ProHoster > Блог > басқарма > IdM енгізу. Тапсырыс берушінің енгізуіне дайындық

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық

Алдыңғы мақалаларда біз IdM деген не екенін, сіздің ұйымыңызға мұндай жүйе қажет пе екенін қалай түсінуге болатынын, ол қандай мәселелерді шешетінін және басшылыққа бюджетті іске асыруды қалай негіздеуге болатынын қарастырдық. Бүгін біз IdM жүйесін енгізуден бұрын тиісті жетілу деңгейіне жету үшін ұйымның өзі өтуі керек маңызды кезеңдер туралы айтатын боламыз. Өйткені, IdM процестерді автоматтандыруға арналған, бірақ хаосты автоматтандыру мүмкін емес.

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық

Компания ірі кәсіпорын көлеміне дейін өскенше және көптеген әртүрлі бизнес жүйелерін жинақтамайынша, ол әдетте қол жеткізуді басқару туралы ойламайды. Сондықтан ондағы құқықтар мен бақылау өкілеттіктерін алу процестері құрылымдалмаған және оларды талдау қиын. Қызметкерлер қол жеткізуге өтінімдерді өз қалаулары бойынша толтырады, мақұлдау процесі де рәсімделмеген, кейде ол жоқ. Қызметкердің қандай рұқсаты бар екенін, оны кім бекіткенін және қандай негізде екенін тез анықтау мүмкін емес.

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық
Қол жеткізуді автоматтандыру процесі екі негізгі аспектіге - персонал деректеріне және интеграцияланатын ақпараттық жүйелерден алынған деректерге әсер ететінін ескере отырып, IdM енгізу бірқалыпты өтуі және бас тартуды тудырмауы үшін қажетті қадамдарды қарастырамыз:

  1. Кадрлық процестерді талдау және персонал жүйесінде қызметкерлердің деректер базасын қолдауды оңтайландыру.
  2. Пайдаланушы мен құқықтар деректерін талдау, сондай-ақ IdM-ге қосылуы жоспарланған мақсатты жүйелерде қол жеткізуді басқару әдістерін жаңарту.
  3. Ұйымдастырушылық қызмет және қызметкерлерді IdM енгізуге дайындық процесіне тарту.

Персонал деректері

Ұйымда персонал деректерінің бір көзі болуы мүмкін немесе бірнеше болуы мүмкін. Мысалы, ұйымның жеткілікті кең филиалдық желісі болуы мүмкін және әрбір филиал өзінің жеке кадрлық базасын пайдалана алады.

Ең алдымен персоналды есепке алу жүйесінде қызметкерлер туралы қандай негізгі деректер сақталатынын, қандай оқиғалар жазылатынын түсініп, олардың толықтығы мен құрылымын бағалау қажет.

Көбінесе кадрлық оқиғалардың барлығы кадр көзінде белгіленбейді (және көбінесе олар уақтылы және толығымен дұрыс емес белгіленеді). Міне, кейбір типтік мысалдар:

  • Жапырақтар, олардың санаттары мен мерзімдері (тұрақты немесе ұзақ мерзімді) жазылмайды;
  • Толық емес жұмыс күні есепке алынбайды: мысалы, бала күтімі бойынша ұзақ мерзімді демалыста болған кезде қызметкер бір мезгілде толық емес жұмыс күнімен жұмыс істей алады;
  • кандидаттың немесе қызметкердің нақты мәртебесі өзгерген (қабылдау/аудару/жұмыстан босату) және бұл оқиға туралы бұйрық кідіріспен шығарылады;
  • қызметкер жұмыстан босату арқылы жаңа штаттық лауазымға ауыстырылады, ал кадр жүйесі бұл техникалық жұмыстан босату туралы ақпаратты жазбайды.

Сондай-ақ деректердің сапасын бағалауға ерекше назар аударған жөн, өйткені HR жүйелері болып табылатын сенімді көзден алынған кез келген қателер мен дәлсіздіктер болашақта қымбатқа түсуі мүмкін және IdM енгізу кезінде көптеген проблемаларды тудыруы мүмкін. Мысалы, HR қызметкерлері қызметкерлердің лауазымдарын персонал жүйесіне жиі әртүрлі форматта енгізеді: бас және кіші әріптер, аббревиатуралар, бос орындардың әртүрлі сандары және т.б. Нәтижесінде бірдей лауазымды кадр жүйесінде келесі вариацияларда жазуға болады:

  • Аға менеджері
  • Аға менеджері
  • аға менеджер
  • Өнер. менеджер…

Көбінесе атыңыздың жазылуындағы айырмашылықтармен күресуге тура келеді:

  • Шмелева Наталья Геннадьевна,
  • Шмелева Наталья Геннадьевна...

