ProHoster > Blog > Administración > Implantación de IdM. Preparación para a implantación por parte do cliente

Implantación de IdM. Preparación para a implantación por parte do cliente

En artigos anteriores, xa consideramos o que é IdM, como entender se a súa organización necesita un sistema deste tipo, que tarefas resolve e como xustificar o orzamento de implantación ante a dirección. Hoxe falaremos das importantes etapas polas que debe pasar a propia organización para acadar o nivel de madurez adecuado antes de implantar o sistema IdM. Despois de todo, IdM está deseñado para automatizar procesos e é imposible automatizar o caos.

Implantación de IdM. Preparación para a implantación por parte do cliente

Ata o momento en que unha empresa crece ata alcanzar o tamaño dunha gran empresa e acumula moitos sistemas comerciais diferentes, normalmente non pensa no control de acceso. Polo tanto, os procesos de obtención de dereitos e poderes de control nel non están estruturados e son de difícil análise. Os empregados enchen as solicitudes de acceso como queiran, o proceso de homologación tampouco está formalizado e, ás veces, simplemente non existe. É imposible descubrir rapidamente que accesos ten un empregado, quen os aprobou e en que base.

Implantación de IdM. Preparación para a implantación por parte do cliente
Tendo en conta que o proceso de automatización de accesos afecta a dous aspectos principais: datos de persoal e datos de sistemas de información, cos que se vai realizar a integración, teremos en conta os pasos necesarios para que a implantación de IdM transcorra sen problemas e non provoque rexeitamento:

  1. Análise de procesos de persoal e optimización do mantemento da base de datos de empregados en sistemas de persoal.
  2. Análise de datos sobre usuarios e dereitos, así como actualización de métodos de control de acceso en sistemas de destino que se prevé conectar a IdM.
  3. Medidas organizativas e implicación do persoal no proceso de preparación para a implantación de IdM.

Datos de persoal

Pode haber unha fonte de datos de persoal nunha organización, ou pode haber varias. Por exemplo, unha organización pode ter unha rede de sucursais bastante ampla e cada sucursal pode utilizar a súa propia base de persoal.

En primeiro lugar, é necesario comprender que datos básicos sobre os empregados se almacenan no sistema de rexistros de persoal, que eventos se rexistran e avaliar a súa integridade e estrutura.

Adoita ocorrer que non todos os eventos de persoal se anotan na fonte de persoal (e aínda máis frecuentemente se anotan fóra de prazo e non correctamente). Aquí tes algúns exemplos típicos:

  • as vacacións, as súas categorías e prazos (regulares ou longos) non son fixas;
  • o emprego a tempo parcial non se rexistra: por exemplo, mentres está a un longo permiso parental, un empregado pode traballar simultaneamente a tempo parcial;
  • o estado real do candidato ou empregado xa cambiou (contratación / traslado / despedimento) e a orde sobre este evento emítese con atraso;
  • un empregado é trasladado a un novo posto a tempo completo mediante despedimento, mentres que o sistema de persoal non rexistra información de que se trata dun despedimento técnico.

Tamén merece a pena prestar especial atención á avaliación da calidade dos datos, xa que os erros e inexactitudes recibidos dunha fonte fiable, que son sistemas de rexistros de persoal, poden ser caros no futuro e causar moitos problemas á hora de implementar IdM. Por exemplo, os oficiais de persoal adoitan ingresar postos de empregados no sistema de persoal en diferentes formatos: letras maiúsculas e minúsculas, abreviaturas, un número diferente de espazos e similares. Como resultado, o mesmo posto pódese fixar no sistema de persoal nas seguintes variacións:

  • Xerente superior
  • xerente superior
  • xerente superior
  • Art. xestor…

Moitas veces ten que tratar con diferenzas na ortografía do nome completo:

  • Shmeleva Natalia Gennadievna,
  • Shmeleva Natalia Gennadievna...

Para unha maior automatización, tal confusión é inaceptable, especialmente se estes atributos son un sinal clave de identificación, é dicir, os datos sobre o empregado e os seus poderes nos sistemas compáranse precisamente polo nome completo.

