ProHoster > Blog > uprava > Implementacija IdM-a. Priprema za implementaciju od strane kupca

Implementacija IdM-a. Priprema za implementaciju od strane kupca

U prethodnim člancima već smo pogledali što je IdM, kako razumjeti treba li vaša organizacija takav sustav, koje probleme rješava i kako menadžmentu opravdati proračun za implementaciju. Danas ćemo govoriti o važnim fazama kroz koje sama organizacija mora proći kako bi postigla odgovarajuću razinu zrelosti prije implementacije IdM sustava. Uostalom, IdM je dizajniran za automatizaciju procesa, ali je nemoguće automatizirati kaos.

Implementacija IdM-a. Priprema za implementaciju od strane kupca

Sve dok tvrtka ne naraste do veličine velikog poduzeća i dok ne nakupi mnogo različitih poslovnih sustava, obično ne razmišlja o kontroli pristupa. Stoga procesi stjecanja prava i kontrolnih ovlasti u njemu nisu strukturirani i teško ih je analizirati. Zaposlenici ispunjavaju zahtjeve za pristup kako žele, proces odobravanja također nije formaliziran, a ponekad jednostavno ne postoji. Nemoguće je brzo dokučiti kakav pristup zaposlenik ima, tko ga je odobrio i na temelju čega.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
S obzirom na to da proces automatizacije pristupa zahvaća dva glavna aspekta - podatke o osoblju i podatke iz informacijskih sustava s kojima će se provesti integracija, razmotrit ćemo korake koji su potrebni kako bi implementacija IdM-a prošla glatko i ne bi izazvala odbijanje:

  1. Analiza kadrovskih procesa i optimizacija podrške bazi podataka zaposlenika u kadrovskim sustavima.
  2. Analiza podataka o korisnicima i pravima, kao i ažuriranje metoda kontrole pristupa u ciljnim sustavima koji se planiraju spojiti na IdM.
  3. Organizacijske aktivnosti i angažman osoblja u procesu pripreme za provedbu IdM-a.

Podaci o osoblju

U organizaciji može postojati jedan izvor podataka o osoblju ili ih može biti nekoliko. Na primjer, organizacija može imati prilično široku mrežu podružnica, a svaka podružnica može koristiti vlastitu bazu osoblja.

Prije svega, potrebno je razumjeti koji se osnovni podaci o zaposlenicima pohranjuju u sustavu kadrovskih evidencija, koji se događaji bilježe, te ocijeniti njihovu cjelovitost i strukturu.

Često se događa da svi kadrovski događaji nisu evidentirani u kadrovskom izvoru (a još češće su evidentirani nepravovremeno i ne sasvim ispravno). Evo nekoliko tipičnih primjera:

  • Odlasci, njihove kategorije i rokovi (redoviti ili dugoročni) se ne evidentiraju;
  • Rad na nepuno radno vrijeme se ne evidentira: npr. dok je na dugotrajnom dopustu radi njege djeteta, zaposlenik može istovremeno raditi i na nepuno radno vrijeme;
  • stvarni status kandidata ili zaposlenika već je promijenjen (prijem/premještaj/otkaz), a nalog o tom događaju izdaje se sa zakašnjenjem;
  • zaposlenik se otkazom premješta na novo redovno radno mjesto, a kadrovski sustav ne bilježi podatak da se radi o tehničkom otkazu.

Također vrijedi obratiti posebnu pozornost na procjenu kvalitete podataka, budući da sve pogreške i netočnosti dobivene od pouzdanog izvora, a to su HR sustavi, mogu biti skupe u budućnosti i uzrokovati brojne probleme pri implementaciji IdM-a. Primjerice, djelatnici HR-a često u kadrovski sustav unose radna mjesta u različitim formatima: velikim i malim slovima, kraticama, različitim brojem razmaka i slično. Kao rezultat toga, isti položaj može se zabilježiti u kadrovskom sustavu u sljedećim varijacijama:

  • Viši menadžer
  • viši menadžer
  • viši menadžer
  • Umjetnost. menadžer…

Često se morate nositi s razlikama u pisanju svog imena:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Za daljnju automatizaciju takva zbrka je nedopustiva, pogotovo ako su ti atributi ključni identifikacijski znak, odnosno podaci o zaposleniku i njegovim ovlastima u sustavima se uspoređuju upravo po imenu i prezimenu.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
Osim toga, ne treba zaboraviti na moguću prisutnost imenjaka i punih imenjaka u društvu. Ako organizacija ima tisuću zaposlenih, takvih podudarnosti može biti malo, ali ako ih ima 50 tisuća, to može postati kritična prepreka ispravnom radu IdM sustava.