Әрі қарай автоматтандыру үшін мұндай шатасуға жол берілмейді, әсіресе егер бұл атрибуттар сәйкестендірудің негізгі белгісі болса, яғни жүйедегі қызметкер мен оның өкілеттіктері туралы деректер толық аты-жөні бойынша дәл салыстырылады.

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық
Сонымен қатар, компанияда аттар мен толық есімдердің болуы мүмкін екенін ұмытпау керек. Егер ұйымда мың қызметкер болса, мұндай сәйкестіктер аз болуы мүмкін, бірақ 50 мың болса, бұл IdM жүйесінің дұрыс жұмыс істеуіне маңызды кедергі болуы мүмкін.

Жоғарыда айтылғандардың барлығын қорытындылай келе, біз қорытынды жасаймыз: ұйымның персоналды дерекқорына деректерді енгізу форматы стандартталған болуы керек. Атауларды, лауазымдарды және бөлімдерді енгізу параметрлері нақты анықталған болуы керек. Ең жақсы нұсқа - HR қызметкері деректерді қолмен енгізбестен, оны персонал дерекқорында қол жетімді «таңдау» функциясын пайдаланып бөлімдер мен лауазымдар құрылымының алдын ала жасалған анықтамалығынан таңдайды.

Синхрондаудағы қосымша қателерді болдырмау және есептердегі сәйкессіздіктерді қолмен түзетпеу үшін, қызметкерлерді анықтаудың ең қолайлы жолы - жеке куәлікті енгізу ұйымның әрбір қызметкері үшін. Мұндай идентификатор әрбір жаңа қызметкерге тағайындалады және персонал жүйесінде де, ұйымның ақпараттық жүйелерінде де есептік жазбаның міндетті атрибуты ретінде пайда болады. Оның сандардан немесе әріптерден тұруы маңызды емес, ең бастысы, ол әрбір қызметкер үшін бірегей (мысалы, көптеген адамдар қызметкердің жеке нөмірін пайдаланады). Болашақта бұл атрибутты енгізу персонал көзіндегі қызметкер деректерін оның шоттарымен және ақпараттық жүйелердегі өкілеттіктерімен байланыстыруды айтарлықтай жеңілдетеді.

Ендеше, кадрларды есепке алудың барлық қадамдары мен тетіктері талданып, ретке келтірілуі керек. Кейбір процестерді өзгертуге немесе өзгертуге тура келуі әбден мүмкін. Бұл жалықтыратын және ауыр жұмыс, бірақ бұл қажет, әйтпесе кадрлық оқиғалар туралы анық және құрылымдық деректердің болмауы оларды автоматты өңдеуде қателерге әкеледі. Ең нашар жағдайда, құрылымсыз процестерді автоматтандыру мүлдем мүмкін болмайды.

Мақсатты жүйелер

Келесі кезеңде біз IdM құрылымына қанша ақпараттық жүйені біріктіргіміз келетінін, осы жүйелерде пайдаланушылар мен олардың құқықтары туралы қандай деректер сақталғанын және оларды қалай басқару керектігін анықтауымыз керек.

Көптеген ұйымдарда біз IdM орнатамыз, мақсатты жүйелерге қосқыштарды конфигурациялаймыз және сиқырлы таяқшаның толқынымен бәрі біздің тарапымыздан қосымша күш-жігерсіз жұмыс істейді деген пікір бар. Әттең, бұлай болмайды. Компанияларда ақпараттық жүйелердің ландшафты дамып, біртіндеп өсіп келеді. Әрбір жүйенің қол жеткізу құқықтарын берудің әртүрлі тәсілі болуы мүмкін, яғни қол жеткізуді басқарудың әртүрлі интерфейстерін конфигурациялауға болады. Бір жерде басқару API (бағдарламалық бағдарламалау интерфейсі) арқылы, бір жерде сақталған процедураларды пайдаланатын дерекқор арқылы жүзеге асады, бір жерде өзара әрекеттесу интерфейстері мүлдем болмауы мүмкін. Сіз ұйым жүйелеріндегі тіркелгілер мен құқықтарды басқарудың көптеген қолданыстағы процестерін қайта қарауға дайын болуыңыз керек: деректер пішімін өзгерту, өзара әрекеттесу интерфейстерін алдын ала жақсарту және осы жұмысқа ресурстарды бөлу.

