Í fyrri greinum höfum við þegar velt fyrir okkur hvað IdM er, hvernig á að skilja hvort fyrirtæki þitt þarfnast slíks kerfis, hvaða verkefni það leysir og hvernig á að réttlæta framkvæmdarfjárveitingu fyrir stjórnendum. Í dag munum við tala um mikilvægu stigin sem stofnunin sjálf þarf að ganga í gegnum til að ná réttum þroska áður en IdM kerfið er innleitt. Þegar öllu er á botninn hvolft er IdM hannað til að gera ferla sjálfvirkan og það er ómögulegt að gera óreiðu sjálfvirkan.
Þar til fyrirtæki stækkar á stærð við stórt fyrirtæki og safnar mörgum mismunandi viðskiptakerfum, hugsar það venjulega ekki um aðgangsstýringu. Þess vegna eru ferlar við að afla réttinda og eftirlitsvalds í því ekki uppbyggðir og erfitt að greina. Starfsmenn fylla út umsóknir um aðgang að vild, samþykkisferlið er heldur ekki formlegt og stundum er það einfaldlega ekki til. Það er ómögulegt að átta sig fljótt á því hvaða aðgang starfsmaður hefur, hver samþykkti þá og á hvaða grundvelli.
Með hliðsjón af því að ferli sjálfvirkni aðgangs hefur áhrif á tvo meginþætti - starfsmannagögn og upplýsingakerfisgögn, sem sameining á að fara fram með, munum við íhuga nauðsynleg skref til að tryggja að innleiðing IdM gangi snurðulaust fyrir sig og valdi ekki höfnun:
- Greining á starfsmannaferlum og hagræðingu á viðhaldi starfsmannagagnagrunns í starfsmannakerfum.
- Greining á gögnum um notendur og réttindi, auk uppfærslu aðgangsstýringaraðferða í markkerfum sem fyrirhugað er að tengjast IdM.
- Skipulagsaðgerðir og þátttaka starfsmanna í undirbúningsferli fyrir innleiðingu IdM.
Starfsmannagögn
Það kann að vera ein uppspretta starfsmannagagna í fyrirtæki, eða það geta verið nokkrir. Til dæmis getur stofnun verið með nokkuð breitt útibúanet og hvert útibú getur notað sinn eigin starfsmannagrunn.
Í fyrsta lagi er nauðsynlegt að skilja hvaða grunngögn um starfsmenn eru geymd í starfsmannaskrárkerfinu, hvaða atburðir eru skráðir og meta heilleika þeirra og uppbyggingu.
Það kemur oft fyrir að ekki eru allir atburðir starfsmanna skráðir í starfsmannauppsprettu (og enn oftar eru þeir skráðir ótímabundið og ekki alveg rétt). Hér eru nokkur dæmigerð dæmi:
- frí, flokkar þeirra og skilmálar (venjulegir eða langir) eru ekki fastir;
- hlutastarf er ekki skráð: til dæmis, á meðan á löngu foreldraorlofi stendur, getur starfsmaður unnið í hlutastarfi samtímis;
- raunveruleg staða umsækjanda eða starfsmanns hefur þegar breyst (ráðning / flutning / uppsögn), og pöntunin um þennan atburð er gefin út með töf;
- starfsmaður færist í nýtt stöðugildi með uppsögn á meðan starfsmannakerfið skráir ekki upplýsingar um að um tæknilega uppsögn sé að ræða.
