ProHoster > Blog > башкаруу > IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо

Мурунку макалаларда биз IdM деген эмне экенин, сиздин уюмуңузга мындай система керекпи же жокпу, кантип түшүнсө болот, ал кандай көйгөйлөрдү чечет жана жетекчиликке бюджеттин аткарылышын кантип актоо керек экенин карап чыктык. Бүгүн биз IdM системасын ишке ашыруудан мурун тийиштүү деңгээлде жетилгендикке жетүү үчүн уюм өзү өтүшү керек болгон маанилүү этаптар жөнүндө сүйлөшөбүз. Анткени, IdM процесстерди автоматташтыруу үчүн иштелип чыккан, бирок башаламандыкты автоматташтыруу мүмкүн эмес.

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо

Компания ири ишкананын көлөмүнө чейин өсүп, ар кандай бизнес-системаларын топтогонго чейин, адатта, кирүү мүмкүнчүлүгүн көзөмөлдөө жөнүндө ойлонбойт. Демек, андагы укуктарды алуу жана контролдоочу ыйгарым укуктарды алуу процесстери структураланган эмес жана аларды талдоо кыйын. Кызматкерлер кирүү үчүн арыздарды өздөрү каалагандай толтурушат, бекитүү процесси да формалдуу эмес, кээде жөн эле жок болот. Кызматкердин кандай мүмкүнчүлүктөрү бар, аны ким жана кандай негизде бекитти, тез эле аныктоо мүмкүн эмес.

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо
Кирүүнү автоматташтыруу процесси эки негизги аспектке – персоналдык маалыматтарга жана интеграциялануучу маалыматтык системалардын маалыматтарына таасир этээрин эске алып, биз IdMди ишке ашыруу үзгүлтүксүз жүрүшүн жана четке кагууларды жаратпасын камсыз кылуу үчүн зарыл болгон кадамдарды карап чыгабыз:

  1. Кадрдык процесстерди талдоо жана кадрдык системаларда кызматкерлердин маалымат базасын колдоону оптималдаштыруу.
  2. Колдонуучунун жана укуктардын маалыматтарын талдоо, ошондой эле IdMге туташтыруу пландаштырылган максаттуу системалардагы мүмкүндүктөрдү башкаруу ыкмаларын жаңылоо.
  3. Уюштуруу иш-чаралары жана кадрларды IdM ишке ашырууга даярдоо процессине тартуу.

Персоналдык маалыматтар

Уюмда кадрдык маалыматтардын бир булагы болушу мүмкүн же бир нече болушу мүмкүн. Мисалы, уюмдун бир кыйла кеңири филиалдык тармагы болушу мүмкүн жана ар бир филиал өзүнүн кадрдык базасын колдоно алат.

Биринчиден, кызматкерлер жөнүндө кандай негизги маалыматтар кадрларды эсепке алуу тутумунда сакталып турганын, кандай окуялар жазылганын түшүнүү жана алардын толуктугун жана түзүмүн баалоо керек.

Бул көп учурда бардык кадрдык окуялар кадр булагында белгиленбейт (жана андан да көп учурда алар өз убагында жана толугу менен туура эмес белгиленет). Бул жерде кээ бир типтүү мисалдар келтирилген:

  • Жалбырактар, алардын категориялары жана мөөнөттөрү (кадимки же узак мөөнөттүү) жазылбайт;
  • Толук эмес жумуш күнү эсепке алынбайт: мисалы, баланы багуу боюнча узак мөөнөттүү өргүүдө жүргөндө кызматкер бир эле учурда толук эмес жумуш күнү иштей алат;
  • талапкердин же кызматкердин иш жүзүндөгү статусу өзгөргөн (кабыл алуу/которуу/бошотуу), жана бул окуя жөнүндө буйрук кечиктирилип чыгарылса;
  • кызматкер жумуштан бошотуу жолу менен жаңы штаттык кызматка которулат, ал эми кадр системасы бул техникалык иштен бошотуу жөнүндө маалыматты жазбайт.

Ошондой эле маалыматтардын сапатын баалоого өзгөчө көңүл буруу зарыл, анткени HR системалары болгон ишенимдүү булактан алынган ар кандай каталар жана так эместиктер келечекте кымбатка туруп, IdMди ишке ашырууда көптөгөн көйгөйлөрдү жаратышы мүмкүн. Мисалы, HR кызматкерлери көбүнчө кызматкерлердин кызмат орундарын кадр системасына ар кандай форматта киргизет: баш жана кичине тамгалар, аббревиатуралар, боштуктардын ар кандай сандары жана башкалар. Натыйжада, бир эле кызмат ордун кадрлар системасында төмөнкү вариацияларда жазылышы мүмкүн:

  • Улуу менеджер
  • улуу менеджер
  • улук менеджер
  • Art. менеджер…

Көбүнчө атыңыздын жазылышындагы айырмачылыктар менен күрөшүүгө туура келет:

  • Шмелева Наталья Геннадьевна,
  • Шмелева Наталья Геннадьевна...

