ProHoster > Blog > Administratioun > Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client

A fréieren Artikelen hu mir scho betruecht wat IdM ass, wéi ze verstoen ob Är Organisatioun sou e System brauch, wéi eng Aufgaben et léist a wéi Dir den Implementéierungsbudget fir d'Gestioun berechtegt. Haut wäerte mir iwwer déi wichteg Etappe schwätzen, déi d'Organisatioun selwer muss duerchgoën fir de passenden Niveau vun der Reife z'erreechen ier Dir den IdM System implementéiert. No allem ass IdM entwéckelt fir Prozesser ze automatiséieren, an et ass onméiglech Chaos ze automatiséieren.

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client

Bis de Moment wou eng Firma op d'Gréisst vun enger grousser Entreprise wiisst a vill verschidde Geschäftssystemer accumuléiert, denkt se normalerweis net un Zougangskontroll. Dofir sinn d'Prozesser fir Rechter ze kréien an d'Kraaft ze kontrolléieren an et net strukturéiert a si schwéier ze analyséieren. D'Employéeën ausfëllen Uwendungen fir Zougang wéi se wëllen, den Genehmegungsprozess ass och net formaliséiert, an heiansdo gëtt et einfach net. Et ass onméiglech séier erauszefannen wat Zougang en Employé huet, wien se guttgeheescht huet a wéi eng Basis.

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client
Bedenkt datt de Prozess vun der Zouganksautomatiséierung zwee Haaptaspekter beaflosst - Personaldaten an Informatiounssystemdaten, mat deenen d'Integratioun duerchgefouert gëtt, wäerte mir d'Schrëtt berücksichtegen fir sécherzestellen datt d'Implementatioun vun IdM glat geet an net Oflehnung verursaacht:

  1. Analyse vun Personal Prozesser an Optimisatioun vun Employé Datebank Ënnerstëtzung am Personal Systemer.
  2. Analyse vun Daten iwwer Benotzer a Rechter, wéi och d'Aktualiséierung vun Zougangskontrollmethoden an Zilsystemer, déi geplangt sinn mat IdM verbonnen ze sinn.
  3. Organisatoresch Moossnamen an Bedeelegung vum Personal am Prozess vun der Virbereedung fir d'Ëmsetzung vun IdM.

Personal Daten

Et kann eng Quell vu Personaldaten an enger Organisatioun sinn, oder et kann e puer sinn. Zum Beispill kann eng Organisatioun e zimlech breet Filialnetz hunn, an all Filial kann seng eege Personalbasis benotzen.

Als éischt ass et néideg ze verstoen wat Basisdaten iwwer Mataarbechter am Personal records System gespäichert sinn, wéi eng Eventer opgeholl ginn an hir Vollständegkeet a Struktur evaluéieren.

Et geschitt dacks datt net all Personalevenementer an der Personalquell notéiert ginn (an nach méi dacks ginn se an der Zäit an net ganz korrekt festgehalen). Hei sinn e puer typesch Beispiller:

  • Blieder, hir Kategorien a Begrëffer (regelméisseg oder laangfristeg) sinn net opgeholl;
  • Deelzäitaarbecht gëtt net opgeholl: zum Beispill, während engem laange Congé parental, kann en Employé gläichzäiteg Deelzäit schaffen;
  • den aktuellen Status vum Kandidat oder Employé ass scho geännert (Astellen / Transfert / Entloossung), an d'Uerdnung iwwer dëst Evenement gëtt mat Retard erausginn;
  • en Employé gëtt duerch Entloossung op eng nei Vollzäitplaz transferéiert, während de Personalsystem keng Informatioun notéiert datt et eng technesch Entloossung ass.

Et ass och derwäert besonnesch Opmierksamkeet ze bezuelen fir d'Qualitéit vun den Donnéeën ze bewäerten, well all Feeler an Ongenauegkeeten, déi vun enger zouverléisseger Quell kritt ginn, déi Personalrecordssystemer sinn, kënnen an Zukunft deier sinn a vill Probleemer bei der Ëmsetzung vun IdM verursaachen. Zum Beispill ginn d'Personalbeamten dacks an Employéepositiounen am Personalsystem a verschiddene Formater an: Grouss a kleng Buschtawen, Ofkierzungen, eng aner Zuel vu Plazen, an dergläiche. Als Resultat kann déiselwecht Positioun am Personalsystem an de folgende Variatiounen fixéiert ginn:

  • Senior Manager
  • Senior Manager
  • Senior Manager
  • Art. Manager…

Dacks musst Dir mat Differenzen an der Schreifweis vum ganzen Numm këmmeren:

  • Shmeleva Natalia Gennadievna,
  • Shmeleva Natalia Gennadievna…

Fir weider Automatisatioun ass esou Jumble inakzeptabel, besonnesch wann dës Attributer e Schlësselzeechen vun der Identifikatioun sinn, dat heescht, Daten iwwer den Employé a seng Kräfte an de Systemer ginn präzis mam vollen Numm verglach.