Það er líka þess virði að huga sérstaklega að mati á gæðum gagna, þar sem allar villur og ónákvæmni sem berast frá traustum aðilum, sem eru starfsmannaskrárkerfi, geta verið dýr í framtíðinni og valdið mörgum vandamálum við innleiðingu IdM. Til dæmis koma starfsmannastjórar oft inn í starfsmannastöður í starfsmannakerfinu með mismunandi sniðum: hástöfum og litlum bókstöfum, skammstöfunum, mismunandi fjölda bila og þess háttar. Þar af leiðandi er hægt að festa sömu stöðu í starfsmannakerfinu í eftirfarandi afbrigðum:
- Yfirmaður
- yfirmaður
- yfirmaður
- gr. framkvæmdastjóri…
Oft þarf að takast á við mismun á stafsetningu á fullu nafni:
- Shmeleva Natalia Gennadievna,
- Shmeleva Natalia Gennadievna…
Fyrir frekari sjálfvirkni er slíkt rugl óviðunandi, sérstaklega ef þessir eiginleikar eru lykilmerki auðkenningar, það er að gögn um starfsmanninn og vald hans í kerfunum eru borin saman nákvæmlega með fullu nafni.
Að auki má ekki gleyma mögulegri veru nafna og fullra nafna í fyrirtækinu. Ef stofnun er með þúsund starfsmenn geta slíkar tilviljanir verið fáar og ef þær eru 50 þúsund, þá getur þetta orðið mikilvæg hindrun í vegi fyrir réttum rekstri IdM kerfisins.
Með því að draga saman allt ofangreint, ályktum við: sniðið til að slá inn gögn í starfsmannagrunn stofnunarinnar ætti að vera staðlað. Færibreytur til að slá inn full nöfn, stöður og deildir verða að vera skýrt skilgreindar. Besti kosturinn er þegar starfsmaður slær ekki inn gögn handvirkt, heldur velur þau úr fyrirfram gerðri skrá yfir uppbyggingu deilda og staða með því að nota „velja“ aðgerðina sem er tiltæk í starfsmannagagnagrunninum.
Til að koma í veg fyrir frekari villur í samstillingu og til að laga ekki handvirkt frávik í skýrslum, ákjósanlegasta leiðin til að bera kennsl á starfsmenn er að slá inn auðkenni fyrir hvern starfsmann í stofnuninni. Slíkt auðkenni verður úthlutað hverjum nýjum starfsmanni og mun birtast bæði í starfsmannakerfi og í upplýsingakerfum stofnunarinnar sem lögboðinn eiginleiki reikningsins. Það skiptir ekki máli hvort það samanstendur af tölustöfum eða bókstöfum, aðalatriðið er að það sé einstakt fyrir hvern starfsmann (t.d. nota margir starfsmannanúmer starfsmanns). Í framtíðinni mun innleiðing þessa eiginleika auðvelda mjög tengingu starfsmannagagna í starfsmannaveitunni við reikninga hans og yfirvöld í upplýsingakerfum.
Svo þarf að greina öll skref og aðferðir starfsmannaskrár og koma þeim í röð. Hugsanlegt er að breyta þurfi eða bæta suma ferla. Þetta er leiðinlegt og vandað verk, en nauðsynlegt, annars mun skortur á skýrum og skipulögðum gögnum um starfsmannaviðburði leiða til villna í sjálfvirkri vinnslu þeirra. Í versta falli er alls ekki hægt að gera óskipulagða ferla sjálfvirka.
Markmiðskerfi
Á næsta stigi þurfum við að finna út hversu mörg upplýsingakerfi við viljum samþætta inn í IdM uppbygginguna, hvaða gögn um notendur og réttindi þeirra eru geymd í þessum kerfum og hvernig á að halda utan um þau.
Í mörgum stofnunum er það álit að við munum setja upp IdM, stilla tengin á markkerfin og með töfrasprotabylgju mun allt virka, án þess að við þurfum að gera frekari tilraunir. Svo, því miður, gerist það ekki. Í fyrirtækjum þróast landslag upplýsingakerfa og vex smám saman. Í hverju kerfi er hægt að skipuleggja mismunandi nálgun til að veita aðgangsrétt, það er að segja að mismunandi aðgangsstýringarviðmót eru stillt. Einhvers staðar fer stjórnun fram í gegnum API (forritunarviðmót forrita), einhvers staðar í gegnum gagnagrunninn með geymdum verklagsreglum, einhvers staðar eru kannski engin samskipti viðmót yfirleitt. Þú ættir að vera tilbúinn fyrir þá staðreynd að þú þarft að endurskoða marga núverandi ferla við stjórnun reikninga og réttinda í kerfum stofnunarinnar: breyta gagnasniði, ganga frá samskiptaviðmóti fyrirfram og úthluta fjármagni til þessara verka.