Implantación de IdM. Preparación para a implantación por parte do cliente
Ademais, non se debe esquecer da posible presenza de homónimos e homónimos completos na empresa. Se unha organización ten mil empregados, pode haber poucas coincidencias deste tipo, e se hai 50 mil, isto pode converterse nun obstáculo crítico para o correcto funcionamento do sistema IdM.

Resumindo todo o anterior, conclúese: o formato para introducir datos na base de persoal da organización debería estar estandarizado. Deben estar claramente definidos os parámetros para introducir nomes completos, cargos e departamentos. A mellor opción é cando un traballador de persoal non introduce os datos manualmente, senón que os selecciona dun directorio pre-creado da estrutura de departamentos e postos mediante a función "seleccionar" dispoñible na base de datos de persoal.

Para evitar máis erros na sincronización e non corrixir manualmente discrepancias nos informes, a forma máis preferida de identificar aos empregados é introducir unha identificación para cada empregado da organización. Dito identificador asignarase a cada novo empregado e aparecerá tanto no sistema de persoal como nos sistemas de información da organización como atributo obrigatorio da conta. Non importa se consta de números ou letras, o principal é que é único para cada empregado (por exemplo, moitos usan o número de persoal dun empregado). No futuro, a introdución deste atributo facilitará moito a vinculación dos datos dos empregados na fonte de persoal coas súas contas e autoridades nos sistemas de información.

Polo tanto, todos os pasos e mecanismos dos rexistros de persoal deberán ser analizados e ordenados. É posible que haxa que cambiar ou mellorar algúns procesos. Trátase dun traballo tedioso e minucioso, pero é necesario, se non, a falta de datos claros e estruturados sobre os eventos do persoal provocará erros no seu procesamento automático. No peor dos casos, os procesos non estruturados non se poden automatizar en absoluto.

Sistemas de destino

Na seguinte fase, temos que descubrir cantos sistemas de información queremos integrar na estrutura IdM, que datos sobre os usuarios e os seus dereitos se almacenan nestes sistemas e como xestionalos.

En moitas organizacións, existe a opinión de que instalaremos IdM, configuraremos os conectores para os sistemas de destino e, cun golpe de varita máxica, todo funcionará, sen esforzos adicionais da nosa parte. Entón, por desgraza, non sucede. Nas empresas, o panorama dos sistemas de información evoluciona e crece paulatinamente. En cada un dos sistemas pódese organizar un enfoque diferente para a concesión de dereitos de acceso, é dicir, configuran diferentes interfaces de control de acceso. Nalgún lugar a xestión ocorre a través da API (interface de programación de aplicacións), nalgún lugar a través da base de datos mediante procedementos almacenados, nalgún lugar pode que non haxa interfaces de interacción. Debería estar preparado para o feito de que terá que revisar moitos procesos existentes para xestionar contas e dereitos nos sistemas da organización: cambiar o formato de datos, finalizar interfaces de interacción con antelación e asignar recursos para estes traballos.

modelo de conduta

Probablemente se atope co concepto de modelo a seguir na fase de elección dun provedor de solucións IdM, xa que este é un dos conceptos fundamentais no ámbito da xestión de dereitos de acceso. Neste modelo, o acceso aos datos concédese a través dun rol. Un rol é un conxunto de accesos mínimamente necesarios para que un empregado nun determinado posto poida desempeñar as súas funcións funcionais.

O control de acceso baseado en funcións ten unha serie de vantaxes innegables:

  • cesión sinxela e eficaz dos mesmos dereitos a un gran número de empregados;
  • cambio rápido de acceso para empregados co mesmo conxunto de dereitos;
  • exclusión da redundancia de dereitos e diferenciación de poderes incompatibles para os usuarios.

A matriz de roles constrúese primeiro por separado en cada un dos sistemas da organización, e despois escalase a todo o panorama de TI, onde os roles de negocios globais se forman a partir dos roles de cada sistema. Por exemplo, o rol empresarial "Contador" incluirá varios roles separados para cada un dos sistemas de información utilizados no departamento de contabilidade da empresa.