Үлгі

Мүмкін сіз IdM шешімі провайдерін таңдау кезеңінде рөлдік модель тұжырымдамасын кездестіретін шығарсыз, өйткені бұл қол жеткізу құқықтарын басқару саласындағы негізгі ұғымдардың бірі. Бұл үлгіде деректерге қатынас рөл арқылы қамтамасыз етіледі. Рөл - белгілі бір лауазымдағы қызметкерге өзінің функционалдық міндеттерін орындау үшін ең аз қажет болатын рұқсаттардың жиынтығы.

Рөлге негізделген қол жеткізуді басқарудың бірқатар даусыз артықшылықтары бар:

  • қызметкерлердің көп санына бірдей құқықтарды беру қарапайым және тиімді;
  • бірдей құқықтар жиынтығы бар қызметкерлердің қолжетімділігін жедел өзгерту;
  • артық құқықтарды жою және пайдаланушылар үшін сәйкес келмейтін өкілеттіктерді шектеу.

Рөл матрицасы алдымен ұйымның әрбір жүйесінде бөлек құрастырылады, содан кейін әрбір жүйенің рөлдерінен жаһандық Бизнес рөлдері қалыптасатын бүкіл АТ ландшафтына масштабталады. Мысалы, «Бухгалтер» іскерлік рөлі кәсіпорынның бухгалтериясында қолданылатын ақпараттық жүйелердің әрқайсысы үшін бірнеше бөлек рөлдерді қамтиды.

Жақында қолданбаларды, дерекқорларды және операциялық жүйелерді әзірлеу сатысында да үлгі үлгісін жасау «үздік тәжірибе» болып саналды. Сонымен қатар, рөлдер жүйеде конфигурацияланбаған немесе олар жай жоқ болатын жағдайлар жиі кездеседі. Бұл жағдайда осы жүйенің әкімшісі қажетті рұқсаттарды беретін бірнеше әртүрлі файлдарға, кітапханаларға және каталогтарға тіркелгі ақпаратын енгізуі керек. Алдын ала анықталған рөлдерді пайдалану күрделі құрама деректері бар жүйеде операциялардың бүкіл ауқымын орындау үшін артықшылықтар беруге мүмкіндік береді.

Ақпараттық жүйедегі рөлдер, әдетте, штаттық құрылымға сәйкес лауазымдар мен бөлімдер үшін бөлінеді, бірақ белгілі бір бизнес-процестер үшін де құрылуы мүмкін. Мысалы, қаржылық ұйымда есеп айырысу бөлімінің бірнеше қызметкері бір лауазымды – операторды атқарады. Бірақ бөлімнің ішінде операциялардың әртүрлі түрлеріне (сыртқы немесе ішкі, әртүрлі валюталарда, ұйымның әртүрлі сегменттерімен) сәйкес бөлек процестерге бөлу де бар. Бір бөлімнің бизнес саласының әрқайсысына қажетті ерекшеліктерге сәйкес ақпараттық жүйеге қолжетімділікті қамтамасыз ету үшін жеке функционалдық рөлдерге құқықтарды қосу қажет. Бұл қызметтің әрбір саласы үшін артық құқықтарды қамтымайтын өкілеттіктердің ең аз жеткілікті жиынтығын қамтамасыз етуге мүмкіндік береді.

Оған қоса, жүздеген рөлдері, мыңдаған пайдаланушылары және миллиондаған рұқсаттары бар үлкен жүйелер үшін рөлдер иерархиясы мен артықшылық мұрасын пайдалану жақсы тәжірибе болып табылады. Мысалы, Әкімші ата-ана рөлі еншілес рөлдердің артықшылықтарын иеленеді: Пайдаланушы және Оқырман, өйткені Әкімші Пайдаланушы мен Оқырман жасай алатын барлық нәрсені жасай алады, сонымен қатар қосымша әкімшілік құқықтарға ие болады. Иерархияны пайдалану, бір модульдің немесе жүйенің бірнеше рөлдерінде бірдей құқықтарды қайта көрсетудің қажеті жоқ.