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client
Zousätzlech sollt een net iwwer d'méiglech Präsenz vun Namensvetter a voller Namensvetter an der Firma vergiessen. Wann eng Organisatioun dausend Mataarbechter huet, kann et wéineg sou Zoufall sinn, a wann et 50 Tausend sinn, da kann dëst e kriteschen Hindernis fir d'korrekt Operatioun vum IdM System ginn.

Zesummegefaasst all déi uewe genannte, schléissen mir: d'Format fir Daten an d'Personalbasis vun der Organisatioun anzeginn soll standardiséiert ginn. D'Parameteren fir voll Nimm, Positiounen an Departementer anzeginn muss kloer definéiert ginn. Déi bescht Optioun ass wann e Personalaarbechter Daten net manuell aginn, awer se aus engem virgeschaffte Verzeechnes vun der Struktur vun den Departementer a Positiounen auswielt mat der Funktioun "Auswielen" verfügbar an der Personaldatenbank.

Fir weider Feeler bei der Synchroniséierung ze vermeiden an net manuell Differenzen a Berichter ze fixéieren, de beléifste Wee fir Mataarbechter z'identifizéieren ass eng ID anzeginn fir all Employé an der Organisatioun. Sou en Identifizéierer gëtt all neien Employé zougewisen a schéngen souwuel am Personalsystem wéi och an den Informatiounssystemer vun der Organisatioun als obligatoresch Attribut vum Kont. Et ass egal ob et aus Zuelen oder Buschtawen besteet, den Haapt Saach ass datt et fir all Employé eenzegaarteg ass (zum Beispill vill benotzen d'Personalnummer vun engem Employé). An Zukunft wäert d'Aféierung vun dësem Attribut d'Verbindung vun Daten iwwer en Employé an der Personalquell mat senge Konten an Autoritéiten an Informatiounssystemer erliichteren.

Also, all Schrëtt a Mechanismen vun Personal records muss analyséiert an an Uerdnung gesat ginn. Et ass méiglech datt verschidde Prozesser musse geännert oder verbessert ginn. Dëst ass langweileg an ustrengend Aarbecht, awer et ass néideg, soss wäert de Mangel u kloer a strukturéiert Daten iwwer Personalevenementer zu Feeler an hirer automatescher Veraarbechtung féieren. Am schlëmmste Fall kënnen onstrukturéiert Prozesser guer net automatiséiert ginn.

Zil Systemer

An der nächster Etapp musse mir erausfannen, wéi vill Informatiounssystemer mir wëllen an d'IdM Struktur integréieren, wéi eng Donnéeën iwwer d'Benotzer an hir Rechter an dëse Systemer gespäichert sinn a wéi se se verwalten.

A ville Organisatiounen gëtt et eng Meenung datt mir IdM installéieren, d'Stecker op d'Zilsystemer konfiguréieren, a mat enger Welle vun engem Zauberwand wäert alles funktionnéieren, ouni zousätzlech Efforte vun eiser Säit. Also, leider, et geschitt net. An Entreprisen entwéckelt d'Landschaft vun Informatiounssystemer a wiisst graduell. A jiddereng vun de Systemer kann eng aner Approche fir Zougangsrechter ze ginn organiséiert ginn, dat heescht, verschidden Zougangskontrollinterfaces sinn konfiguréiert. Iergendwou geschitt Gestioun duerch d'API (Applikatiounsprogramméierungsinterface), iergendwou duerch d'Datebank mat gespäichert Prozeduren, iergendwou kann et guer keng Interaktiounsinterfaces sinn. Dir sollt op d'Tatsaach virbereet sinn datt Dir vill existent Prozesser fir d'Gestioun vu Konten a Rechter an de Systemer vun der Organisatioun muss iwwerschaffen: d'Dateformat änneren, d'Interaktiounsinterfaces am Viraus finaliséieren an d'Ressourcen fir dës Wierker allocéieren.

Virbild

Dir wäert wahrscheinlech d'Konzept vun engem Virbild begéinen an der Phase vun der Auswiel vun engem IdM Léisungsprovider, well dëst ee vun de Schlësselkonzepter am Beräich vun der Zougangsrechtermanagement ass. An dësem Modell gëtt Zougang zu Daten duerch eng Roll geliwwert. Eng Roll ass eng Rei vun Zougang déi minimal néideg sinn fir en Employé an enger bestëmmter Positioun fir hir funktionell Verantwortung auszeféieren.