Rezimirajući sve gore navedeno, zaključujemo: format za unos podataka u bazu podataka o osoblju organizacije mora biti standardiziran. Parametri za unos naziva, pozicija i odjela moraju biti jasno definirani. Najbolja opcija je kada zaposlenik HR-a ne unosi podatke ručno, već ih odabire iz unaprijed kreiranog imenika strukture odjela i radnih mjesta pomoću funkcije “select” dostupne u bazi podataka o osoblju.

Kako biste izbjegli daljnje pogreške u sinkronizaciji i kako ne biste morali ručno ispravljati nedosljednosti u izvješćima, najpoželjniji način identifikacije zaposlenika je unos ID-a za svakog zaposlenika organizacije. Takav identifikator bit će dodijeljen svakom novom zaposleniku i pojavit će se iu kadrovskom sustavu iu informacijskim sustavima organizacije kao obvezni atribut računa. Nije važno sastoji li se od brojeva ili slova, glavna stvar je da je jedinstven za svakog zaposlenika (na primjer, mnogi ljudi koriste osobni broj zaposlenika). U budućnosti će uvođenje ovog atributa uvelike olakšati povezivanje podataka o zaposleniku u kadrovskom izvoru s njegovim računima i ovlastima u informacijskim sustavima.

Dakle, sve korake i mehanizme kadrovske evidencije trebat će analizirati i dovesti u red. Vrlo je moguće da će se neki procesi morati promijeniti ili modificirati. To je mukotrpan i mukotrpan posao, ali je neophodan jer će u suprotnom nedostatak jasnih i strukturiranih podataka o kadrovskim događajima dovesti do pogrešaka u njihovoj automatskoj obradi. U najgorem slučaju, nestrukturirane procese uopće neće biti moguće automatizirati.

Ciljni sustavi

U sljedećoj fazi trebamo utvrditi koliko informacijskih sustava želimo integrirati u IdM strukturu, koji se podaci o korisnicima i njihovim pravima pohranjuju u tim sustavima te kako njima upravljati.

U mnogim organizacijama postoji mišljenje da ćemo instalirati IdM, konfigurirati konektore na ciljne sustave i zamahom čarobnog štapića sve će raditi, bez dodatnog napora s naše strane. To se, nažalost, ne događa. U tvrtkama se krajolik informacijskih sustava postupno razvija i povećava. Svaki sustav može imati drugačiji pristup dodjeli prava pristupa, odnosno mogu se konfigurirati različita sučelja za kontrolu pristupa. Negdje se kontrola odvija kroz API (aplikacijsko programsko sučelje), negdje kroz bazu podataka pomoću pohranjenih procedura, negdje možda uopće nema interakcijskih sučelja. Trebali biste biti spremni na činjenicu da ćete morati preispitati mnoge postojeće procese za upravljanje računima i pravima u sustavima organizacije: promijeniti format podataka, unaprijed unaprijediti interakcijska sučelja i dodijeliti resurse za ovaj posao.

Uzor

S konceptom uzora vjerojatno ćete se susresti u fazi odabira pružatelja IdM rješenja, jer je to jedan od ključnih pojmova u području upravljanja pravima pristupa. U ovom modelu pristup podacima omogućen je kroz ulogu. Uloga je skup pristupa koji su minimalno potrebni zaposleniku na određenom položaju za obavljanje njegovih funkcionalnih odgovornosti.

Kontrola pristupa temeljena na ulogama ima brojne neporecive prednosti:

  • jednostavno i učinkovito dodijeliti ista prava velikom broju zaposlenika;
  • promptnu promjenu pristupa zaposlenika s istim skupom prava;
  • uklanjanje redundancije prava i razgraničenje nekompatibilnih ovlasti za korisnike.

Matrica uloga prvo se izrađuje odvojeno u svakom sustavu organizacije, a zatim se skalira na cjelokupno IT okruženje, gdje se globalne poslovne uloge formiraju iz uloga svakog sustava. Na primjer, poslovna uloga "Računovođa" uključivat će nekoliko zasebnih uloga za svaki od informacijskih sustava koji se koriste u računovodstvenom odjelu poduzeća.