fyrirmynd
Þú munt líklega rekast á hugmyndina um fyrirmynd á því stigi að velja IdM lausnaveitanda, þar sem þetta er eitt af lykilhugtökum á sviði aðgangsréttarstjórnunar. Í þessu líkani er gagnaaðgangur veittur í gegnum hlutverk. Hlutverk er safn aðgangs sem er lágmarksnauðsynlegt fyrir starfsmann í tiltekinni stöðu til að geta sinnt starfrænum skyldum sínum.
Hlutverkabundin aðgangsstýring hefur ýmsa óneitanlega kosti:
- einföld og skilvirk framsal sömu réttinda til fjölda starfsmanna;
- fljótleg breyting á aðgangi starfsmanna með sömu réttindi;
- útilokun á offramboði réttinda og aðgreining á ósamrýmanlegum valdi fyrir notendur.
Hlutverkafylki er fyrst byggt sérstaklega í hverju kerfi stofnunarinnar og síðan skalað að öllu upplýsingatæknilandslaginu, þar sem alþjóðleg viðskiptahlutverk eru mynduð úr hlutverkum hvers kerfis. Til dæmis mun viðskiptahlutverkið „bókhaldari“ innihalda nokkur aðskilin hlutverk fyrir hvert upplýsingakerfa sem notuð eru í bókhaldsdeild fyrirtækisins.
Nýlega hefur verið talið „besta starfshætti“ að búa til fyrirmynd jafnvel á því stigi að þróa forrit, gagnagrunna og stýrikerfi. Á sama tíma eru aðstæður ekki óalgengar þegar hlutverk eru ekki stillt í kerfinu eða þau eru einfaldlega ekki til. Í þessu tilviki verður stjórnandi þessa kerfis að slá inn reikningsgögnin í nokkrar mismunandi skrár, bókasöfn og möppur sem veita nauðsynlegar heimildir. Notkun fyrirframskilgreindra hlutverka gerir þér kleift að veita réttindi til að framkvæma alls kyns aðgerðir í kerfi með flóknum samsettum gögnum.
Hlutverk í upplýsingakerfinu er að jafnaði dreift í stöður og deildir í samræmi við starfsmannaskipulag en einnig er hægt að búa til fyrir ákveðna viðskiptaferla. Til dæmis, í fjármálastofnun, gegna nokkrir starfsmenn uppgjörsdeildar sömu stöðu - rekstraraðili. En innan deildarinnar er einnig skipt í aðskilda ferla, eftir mismunandi tegundum aðgerða (ytri eða innri, í mismunandi gjaldmiðlum, með mismunandi hluta stofnunarinnar). Til þess að veita hverju starfssviði einnar deildar aðgang að upplýsingakerfinu í samræmi við tilskildar upplýsingar er nauðsynlegt að fela réttindi í aðskildum starfrænum hlutverkum. Þetta mun veita lágmarks nægilegt safn af heimildum, ekki meðtalinni óþarfi réttindi, fyrir hvert starfssvið.
Einnig, fyrir stór kerfi með hundruð hlutverka, þúsundir notenda og milljóna heimilda, er góð venja að nota stigveldi hlutverka og forréttindaarfleifð. Til dæmis mun foreldrahlutverkið Stjórnandi erfa réttindi barnahlutverkanna: Notandi og Lesandi, þar sem stjórnandinn getur gert allt sem notandinn og lesandinn geta gert auk þess sem hann mun hafa viðbótar stjórnunarréttindi. Með því að nota stigveldið er engin þörf á að endurskilgreina sömu réttindi í nokkrum hlutverkum sömu einingarinnar eða kerfisins.