Бірінші кезеңде құқықтар тіркесімдерінің ықтимал саны онша көп емес және соның нәтижесінде рөлдердің аз санын басқару оңай болатын жүйелерде рөлдерді жасауға болады. Бұл Active Directory (AD), пошта жүйелері, Service Manager және т.б. сияқты жалпыға қолжетімді жүйелерге компанияның барлық қызметкерлері талап ететін әдеттегі құқықтар болуы мүмкін. Содан кейін, ақпараттық жүйелер үшін жасалған рөлдік матрицаларды Іскерлік рөлдерге біріктіре отырып, жалпы рөлдік үлгіге қосуға болады.

Осы тәсілді қолдана отырып, болашақта IdM жүйесін енгізу кезінде жасалған бірінші кезең рөлдері негізінде қол жеткізу құқығын берудің бүкіл процесін автоматтандыру оңай болады.

NB Сіз интеграцияға мүмкіндігінше көп жүйені бірден қосуға тырыспауыңыз керек. Күрделі архитектурасы және қол жеткізу құқықтарын басқару құрылымы бар жүйелерді IdM-ге бірінші кезеңде жартылай автоматты режимде қосқан дұрыс. Яғни, кадрлық оқиғалар негізінде әкімшіге орындау үшін жіберілетін қол жеткізу сұрауының автоматты генерациясын ғана жүзеге асырыңыз және ол құқықтарды қолмен конфигурациялайды.

Бірінші кезеңді сәтті аяқтағаннан кейін жүйенің функционалдығын жаңа кеңейтілген бизнес-процестерге дейін кеңейтуге, қосымша ақпараттық жүйелерді қосу арқылы толық автоматтандыруды және масштабтауды енгізуге болады.

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық
Басқаша айтқанда, IdM енгізуге дайындық үшін ақпараттық жүйелердің жаңа үдеріске дайындығын бағалау және пайдаланушы тіркелгілері мен пайдаланушы құқықтарын басқару үшін сыртқы өзара әрекеттесу интерфейстерін, егер мұндай интерфейстер болмаса, алдын ала пысықтау қажет. жүйеде қол жетімді. Қол жеткізуді кешенді басқару үшін ақпараттық жүйелерде рөлдерді кезең-кезеңімен құру мәселесі де зерттелуі керек.

Ұйымдастырушылық іс-шаралар

Ұйымдастырушылық мәселелерді де ескермеңіз. Кейбір жағдайларда олар шешуші рөл атқара алады, өйткені бүкіл жобаның нәтижесі көбінесе бөлімдер арасындағы тиімді өзара әрекеттесуге байланысты. Ол үшін әдетте ұйымда барлық тартылған бөлімдерді қамтитын процеске қатысушылар тобын құруға кеңес береміз. Бұл адамдар үшін қосымша ауыртпалық болғандықтан, болашақ процестің барлық қатысушыларына олардың өзара әрекеттесу құрылымындағы рөлі мен маңызын алдын ала түсіндіруге тырысыңыз. Егер сіз осы кезеңде әріптестеріңізге IdM идеясын «сатсаңыз», болашақта көптеген қиындықтардан аулақ бола аласыз.

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық
Көбінесе ақпараттық қауіпсіздік немесе АТ бөлімдері компанияда IdM енгізу жобасының «иелері» болып табылады және бизнес бөлімдерінің пікірлері ескерілмейді. Бұл үлкен қателік, өйткені әрбір ресурстың қалай және қандай бизнес-процестерде пайдаланылатынын, оған кімге рұқсат беру керектігін және кімге бермеу керектігін тек солар ғана біледі. Сондықтан, дайындық кезеңінде ақпараттық жүйеде пайдаланушы құқықтарының (рөлдерінің) жиынтықтары әзірленетін функционалдық үлгіге, сондай-ақ оның негізінде бизнес иесі жауапты екенін көрсету маңызды. бұл рөлдер жаңартылған. Үлгі - бұл бір рет құрастырылған және сіз оны тыныштандыруға болатын статикалық матрица емес. Бұл ұйымның құрылымындағы және қызметкерлердің функционалдық мүмкіндіктеріндегі өзгерістерге байланысты үнемі өзгеріп, жаңарып, дамуы керек «тірі организм». Әйтпесе, қол жеткізуді қамтамасыз етудегі кідірістерге байланысты проблемалар туындайды немесе артық қол жеткізу құқықтарына байланысты ақпараттық қауіпсіздік тәуекелдері пайда болады, бұл одан да нашар.