Андан ары автоматташтыруу үчүн, мындай баш аламандыкка жол берилбейт, өзгөчө, эгерде бул атрибуттар идентификациянын негизги белгиси болсо, башкача айтканда, системалардагы кызматкер жана анын ыйгарым укуктары жөнүндө маалыматтар толук аты-жөнү менен так салыштырылат.

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо
Мындан тышкары, биз компанияда аты-жөнү жана толук аты болушу мүмкүн экенин унутпашыбыз керек. Эгерде уюмда миң кызматкер болсо, мындай дал келүүлөр аз болушу мүмкүн, бирок 50 миң болсо, анда бул IdM тутумунун туура иштешине олуттуу тоскоолдук болуп калышы мүмкүн.

Жогоруда айтылгандардын бардыгын жыйынтыктап, биз жыйынтык чыгарабыз: уюмдун персоналдык базасына маалыматтарды киргизүү форматы стандартташтырылган болушу керек. Фамилияларды, кызматтарды жана бөлүмдөрдү киргизүүнүн параметрлери так аныкталууга тийиш. Кадрлар бөлүмүнүн кызматкери маалыматтарды кол менен киргизбестен, кадрлар базасында бар “тандоо” функциясын колдонуу менен бөлүмдөрдүн жана кызмат орундарынын түзүмүнүн алдын ала түзүлгөн каталогунан тандаганда эң жакшы вариант болуп саналат.

Синхрондоштурууда кийинки каталарды болтурбоо жана отчеттордогу дал келбестиктерди кол менен оңдоонун кереги жок үчүн, кызматкерлерди аныктоо үчүн абдан артыкчылыктуу жолу ID киргизүү болуп саналат уюмдун ар бир кызматкери үчүн. Мындай идентификатор ар бир жаңы кызматкерге ыйгарылат жана персонал системасында да, уюмдун маалымат тутумдарында да эсептин милдеттүү атрибуту катары пайда болот. Ал сандардан же тамгалардан турганы маанилүү эмес, негизгиси, ал ар бир кызматкер үчүн уникалдуу болуп саналат (мисалы, көп адамдар кызматкердин штаттык номерин колдонушат). Келечекте бул атрибутту киргизүү кадрдык булактагы кызматкерлердин маалыматтарын анын эсептери жана маалыматтык системалардагы ыйгарым укуктары менен байланыштырууну кыйла жеңилдетет.

Демек, кадрларды эсепке алуунун бардык кадамдары жана механизмдери талданып, иретке келтирилиши керек. Кээ бир процесстерди өзгөртүүгө же өзгөртүүгө туура келиши толук мүмкүн. Бул түйшүктүү жана түйшүктүү иш, бирок бул зарыл, антпесе кадрдык окуялар боюнча так жана структураланган маалыматтардын жоктугу аларды автоматтык түрдө иштетүүдө каталарга алып келет. Эң начар учурда структураланбаган процесстерди автоматташтыруу таптакыр мүмкүн болбой калат.

Максаттуу системалар

Кийинки этапта биз канча маалыматтык системаны IdM түзүмүнө интеграциялоону каалайбыз, бул системаларда колдонуучулар жана алардын укуктары тууралуу кандай маалыматтар сакталат жана аларды кантип башкаруу керек экенин аныкташыбыз керек.

Көптөгөн уюмдарда биз IdM орнотобуз, максаттуу системаларга туташтыргычтарды конфигурациялайбыз жана сыйкырдуу таякчанын толкуну менен баары биз тараптан кошумча күч-аракет жумшабастан иштейт деген пикир бар. Тилекке каршы, андай болбойт. Компанияларда маалыматтык системалардын ландшафттары акырындык менен өнүгүп, өсүп жатат. Ар бир системанын кирүү укугун берүү боюнча ар кандай мамилеси болушу мүмкүн, башкача айтканда, ар кандай жеткиликтүүлүктү башкаруу интерфейстери конфигурацияланышы мүмкүн. Бир жерде башкаруу API (колдонмо программалоо интерфейси) аркылуу, бир жерде сакталган процедураларды колдонгон маалымат базасы аркылуу ишке ашат, бир жерде эч кандай өз ара аракеттенүү интерфейстери жок болушу мүмкүн. Уюмдун тутумдарындагы эсептерди жана укуктарды башкаруу боюнча көптөгөн иштеп жаткан процесстерди кайра карап чыгууга даяр болушуңуз керек: маалымат форматын өзгөртүү, өз ара аракеттенүү интерфейстерин алдын ала жакшыртуу жана бул ишке ресурстарды бөлүштүрүү.