Á fyrsta stigi er hægt að búa til hlutverk í þeim kerfum þar sem mögulegur fjöldi samsetninga réttinda er ekki mjög mikill og þar af leiðandi auðvelt að stjórna fáum hlutverkum. Þetta geta verið dæmigerð réttindi sem allir starfsmenn fyrirtækisins þurfa á opinberum kerfum eins og Active Directory (AD), póstkerfum, þjónustustjóra og þess háttar. Síðan er hægt að taka til hlutverkafylki fyrir upplýsingakerfi í heildarfyrirmyndinni og sameina þau í viðskiptahlutverk.
Með því að nota þessa nálgun, í framtíðinni, við innleiðingu IdM kerfis, verður auðvelt að gera sjálfvirkan allt ferlið við að veita aðgangsrétt á grundvelli stofnaðra hlutverka fyrsta stigs.
NB Þú ættir ekki að reyna að taka eins mörg kerfi og mögulegt er inn í samþættinguna strax. Kerfi með flóknari arkitektúr og aðgangsréttarstjórnunarkerfi eru best tengd við IdM í hálfsjálfvirkri stillingu á fyrsta stigi. Það er, byggt á atburðum starfsmanna, innleiða aðeins sjálfvirka framleiðslu á aðgangsbeiðni, sem verður send til stjórnanda til framkvæmdar, og hann mun stilla réttindin handvirkt.
Eftir að hafa staðist fyrsta stigið með góðum árangri er hægt að útvíkka virkni kerfisins yfir í nýja háþróaða viðskiptaferla, til að innleiða fulla sjálfvirkni og skala með tengingu viðbótarupplýsingakerfa.
Með öðrum orðum, til að undirbúa innleiðingu IdM er nauðsynlegt að leggja mat á viðbúnað upplýsingakerfa fyrir hið nýja ferli og ganga frá fyrirfram ytri samskiptaviðmóti fyrir stjórnun notendareikninga og notendaréttinda, ef slík viðmót eru ekki til staðar. í boði í kerfinu. Einnig ætti að kanna spurninguna um skref fyrir skref sköpun hlutverka í upplýsingakerfum fyrir alhliða aðgangsstýringu.
Skipulagsviðburðir
Það á ekki að gera lítið úr skipulagsmálum. Í sumum tilfellum geta þeir gegnt afgerandi hlutverki, því árangur alls verkefnisins er oft háður skilvirku samspili deilda. Til að gera þetta ráðleggjum við venjulega að búa til teymi þátttakenda í ferlinu í stofnuninni, sem mun innihalda allar deildir sem taka þátt. Þar sem þetta er auka álag fyrir fólk, reyndu að útskýra fyrirfram fyrir öllum þátttakendum í framtíðarferlinu hlutverki sínu og þýðingu í samskiptauppbyggingunni. Ef þú „selur“ hugmyndina um IdM til samstarfsmanna á þessu stigi geturðu forðast marga erfiðleika í framtíðinni.
Oft eru „eigendur“ innleiðingarverkefnis IdM í fyrirtæki upplýsingaöryggis- eða upplýsingatæknideildir og ekki er tekið tillit til álits viðskiptadeilda. Þetta eru mikil mistök, því aðeins þeir vita hvernig og í hvaða viðskiptaferlum hver auðlind er notuð, hverjir ættu að fá aðgang að henni og hverjir ekki. Því er mikilvægt á undirbúningsstigi að gefa til kynna að það sé eigandi fyrirtækisins sem ber ábyrgð á virknilíkaninu, á grundvelli þess eru réttindi (hlutverk) notenda í upplýsingakerfinu þróuð, sem og fyrir að tryggja að þessi hlutverk séu uppfærð. Fyrirmyndin er ekki kyrrstæðu fylki sem hefur verið byggt einu sinni og þú getur róað þig yfir þessu. Þetta er „lifandi lífvera“ sem þarf stöðugt að breytast, uppfæra og þróast í kjölfar breytinga á skipulagi og virkni starfsmanna. Að öðrum kosti verður annaðhvort vandamál í tengslum við tafir á veitingu aðgangs eða upplýsingaöryggisáhætta sem fylgir óhóflegum aðgangsrétti, sem er enn verra.
