoaryske eveneminten

Ferjit ek gjin organisatoaryske problemen. Yn guon gefallen kinne se in beslissende rol spylje, om't de útkomst fan it hiele projekt faak hinget fan effektive ynteraksje tusken ôfdielingen. Om dit te dwaan, advisearje wy meastentiids it meitsjen fan in team fan proses-dielnimmers yn 'e organisaasje, dat sil omfetsje alle belutsen ôfdielingen. Sûnt dit is in ekstra lêst foar minsken, besykje te útlizze foarôf oan alle dielnimmers yn 'e takomst proses harren rol en betsjutting yn' e ynteraksje struktuer. As jo ​​op dit stadium it idee fan IdM "ferkeapje" oan jo kollega's, kinne jo in protte swierrichheden yn 'e takomst foarkomme.

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant
Faak binne de ynformaasjefeiligens as IT-ôfdielingen de "eigners" fan it IdM-ymplemintaasjeprojekt yn in bedriuw, en de mieningen fan saaklike ôfdielingen wurde net yn rekken brocht. Dit is in grutte flater, om't allinich se witte hoe en yn hokker saaklike prosessen elke boarne brûkt wurdt, wa't der tagong ta krije moat en wa net. Dêrom is it yn 'e tariedingsfaze wichtich om oan te jaan dat it de bedriuwseigner is dy't ferantwurdlik is foar it funksjonele model op basis fan hokker sets fan brûkersrjochten (rollen) yn it ynformaasjesysteem ûntwikkele wurde, en ek foar it garandearjen dat dizze rollen wurde by de tiid hâlden. In rolmodel is gjin statyske matrix dy't ien kear opboud is en dêr kinst rêstich op. Dit is in "libbend organisme" dat konstant moat feroarje, aktualisearje en ûntwikkelje, nei feroaringen yn 'e struktuer fan' e organisaasje en de funksjonaliteit fan meiwurkers. Oars, of problemen sille ûntstean ferbûn mei fertraging by it jaan fan tagong, of ynformaasje feiligens risiko's sille ûntstean ferbûn mei oermjittich tagongsrjochten, dat is noch slimmer.

Sa't jo witte, "sân nannies hawwe in bern sûnder each," sadat it bedriuw moat ûntwikkeljen fan in metodyk dy't beskriuwt de arsjitektuer fan it rolmodel, de ynteraksje en ferantwurdlikens fan spesifike dielnimmers yn it proses foar it byhâlden fan it by de tiid. As in bedriuw in protte gebieten fan saaklike aktiviteit hat en dêrtroch in protte divyzjes ​​en ôfdielingen, dan is it foar elk gebiet (bygelyks útlienen, operasjoneel wurk, tsjinsten op ôfstân, neilibjen en oaren) as ûnderdiel fan it rol-basearre tagongsbehearproses. is nedich om aparte kurators oan te stellen. Troch har sil it mooglik wêze om fluch ynformaasje te krijen oer feroarings yn 'e struktuer fan' e ôfdieling en de tagongsrjochten dy't nedich binne foar elke rol.

It is ymperatyf om de stipe fan it management fan 'e organisaasje yn te roppen om konfliktsituaasjes op te lossen tusken ôfdielingen dy't dielnimme oan it proses. En konflikten by it ynfieren fan in nij proses binne ûnûntkomber, leau ús ûnderfining. Dêrom hawwe wy in arbiter nedich dy't mooglike belangekonflikten oplost, om gjin tiid te fergriemen troch misferstannen en sabotaazje fan in oar.

Implementaasje fan IdM. Tariede op ymplemintaasje troch de klant
NB In goed plak om te begjinnen om bewustwêzen te ferheegjen is om jo personiel op te trenen. In detaillearre stúdzje fan it funksjonearjen fan it takomstige proses en de rol fan elke dielnimmer dêryn sil de swierrichheden fan 'e oergong nei in nije oplossing minimalisearje.

Kontrolearje list

Om gearfetsje, gearfetsje wy de haadstappen dy't in organisaasje dy't plannen om IdM te ymplementearjen moat nimme:

  • oarder bringe oan personielsgegevens;
  • Fier in unike identifikaasjeparameter foar elke meiwurker yn;
  • beoardielje de reewilligens fan ynformaasjesystemen foar de ymplemintaasje fan IdM;
  • ûntwikkelje ynterface foar ynteraksje mei ynformaasjesystemen foar tagongskontrôle, as se ûntbrekke, en allocearje middels foar dit wurk;
  • ûntwikkelje en bouwe in rolmodel;
  • in rolmodelbehearproses bouwe en kurators fan elk bedriuwsgebiet dêryn opnimme;
  • selektearje ferskate systemen foar earste ferbining mei IdM;
  • meitsje in effektyf projektteam;
  • krije stipe fan bedriuw management;
  • trein personiel.

It tariedingsproses kin lestich wêze, dus as it mooglik is, belûke adviseurs.

It útfieren fan in IdM-oplossing is in drege en ferantwurde stap, en foar de suksesfolle ymplemintaasje dêrfan binne sawol de ynspanningen fan elke partij yndividueel - meiwurkers fan saaklike ôfdielingen, IT- en ynformaasjefeiligenstsjinsten, en de ynteraksje fan it heule team as gehiel wichtich. Mar de ynspanningen binne it wurdich: nei it ymplementearjen fan IdM yn in bedriuw nimt it oantal ynsidinten yn ferbân mei oermjittige foegen en net-autorisearre rjochten yn ynformaasjesystemen ôf; wurknimmer downtime troch gebrek / lang wachtsjen op needsaaklike rjochten ferdwynt; Troch automatisearring wurde arbeidskosten fermindere en de arbeidsproduktiviteit fan IT- en ynformaasjefeiligenstsjinsten wurdt ferhege.

Boarne: www.habr.com

Add a comment