Үлгүлүү

Сиз, балким, IdM чечим провайдерин тандоо этабында үлгү болгон концепцияга туш болосуз, анткени бул кирүү укуктарын башкаруу тармагындагы негизги түшүнүктөрдүн бири. Бул моделде маалыматтарга жетүү рол аркылуу камсыз кылынат. Рол - бул белгилүү бир кызматта иштеген кызматкерге өзүнүн функционалдык милдеттерин аткаруу үчүн минималдуу зарыл болгон мүмкүнчүлүктөрдүн жыйындысы.

Рөлгө негизделген мүмкүндүктү башкаруу бир катар талашсыз артыкчылыктарга ээ:

  • көп сандагы кызматкерлерге бирдей укуктарды берүү жөнөкөй жана натыйжалуу;
  • бирдей укуктар топтому менен кызматкерлердин жеткиликтүүлүгүн тез арада өзгөртүү;
  • ашыкча укуктарды жоюу жана колдонуучулар үчүн шайкеш келбеген ыйгарым укуктарды чектөө.

Рол матрицасы адегенде уюмдун ар бир тутумунда өзүнчө курулат, андан кийин бүткүл IT ландшафтына масштабдалат, анда глобалдык Бизнес ролдору ар бир системанын ролдорунан түзүлөт. Мисалы, бизнес ролу "Бухгалтер" ишкананын бухгалтердик эсепке алуу бөлүмүндө колдонулган маалымат системаларынын ар бири үчүн бир нече өзүнчө ролдорду камтыйт.

Жакында эле, тиркемелерди, маалымат базаларын жана операциялык системаларды иштеп чыгуу стадиясында да үлгү түзүү "мыкты тажрыйба" болуп эсептелет. Ошол эле учурда системада ролдор конфигурацияланбаган же алар жөн эле жок болгон учурлар көп кездешет. Бул учурда, бул системанын администратору зарыл уруксаттарды берген бир нече түрдүү файлдарга, китепканаларга жана каталогдорго эсеп маалыматын киргизиши керек. Алдын ала аныкталган ролдорду колдонуу татаал композиттик маалыматтары бар системада операциялардын бүтүндөй спектрин аткарууга артыкчылыктарды берүүгө мүмкүндүк берет.

Маалыматтык системадагы ролдор, эреже катары, штаттык түзүмгө ылайык кызмат орундарына жана бөлүмдөрүнө бөлүштүрүлөт, бирок айрым бизнес процесстер үчүн да түзүлүшү мүмкүн. Мисалы, финансылык уюмда эсептешүү бөлүмүнүн бир нече кызматкерлери бир кызматты ээлейт - оператор. Бирок бөлүмдүн ичинде операциялардын ар кандай түрлөрү боюнча (тышкы же ички, ар кандай валютада, уюмдун ар кандай сегменттери менен) өзүнчө процесстерге бөлүштүрүү да бар. Бир бөлүмдүн ар бир бизнес багытын талап кылынган өзгөчөлүктөргө ылайык маалыматтык системага жетүү мүмкүнчүлүгүн камсыз кылуу үчүн жеке функционалдык ролдорго укуктарды киргизүү зарыл. Бул иштин ар бир чөйрөсү үчүн ашыкча укуктарды камтыбаган ыйгарым укуктардын минималдуу жетиштүү комплексин берүүгө мүмкүндүк берет.

Андан тышкары, жүздөгөн ролдору, миңдеген колдонуучулары жана миллиондогон уруксаттары бар чоң системалар үчүн ролдордун иерархиясын жана артыкчылык мурасын колдонуу жакшы практика болуп саналат. Мисалы, ата-эне ролу Администратор бала ролдорунун артыкчылыктарын мурастайт: Колдонуучу жана Окурман, анткени Администратор Колдонуучу жана Окурман жасай алган нерселердин баарын жасай алат, плюс кошумча административдик укуктарга ээ болот. Иерархияны колдонуу менен, бир эле модулдун же системанын бир нече ролдорунда бирдей укуктарды кайра көрсөтүүнүн кереги жок.