Eins og þú veist, "sjö fóstrur eiga barn án auga", þannig að fyrirtækið ætti að þróa aðferðafræði sem lýsir arkitektúr fyrirmyndarinnar, samspili og ábyrgð tiltekinna þátttakenda í ferlinu til að halda því uppfærðu. Ef fyrirtæki hefur mörg starfssvið og þar af leiðandi margar deildir og deildir, þá fyrir hvert svæði (til dæmis útlán, rekstur, fjarþjónustu, regluvörslu og fleira), sem hluti af hlutverkatengdu aðgangsstýringarferlinu, nauðsynlegt er að skipa sérstaka sýningarstjóra. Í gegnum þau verður hægt að fá fljótt upplýsingar um breytingar á skipulagi einingar og þann aðgangsrétt sem þarf fyrir hvert hlutverk.
Nauðsynlegt er að fá stuðning stjórnenda stofnunarinnar til að leysa átök milli deilda - þátttakenda í ferlinu. Og átök í innleiðingu hvers nýs ferlis eru óumflýjanleg, trúðu reynslu okkar. Því þarf gerðardómsmann sem leysir hugsanlega hagsmunaárekstra til að eyða ekki tíma vegna misskilnings og skemmdarverka einhvers.
NB Þjálfun starfsfólks er góð byrjun til að vekja athygli á. Ítarleg rannsókn á virkni framtíðarferlisins, hlutverk hvers þátttakanda í því mun lágmarka erfiðleikana við að skipta yfir í nýja lausn.
Tékklisti
Í stuttu máli eru hér helstu skrefin sem stofnun sem ætlar að innleiða IdM ætti að taka:
- setja hlutina í röð í starfsmannagögnum;
- slá inn einstaka auðkennisbreytu fyrir hvern starfsmann;
- meta viðbúnað upplýsingakerfa fyrir innleiðingu IdM;
- þróa viðmót fyrir samskipti við upplýsingakerfi fyrir aðgangsstýringu, ef þau eru ekki tiltæk, og úthluta fjármagni til þessara verka;
- þróa og byggja upp fyrirmynd;
- byggja upp fyrirmyndarstjórnunarferli og hafa með sýningarstjóra frá hverju viðskiptasvæði;
- velja nokkur kerfi fyrir fyrstu tengingu við IdM;
- búa til árangursríkt verkefnateymi;
- fá stuðning stjórnenda félagsins;
- þjálfa starfsfólk.
Undirbúningsferlið getur verið erfitt, svo ef mögulegt er skaltu taka ráðgjafa með.
Innleiðing IdM lausnar er ekki auðvelt og ábyrgt skref og fyrir árangursríka innleiðingu hennar er bæði viðleitni hvers aðila fyrir sig - starfsmanna rekstrareininga, upplýsingatækni- og upplýsingaöryggisþjónustu og samspil alls teymisins í heild. mikilvægt. En átakið er þess virði: eftir innleiðingu IdM í fyrirtækinu fækkar atvikum sem tengjast óhóflegu valdi og óviðkomandi réttindum í upplýsingakerfum; stöðvun starfsmanna vegna skorts/langrar bið eftir nauðsynlegum réttindum hverfur; vegna sjálfvirkni minnkar launakostnaður og vinnuafköst upplýsingatækni- og upplýsingaöryggisþjónustu eykst.
Heimild: www.habr.com