Nedavno se smatra "najboljom praksom" stvoriti uzor čak iu fazi razvoja aplikacija, baza podataka i operativnih sustava. Istodobno, često postoje situacije kada uloge nisu konfigurirane u sustavu ili jednostavno ne postoje. U tom slučaju administrator ovog sustava mora unijeti podatke o računu u nekoliko različitih datoteka, biblioteka i direktorija koji daju potrebna dopuštenja. Korištenje unaprijed definiranih uloga omogućuje vam dodjeljivanje privilegija za izvođenje cijelog niza operacija u sustavu sa složenim složenim podacima.

Uloge u informacijskom sustavu u pravilu su raspoređene na radna mjesta i odjele prema kadrovskoj strukturi, ali se mogu kreirati i za određene poslovne procese. Na primjer, u financijskoj organizaciji nekoliko zaposlenika odjela za poravnanje zauzima isto radno mjesto - operater. Ali unutar odjela postoji i raspodjela na zasebne procese, prema različitim vrstama poslovanja (eksterni ili interni, u različitim valutama, s različitim segmentima organizacije). Kako bi se svakom od poslovnih područja jednog odjela omogućio pristup informacijskom sustavu prema traženim specifičnostima, potrebno je uključiti prava u pojedine funkcionalne uloge. Time će se omogućiti minimalno dovoljan skup ovlasti, koji ne uključuje suvišna prava, za svako od područja djelovanja.

Osim toga, za velike sustave sa stotinama uloga, tisućama korisnika i milijunima dozvola, dobra je praksa koristiti hijerarhiju uloga i nasljeđivanje povlastica. Na primjer, nadređena uloga Administrator će naslijediti privilegije podređenih uloga: Korisnik i Čitač, budući da Administrator može raditi sve što i Korisnik i Čitač, plus će imati dodatna administratorska prava. Korištenjem hijerarhije, nema potrebe za ponovnim određivanjem istih prava u višestrukim ulogama istog modula ili sustava.

U prvoj fazi možete kreirati uloge u onim sustavima gdje mogući broj kombinacija prava nije jako velik i, kao rezultat toga, lako je upravljati malim brojem uloga. To mogu biti tipična prava koja zahtijevaju svi zaposlenici tvrtke na javno dostupne sustave kao što su Active Directory (AD), sustavi pošte, Service Manager i slično. Zatim se kreirane matrice uloga za informacijske sustave mogu uključiti u opći model uloga, kombinirajući ih u poslovne uloge.

Ovim pristupom će u budućnosti, pri implementaciji IdM sustava, biti lako automatizirati cijeli proces dodjele prava pristupa na temelju kreiranih uloga prve faze.

NB Ne biste trebali pokušavati odmah uključiti što više sustava u integraciju. Bolje je povezati sustave sa složenijom arhitekturom i strukturom upravljanja pravima pristupa na IdM u poluautomatskom načinu rada u prvoj fazi. Odnosno, implementirati, na temelju kadrovskih događaja, samo automatsko generiranje zahtjeva za pristup, koji će biti poslan administratoru na izvršenje, a on će ručno konfigurirati prava.

Nakon uspješno odrađene prve faze, možete proširiti funkcionalnost sustava na nove proširene poslovne procese, implementirati punu automatizaciju i skaliranje uz povezivanje dodatnih informacijskih sustava.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
Drugim riječima, kako bi se pripremili za implementaciju IdM-a, potrebno je procijeniti spremnost informacijskih sustava za novi proces te unaprijed finalizirati vanjska interakcijska sučelja za upravljanje korisničkim računima i korisničkim pravima, ako takva sučelja nisu dostupni u sustavu. Također treba istražiti pitanje postupnog kreiranja uloga u informacijskim sustavima za sveobuhvatnu kontrolu pristupa.