Recentemente, considérase "a mellor práctica" crear un modelo a seguir mesmo na fase de desenvolvemento de aplicacións, bases de datos e sistemas operativos. Ao mesmo tempo, non son raras as situacións nas que os roles non están configurados no sistema ou simplemente non existen. Neste caso, o administrador deste sistema debe introducir os datos da conta en varios ficheiros, bibliotecas e directorios diferentes que proporcionen os permisos necesarios. O uso de roles predefinidos permítelle outorgar privilexios para realizar toda unha gama de operacións nun sistema con datos compostos complexos.

Os roles no sistema de información, por regra xeral, distribúense para postos e departamentos segundo a estrutura do persoal, pero tamén se poden crear para determinados procesos comerciais. Por exemplo, nunha institución financeira, varios empregados do departamento de liquidacións ocupan a mesma posición: o operador. Pero dentro do departamento tamén hai unha distribución en procesos separados, segundo diferentes tipos de operacións (externas ou internas, en diferentes moedas, con distintos segmentos da organización). Para que cada unha das áreas de negocio dun departamento teña acceso ao sistema de información segundo as especificacións requiridas, é necesario incluír dereitos en funcións funcionais separadas. Isto proporcionará un conxunto mínimo de permisos suficientes, sen incluír dereitos redundantes, para cada unha das áreas de actividade.

Ademais, para sistemas grandes con centos de roles, miles de usuarios e millóns de permisos, é unha boa práctica usar unha xerarquía de roles e herdanza de privilexios. Por exemplo, o rol principal Administrador herdará os privilexios dos roles fillos: Usuario e Lector, xa que o Administrador pode facer todo o que poden facer o Usuario e o Lector, ademais de ter dereitos administrativos adicionais. Usando a xerarquía, non hai necesidade de volver especificar os mesmos dereitos en varios roles do mesmo módulo ou sistema.

Na primeira fase, pode crear roles naqueles sistemas nos que o número posible de combinacións de dereitos non é moi grande e, como resultado, é fácil xestionar un pequeno número de roles. Estes poden ser dereitos típicos requiridos por todos os empregados da empresa para sistemas públicos como Active Directory (AD), sistemas de correo, xestor de servizos e similares. Despois, as matrices de roles creadas para os sistemas de información pódense incluír no modelo de rol global, combinándoas en roles de negocio.

Usando este enfoque, no futuro, ao implementar un sistema IdM, será doado automatizar todo o proceso de concesión de dereitos de acceso en función dos roles creados na primeira etapa.

NB Non debe tentar incluír inmediatamente na integración tantos sistemas como sexa posible. Os sistemas cunha arquitectura máis complexa e unha estrutura de xestión de dereitos de acceso conéctanse mellor a IdM nun modo semiautomático na primeira fase. É dicir, en función dos eventos do persoal, só se implementará a xeración automática dunha solicitude de acceso, que se enviará ao administrador para a súa execución, e este establecerá os dereitos manualmente.

Despois de superar con éxito a primeira etapa, é posible estender a funcionalidade do sistema a novos procesos de negocio avanzados, implementar a automatización e escalado total coa conexión de sistemas de información adicionais.

Implantación de IdM. Preparación para a implantación por parte do cliente
Noutras palabras, para prepararse para a implantación de IdM, é necesario avaliar a preparación dos sistemas de información para un novo proceso e perfeccionar previamente as interfaces externas para a xestión de contas e dereitos de usuario, se tales interfaces non están dispoñibles en o sistema. Tamén é necesario traballar a cuestión da creación escalonada de roles nos sistemas de información para o control de acceso integrado.

Eventos organizativos

As cuestións organizativas non deben ser descontadas. Nalgúns casos, poden desempeñar un papel decisivo, porque o resultado de todo o proxecto depende a miúdo dunha interacción eficaz entre os departamentos. Para iso, adoitamos aconsellar a creación dun equipo de participantes no proceso na organización, que incluirá todos os departamentos implicados. Dado que esta é unha carga adicional para as persoas, intente explicar con antelación a todos os participantes no proceso futuro o seu papel e importancia na estrutura de interacción. Se "vendes" a idea de IdM aos compañeiros nesta etapa, podes evitar moitas dificultades no futuro.