Roll-baséiert Zougangskontroll huet eng Rei vun onbestreideg Virdeeler:

  • einfach an efficace Aufgab vun der selwechter Rechter fir eng grouss Zuel vu Mataarbechter;
  • prompt den Zougang vu Mataarbechter mat der selwechter Rei vu Rechter z'änneren;
  • Ausgrenzung vun Redundanz vu Rechter an Differenzéierung vun inkompatibel Muechten fir Benotzer.

D'Roll Matrix ass fir d'éischt getrennt an all eenzel vun de Systemer vun der Organisatioun gebaut, an dann op déi ganz IT Landschaft skaléiert, wou global Business Rollen aus de Rollen vun all System geformt ginn. Zum Beispill wäert d'Geschäftsroll "Accountant" verschidde separat Rollen enthalen fir jiddereng vun den Informatiounssystemer, déi an der Comptabilitéitsdepartement vun der Entreprise benotzt ginn.

Viru kuerzem gouf et als "beschte Praxis" ugesinn fir e Rollmodell och op der Bühn vun der Entwécklung vun Uwendungen, Datenbanken a Betribssystemer ze kreéieren. Zur selwechter Zäit ginn et dacks Situatiounen wou Rollen net am System konfiguréiert sinn oder se einfach net existéieren. An dësem Fall muss den Administrateur vun dësem System Kontinformatioun a verschidde verschidde Dateien, Bibliothéiken a Verzeichnisser aginn, déi déi néideg Permissiounen ubidden. D'Benotzung vu virdefinéierte Rollen erlaabt Iech Privilegien ze ginn fir eng ganz Rei vun Operatiounen an engem System mat komplexe Kompositdaten auszeféieren.

Rollen am Informatiounssystem ginn als Regel fir Positiounen an Departementer no der Personalstruktur verdeelt, awer kënnen och fir verschidde Geschäftsprozesser erstallt ginn. Zum Beispill, an enger Finanzinstitut, e puer Mataarbechter vun der Siidlung Departement besetzen déi selwecht Positioun - de Bedreiwer. Awer am Departement gëtt et och eng Verdeelung an getrennte Prozesser, no verschiddenen Zorte vun Operatiounen (extern oder intern, a verschiddene Währungen, mat verschiddene Segmenter vun der Organisatioun). Fir jiddereng vun de Geschäftsberäicher vun engem Departement Zougang zum Informatiounssystem no den erfuerderleche Spezifizitéiten ze bidden, ass et néideg Rechter a separat funktionell Rollen ze enthalen. Dëst wäert e Minimum genuch Set vun Permissiounen ubidden, net iwwerflësseg Rechter abegraff, fir all Aktivitéitsberäich.

Och fir grouss Systemer mat Honnerte vu Rollen, Dausende vu Benotzer, a Millioune Permissiounen, ass et gutt Praxis eng Hierarchie vu Rollen a Privileg Ierfschaft ze benotzen. Zum Beispill, d'Elterroll Administrateur ierft d'Privilegien vun de Kannerrollen: Benotzer a Lieser, well den Administrateur alles maache kann wat de Benotzer a Lieser maache kann, plus et wäert zousätzlech Administratiounsrechter hunn. Mat der Hierarchie ass et net néideg déiselwecht Rechter a verschiddene Rollen vum selwechte Modul oder System nei ze spezifizéieren.

Op der éischter Etapp kënnt Dir Rollen an deene Systemer erstellen, wou d'méiglech Zuel vu Kombinatioune vu Rechter net ganz grouss ass, an als Resultat ass et einfach eng kleng Zuel vu Rollen ze managen. Dëst kënnen typesch Rechter sinn, déi vun all Firma Mataarbechter op ëffentlech Systemer wéi Active Directory (AD), Mail Systemer, Service Manager, an dergläiche verlaangt sinn. Dann kënnen déi erstallt Rollmatrixen fir Informatiounssystemer am allgemenge Rollmodell abegraff ginn, a kombinéiert se a Business Rollen.

Mat dëser Approche, an der Zukunft, wann Dir en IdM System implementéiert, wäert et einfach sinn de ganze Prozess vun der Zougängsrechter ze automatiséieren op Basis vun den erstallte Rollen vun der éischter Etapp.

NB Dir sollt net probéieren direkt sou vill wéi méiglech Systemer an der Integratioun opzehuelen. Systemer mat enger méi komplexer Architektur an Zougangsrechter Gestioun Struktur sinn am beschten verbonne mat IdM an engem semi-automatesche Modus op der éischter Etapp. Dat ass, baséiert op Personalevenementer, implementéiert nëmmen automatesch Generatioun vun enger Zougangsufro, déi un den Administrateur fir d'Ausféierung geschéckt gëtt, an hie wäert d'Rechter manuell setzen.