Биринчи этапта, укуктардын мүмкүн болгон комбинацияларынын саны анча чоң болбогон системаларда ролдорду түзө аласыз жана натыйжада аз сандагы ролдорду башкаруу оңой. Бул Active Directory (AD), почта системалары, Кызмат менеджери жана ушул сыяктуу жалпыга жеткиликтүү системаларга компаниянын бардык кызматкерлери тарабынан талап кылынган типтүү укуктар болушу мүмкүн. Андан кийин, маалыматтык системалар үчүн түзүлгөн ролдук матрицаларды бизнес ролдоруна бириктирип, жалпы үлгүгө кошууга болот.

Бул ыкманы колдонуу менен, келечекте IdM системасын ишке ашырууда түзүлгөн биринчи этаптын ролдорунун негизинде кирүү укуктарын берүү процессин автоматташтыруу оңой болот.

NB Сиз интеграцияга мүмкүн болушунча көп системаларды дароо кошууга аракет кылбаңыз. Биринчи этапта жарым автоматтык режимде IdMге татаалыраак архитектура жана кирүү укуктарын башкаруу структурасы бар системаларды туташтыруу жакшы. Башкача айтканда, кадрдык окуялардын негизинде администраторго аткаруу үчүн жөнөтүлө турган мүмкүндүк алуу өтүнүчүн автоматтык түрдө түзүүнү гана ишке ашырыңыз жана ал укуктарды кол менен конфигурациялайт.

Биринчи этапты ийгиликтүү аяктагандан кийин, сиз системанын функционалдуулугун жаңы кеңейтилген бизнес-процесстерге кеңейте аласыз, толук автоматташтырууну жана кошумча маалыматтык системаларды туташтыруу менен масштабдоону ишке ашыра аласыз.

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо
Башкача айтканда, IdMди ишке ашырууга даярдануу үчүн маалыматтык системалардын жаңы процесске даярдыгын баалоо жана колдонуучу эсептерин жана колдонуучу укуктарын башкаруу үчүн тышкы өз ара аракеттенүү интерфейстерин, эгерде мындай интерфейстер жок болсо, алдын ала жыйынтыктоо зарыл. системада жеткиликтүү. Кирүүнү комплекстүү башкаруу үчүн маалымат системаларында ролдорду этап-этабы менен түзүү маселеси да изилдениши керек.

Уюштуруу иш-чаралары

Уюштуруу маселелерин да жеңилдетпеңиз. Кээ бир учурларда, алар чечүүчү ролду ойной алат, анткени бүткүл долбоордун натыйжасы көбүнчө бөлүмдөрдүн ортосундагы эффективдүү өз ара аракеттенүүдөн көз каранды. Бул үчүн, адатта, уюмда процесстин катышуучуларынын командасын түзүүнү сунуштайбыз, анын курамына бардык тартылган бөлүмдөр кирет. Бул адамдар үчүн кошумча жүк болгондуктан, келечектеги процесстин бардык катышуучуларына алардын өз ара аракеттенүү түзүмүндөгү ролун жана маанисин алдын ала түшүндүрүүгө аракет кылыңыз. Эгерде сиз IdM идеясын ушул этапта кесиптештериңизге "сатып" алсаңыз, келечекте көптөгөн кыйынчылыктардан кутула аласыз.

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо
Көбүнчө маалыматтык коопсуздук же IT бөлүмдөрү компанияда IdMди ишке ашыруу долбоорунун “ээлери” болуп саналат жана бизнес бөлүмдөрүнүн пикири эске алынбайт. Бул чоң жаңылыштык, анткени ар бир ресурс кантип жана кандай бизнес-процесстерде колдонулуп жатканын, ага кимдер кирүү мүмкүнчүлүгүн берүү керек жана кимге берилбеши керектигин алар гана билет. Ошондуктан, даярдоо стадиясында, маалыматтык системада колдонуучунун укуктарынын (ролдорунун) топтомдору иштелип чыккан функционалдык модель үчүн жооптуу бизнес ээси экендигин көрсөтүү маанилүү, ошондой эле бул ролдор жаңыртылган. Үлгү - бул бир жолу курулган жана сиз аны тынчтанта турган статикалык матрица эмес. Бул "тирүү организм" болуп саналат, ал дайыма өзгөрүп, жаңыланып, өнүккөн, уюмдун түзүмүндөгү жана кызматкерлердин функционалдуулугу өзгөргөн. Болбосо, же кирүү мүмкүнчүлүгүн берүүнүн кечигүүсүнө байланыштуу көйгөйлөр пайда болот, же ашыкча кирүү укуктарына байланыштуу маалымат коопсуздугунун тобокелдиктери пайда болот, бул андан да жаман.