Implantación de IdM. Preparación para a implantación por parte do cliente
Moitas veces, os "propietarios" do proxecto de implementación de IdM nunha empresa son os departamentos de seguridade da información ou de TI, e non se ten en conta a opinión dos departamentos comerciais. Este é un gran erro, porque só eles saben como e en que procesos empresariais se utiliza cada recurso, quen debe ter acceso a el e quen non. Polo tanto, na fase de elaboración, é importante indicar que é o propietario do negocio o responsable do modelo funcional, en base ao cal se desenvolven os conxuntos de dereitos (roles) dos usuarios no sistema de información, así como para garantir que estes roles se manteñan actualizados. O modelo a seguir non é unha matriz estática que se construíu unha vez e podes tranquilizarte con isto. Trátase dun "organismo vivo" que debe cambiar, actualizar e desenvolverse constantemente, seguindo os cambios na estrutura da organización e na funcionalidade dos empregados. En caso contrario, ou haberá problemas asociados a atrasos na concesión do acceso, ou ben haberá riscos de seguridade da información asociados a excesivos dereitos de acceso, o que é aínda peor.

Como sabedes, “sete babás teñen un fillo sen ollo”, polo que a empresa debería desenvolver unha metodoloxía que describa a arquitectura do modelo a seguir, a interacción e a responsabilidade de participantes concretos no proceso de mantelo actualizado. Se unha empresa ten moitas áreas de actividade empresarial e, en consecuencia, moitas divisións e departamentos, entón para cada área (por exemplo, préstamos, operacións, servizos remotos, cumprimento e outros), como parte do proceso de control de acceso baseado en funcións, é necesario nomear comisarios separados. A través delas, poderase recibir rapidamente información sobre os cambios na estrutura da unidade e os dereitos de acceso necesarios para cada rol.

É imprescindible contar co apoio da dirección da organización para resolver situacións de conflito entre departamentos - participantes no proceso. E os conflitos na implantación de calquera novo proceso son inevitables, cremos a nosa experiencia. Precísase, polo tanto, un árbitro que resolva posibles conflitos de intereses para non perder o tempo por malentendidos e sabotaxes de alguén.

Implantación de IdM. Preparación para a implantación por parte do cliente
NB A formación do persoal é un bo comezo para crear conciencia. Un estudo detallado do funcionamento do proceso futuro, o papel de cada participante nel minimizará as dificultades de cambiar a unha nova solución.

Lista de verificación

En resumo, estes son os pasos principais que debe tomar unha organización que planea implementar IdM:

  • poñer as cousas en orde nos datos de persoal;
  • introduza un parámetro de identificación único para cada empregado;
  • avaliar a preparación dos sistemas de información para a implantación de IdM;
  • desenvolver interfaces de interacción con sistemas de información para o control de accesos, se non están dispoñibles, e destinar recursos para estes traballos;
  • desenvolver e construír un modelo a seguir;
  • construír un proceso de xestión modelo e incluír comisarios de cada área de negocio;
  • seleccionar varios sistemas para a conexión inicial a IdM;
  • crear un equipo de proxecto eficaz;
  • contar co apoio da dirección da empresa;
  • formar persoal.

O proceso de preparación pode ser difícil, polo que, se é posible, implica consultores.

A implementación dunha solución IdM non é un paso fácil e responsable, e para a súa implementación exitosa, tanto os esforzos de cada parte individualmente: os empregados das unidades de negocio, os servizos de TI e de seguridade da información, como a interacción de todo o equipo no seu conxunto. importante. Pero o esforzo paga a pena: tras a implantación do IdM na empresa redúcese o número de incidencias asociadas a excesivos poderes e dereitos non autorizados nos sistemas de información; desaparecen os tempos de inactividade dos empregados por falta/longa espera dos dereitos necesarios; debido á automatización, redúcense os custos laborais e aumenta a produtividade laboral dos servizos informáticos e de seguridade da información.

Fonte: www.habr.com

Engadir un comentario