Organizacijski događaji

Nemojte zanemariti ni organizacijska pitanja. U nekim slučajevima oni mogu imati odlučujuću ulogu, jer ishod cijelog projekta često ovisi o učinkovitoj interakciji između odjela. Da bismo to učinili, obično savjetujemo stvaranje tima sudionika procesa u organizaciji, koji će uključivati ​​sve uključene odjele. Budući da je to dodatno opterećenje za ljude, pokušajte unaprijed objasniti svim sudionicima budućeg procesa njihovu ulogu i značaj u strukturi interakcije. Ako u ovoj fazi "prodate" ideju IdM-a svojim kolegama, možete izbjeći mnoge poteškoće u budućnosti.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
Često su odjeli informacijske sigurnosti ili informatike “vlasnici” projekta implementacije IdM-a u tvrtku, a mišljenja poslovnih odjela se ne uvažavaju. To je velika greška, jer samo oni znaju kako iu kojim poslovnim procesima se koji resurs koristi, kome treba omogućiti pristup, a kome ne. Stoga je u fazi pripreme važno naznačiti da je vlasnik poduzeća odgovoran za funkcionalni model na temelju kojeg se razvijaju skupovi korisničkih prava (uloga) u informacijskom sustavu, kao i da osigura da te se uloge ažuriraju. Uzor nije statična matrica koja se jednom izgradi i na njoj se možete smiriti. To je „živi organizam“ koji se mora stalno mijenjati, ažurirati i razvijati prateći promjene u strukturi organizacije i funkcionalnosti zaposlenika. U suprotnom će se pojaviti ili problemi povezani s kašnjenjem u pružanju pristupa ili će se pojaviti rizici informacijske sigurnosti povezani s prevelikim pravima pristupa, što je još gore.

Kao što znate, "sedam dadilja ima dijete bez oka", stoga tvrtka mora razviti metodologiju koja opisuje arhitekturu uzora, interakciju i odgovornost pojedinih sudionika u procesu da ga održavaju ažurnim. Ako tvrtka ima mnogo područja poslovanja i, sukladno tome, mnogo odjela i odjela, tada za svako područje (na primjer, kreditiranje, operativni rad, usluge na daljinu, usklađenost i drugo) kao dio procesa upravljanja pristupom temeljenog na ulogama, potrebno je imenovati posebne kustose. Preko njih će biti moguće brzo dobiti informacije o promjenama u strukturi odjela i pravima pristupa potrebnim za svaku ulogu.

Neophodno je pridobiti podršku menadžmenta organizacije za rješavanje konfliktnih situacija između odjela koji sudjeluju u procesu. A sukobi pri uvođenju bilo kojeg novog procesa neizbježni su, vjerujte našem iskustvu. Stoga nam treba arbitar koji će rješavati eventualne sukobe interesa, kako ne bismo gubili vrijeme zbog tuđih nesporazuma i sabotaže.

Implementacija IdM-a. Priprema za implementaciju od strane kupca
NB Dobro mjesto za početak podizanja svijesti je obuka vašeg osoblja. Detaljno proučavanje funkcioniranja budućeg procesa i uloge svakog sudionika u njemu minimizirat će poteškoće prijelaza na novo rješenje.

Spisak

Ukratko, sažimamo glavne korake koje bi organizacija koja planira implementirati IdM trebala poduzeti:

  • uvesti red u kadrovske podatke;
  • unesite jedinstveni identifikacijski parametar za svakog zaposlenika;
  • procijeniti spremnost informacijskih sustava za implementaciju IdM-a;
  • razviti sučelja za interakciju s informacijskim sustavima za kontrolu pristupa, ako nedostaju, te dodijeliti resurse za taj posao;
  • razvijati i graditi uzor;
  • izgraditi model upravljanja procesom iu njega uključiti kustose iz svakog poslovnog područja;
  • odaberite nekoliko sustava za početno spajanje na IdM;
  • stvoriti učinkovit projektni tim;
  • dobiti potporu uprave poduzeća;
  • obučiti osoblje.

Proces pripreme može biti težak, stoga, ako je moguće, uključite konzultante.

Implementacija IdM rješenja težak je i odgovoran korak, a za njegovu uspješnu implementaciju važan je kako napor svake strane pojedinačno – djelatnika poslovnih odjela, IT i informacijske sigurnosne službe, tako i interakcija cijelog tima u cjelini. Ali trud se isplati: nakon implementacije IdM-a u tvrtku smanjuje se broj incidenata povezanih s prekomjernim ovlastima i neovlaštenim pravima u informacijskim sustavima; nestaje zastoj zaposlenika zbog nedostatka/dugog čekanja na potrebna prava; Automatizacijom se smanjuju troškovi rada i povećava produktivnost rada IT i usluga informacijske sigurnosti.

Izvor: www.habr.com

Dodajte komentar