Өздеріңіз білетіндей, «жеті күтушінің көзі жоқ баласы бар», сондықтан компания үлгінің архитектурасын, процеске нақты қатысушылардың өзара әрекеттесуін және оны жаңартып отыру жауапкершілігін сипаттайтын әдістемені әзірлеуі керек. Егер компанияда іскерлік қызметтің көптеген бағыттары және сәйкесінше көптеген бөлімшелер мен департаменттер болса, онда әр сала бойынша (мысалы, несиелеу, операциялық жұмыс, қашықтан қызмет көрсету, комплаенс және т.б.) рөлге негізделген қол жеткізуді басқару процесінің бөлігі ретінде, ол жеке кураторларды тағайындау қажет. Олар арқылы бөлім құрылымындағы өзгерістер және әрбір рөлге қажетті қолжетімділік құқықтары туралы ақпаратты жылдам алуға болады.

Процеске қатысатын бөлімдер арасындағы жанжалды жағдайларды шешу үшін ұйым басшылығының қолдауына жүгіну өте маңызды. Кез келген жаңа процесті енгізу кезінде қақтығыстар сөзсіз, біздің тәжірибемізге сеніңіз. Сондықтан бізге басқа біреудің түсініспеушілігі мен саботажына байланысты уақытты жоғалтпау үшін мүмкін болатын мүдделер қақтығысын шешетін арбитр қажет.

IdM енгізу. Тапсырыс берушінің енгізуіне дайындық
NB Ақпаратты арттыруды бастау үшін жақсы орын - қызметкерлеріңізді оқыту. Болашақ процестің жұмыс істеуін және ондағы әрбір қатысушының рөлін егжей-тегжейлі зерттеу жаңа шешімге көшу қиындықтарын барынша азайтады.

Тексеру тізімі

Қорытындылай келе, IdM енгізуді жоспарлап отырған ұйым қабылдауы керек негізгі қадамдарды қорытындылаймыз:

  • персонал деректерін ретке келтіру;
  • әрбір қызметкер үшін бірегей сәйкестендіру параметрін енгізу;
  • ақпараттық жүйелердің IdM енгізуге дайындығын бағалау;
  • қол жеткізуді басқарудың ақпараттық жүйелерімен, егер олар жоқ болса, өзара әрекеттесу үшін интерфейстерді әзірлеу және осы жұмысқа ресурстарды бөлу;
  • үлгі үлгісін дамыту және қалыптастыру;
  • үлгілі басқару процесін құру және оған әрбір бизнес саласындағы кураторларды қосу;
  • IdM-ге бастапқы қосылу үшін бірнеше жүйені таңдау;
  • тиімді жоба командасын құру;
  • компания басшылығынан қолдау алу;
  • қызметкерлерді дайындау.

Дайындық процесі қиын болуы мүмкін, сондықтан мүмкіндігінше кеңесшілерді тартыңыз.

IdM шешімін енгізу қиын және жауапты қадам және оны сәтті жүзеге асыру үшін әр тараптың жеке күш-жігері – бизнес бөлімшелері, АТ және ақпараттық қауіпсіздік қызметтері қызметкерлерінің, тұтастай алғанда бүкіл команданың өзара әрекеттесуі маңызды. Бірақ күш-жігер жұмсауға тұрарлық: компанияда IdM енгізгеннен кейін ақпараттық жүйелердегі шектен тыс өкілеттіктер мен рұқсат етілмеген құқықтарға байланысты оқиғалардың саны азаяды; қажетті құқықтардың болмауы/ұзақ күту салдарынан қызметкердің тоқтап қалуы; Автоматтандырудың арқасында еңбек шығындары азайып, АТ және ақпараттық қауіпсіздік қызметінің еңбек өнімділігі артады.

Ақпарат көзі: www.habr.com

пікір қалдыру