Белгилүү болгондой, "жети нянянын көзү жок бала бар", ошондуктан компания үлгүнүн архитектурасын, өз ара аракеттенүүсүн жана процесстин конкреттүү катышуучуларынын жоопкерчилигин чагылдырган методологияны иштеп чыгышы керек. Эгерде компанияда ишкердиктин көптөгөн чөйрөлөрү жана ошого жараша көптөгөн бөлүмдөр жана бөлүмдөр болсо, анда ар бир чөйрө үчүн (мисалы, кредиттөө, оперативдүү иш, аралыктан тейлөө, комплаенс жана башкалар) ролго негизделген мүмкүндүктү башкаруу процессинин бөлүгү катары, ал өзүнчө кураторлорду дайындоо зарыл. Алар аркылуу бөлүмдүн түзүмүндөгү өзгөртүүлөр жана ар бир ролго талап кылынган кирүү укуктары тууралуу маалыматты ыкчам алуу мүмкүн болот.

Процесске катышкан бөлүмдөрдүн ортосундагы чыр-чатактарды чечүү үчүн уюмдун жетекчилигинин колдоосун алуу зарыл. Жана кандайдыр бир жаңы процессти киргизүүдө чыр-чатактар ​​сөзсүз болот, биздин тажрыйбага ишенебиз. Ошондуктан, кимдир бирөөнүн түшүнбөстүктөрүнөн жана саботажынан улам убакытты текке кетирбөө үчүн, мүмкүн болгон кызыкчылыктардын кагылышын чече турган арбитр керек.

IdMди ишке ашыруу. Кардар тарабынан ишке ашырууга даярдоо
NB Маалымдуулукту жогорулатууну баштоо үчүн жакшы жер - бул кызматкерлерди окутуу. Келечектеги процесстин иштешин жана андагы ар бир катышуучунун ролун деталдуу изилдөө жаңы чечимге өтүүдөгү кыйынчылыктарды азайтат.

Текшерүү тизмеси

Жыйынтыктап айтканда, биз IdMди ишке ашырууну пландаштырып жаткан уюм жасашы керек болгон негизги кадамдарды жалпылайбыз:

  • персоналдын маалыматтарын иретке келтирүү;
  • ар бир кызматкер үчүн уникалдуу аныктоо параметрин киргизүү;
  • IdMди ишке ашыруу үчүн маалыматтык системалардын даярдыгын баалоо;
  • эгерде алар жок болсо, жеткиликтүүлүктү башкаруунун маалыматтык системалары менен өз ара аракеттенүү үчүн интерфейстерди иштеп чыгуу жана бул ишке ресурстарды бөлүштүрүү;
  • үлгүсүн иштеп чыгуу жана куруу;
  • үлгү башкаруу процессин түзүү жана ага ар бир бизнес тармагынан кураторлорду киргизүү;
  • IdMге алгачкы туташуу үчүн бир нече системаны тандоо;
  • натыйжалуу долбоордун командасын түзүү;
  • компаниянын жетекчилигинен колдоо алуу;
  • кадрларды даярдоо.

Даярдоо процесси кыйын болушу мүмкүн, андыктан мүмкүн болсо кеңешчилерди тартыңыз.

IdM чечимин ишке ашыруу татаал жана жоопкерчиликтүү кадам болуп саналат жана аны ийгиликтүү ишке ашыруу үчүн ар бир тараптын – бизнес бөлүмдөрүнүн, IT жана маалыматтык коопсуздук кызматтарынын кызматкерлеринин аракети, ошондой эле бүтүндөй команданын өз ара аракеттенүүсү маанилүү. Бирок күч-аракет татыктуу: IdMди компанияга киргизгенден кийин, маалымат системаларында ашыкча ыйгарым укуктарга жана уруксатсыз укуктарга байланыштуу инциденттер азаят; зарыл болгон укуктардын жетишсиздигинен/узак күтүүдөн улам кызматкердин токтоп калуусу жок болот; Автоматташтыруудан улам эмгек чыгымдары кыскарып, IT жана маалыматтык коопсуздук кызматтарынын эмгек өндүрүмдүүлүгү жогорулайт.

Source: www.habr.com

Комментарий кошуу