Nodeems Dir déi éischt Stuf erfollegräich passéiert, ass et méiglech d'Funktionalitéit vum System op nei fortgeschratt Geschäftsprozesser ze verlängeren, fir voll Automatisatioun a Skala mat der Verbindung vun zousätzlech Informatiounssystemer ëmzesetzen.

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client
An anere Wierder, fir d'Ëmsetzung vun IdM virzebereeden, ass et néideg d'Bereetschaft vun Informatiounssystemer fir en neie Prozess ze bewäerten an am Viraus déi extern Interfaces fir d'Gestioun vun Benotzerkonten a Rechter ze verfeineren, wann esou Interfaces net verfügbar sinn an de System. Et ass och noutwendeg fir d'Fro vun der Phase Schafung vu Rollen an Informatiounssystemer fir integréiert Zougangskontroll auszeschaffen.

Organisatoresch Evenementer

Organisatoresch Themen sollten net reduzéiert ginn. An e puer Fäll kënnen se eng entscheedend Roll spillen, well d'Resultat vum ganze Projet hänkt oft vun enger effektiver Interaktioun tëscht Departementer of. Fir dëst ze maachen, rode mir normalerweis e Team vu Prozessparticipanten an der Organisatioun ze kreéieren, déi all déi involvéiert Departementer enthalen. Well dëst eng zousätzlech Belaaschtung fir Leit ass, probéiert am Viraus all Participanten am Zukunftsprozess hir Roll a Bedeitung an der Interaktiounsstruktur z'erklären. Wann Dir op dëser Etapp d'Iddi vun IdM u Kollegen "verkaaft", kënnt Dir vill Schwieregkeeten an Zukunft vermeiden.

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client
Oft sinn d'"Besëtzer" vum IdM Implementatiounsprojet an enger Firma Informatiounssécherheet oder IT Departementer, an d'Meenung vu Geschäftsdepartementer gëtt net berücksichtegt. Dëst ass e grousse Feeler, well nëmme si wësse wéi a wéi a wéi enge Geschäftsprozesser all Ressource benotzt gëtt, wien Zougang dozou kritt a wien net. Dofir, an der Virbereedungsstadium, ass et wichteg ze weisen datt et de Geschäftsbesëtzer ass dee fir de funktionnelle Modell verantwortlech ass, op Basis vun deem d'Rechter (Rollen) vun de Benotzer am Informatiounssystem entwéckelt ginn, souwéi fir ze garantéieren datt dës Rollen um neiste Stand bleiwen. D'Rollmodell ass keng statesch Matrix, déi eemol gebaut gouf an Dir kënnt Iech dorop berouegen. Dëst ass e "liewegen Organismus", dee stänneg muss änneren, aktualiséieren an entwéckelen, no Ännerungen an der Struktur vun der Organisatioun an der Funktionalitéit vun de Mataarbechter. Soss ginn et entweder Problemer mat Verspéidungen am Accès, oder et gëtt Informatiounssécherheetsrisiken verbonne mat exzessive Zougangsrechter, wat nach méi schlëmm ass.

Wéi Dir wësst, "siwen Nannies hunn e Kand ouni Aen", also soll d'Firma eng Methodik entwéckelen, déi d'Architektur vum Virbild beschreift, d'Interaktioun an d'Verantwortung vu spezifesche Participanten am Prozess fir se um neiste Stand ze halen. Wann eng Firma vill Beräicher vun der Geschäftsaktivitéit huet an deementspriechend vill Divisiounen an Departementer, dann fir all Beräich (zum Beispill Prêten, Operatiounen, Fernservicer, Konformitéit an anerer), als Deel vum Roll-baséierten Zougangskontrollprozess, et ass néideg separat Curatoren ze ernennen. Duerch si wäert et méiglech sinn séier Informatiounen iwwer Ännerungen an der Struktur vun der Eenheet an den Zougangsrechter fir all Roll ze kréien.

Et ass onbedéngt d'Ënnerstëtzung vun der Gestioun vun der Organisatioun unzeruffen fir Konfliktsituatiounen tëscht Departementer ze léisen - Participanten am Prozess. A Konflikter an der Ëmsetzung vun all neie Prozess sinn inévitabel, gleewen eis Erfahrung. Dofir gëtt en Arbiter gebraucht, deen eventuell Interessekonflikter léist, fir net Zäit ze verschwenden wéinst engem sengen Mëssverständnis a Sabotage.

Ëmsetzung vun IdM. Virbereedung fir Ëmsetzung vum Client
NB Training vum Personal ass e gudde Start fir Sensibiliséierung ze erhéijen. Eng detailléiert Etude vum Fonctionnement vun der Zukunft Prozess, d'Roll vun all Participant an et wäert d'Schwieregkeeten vun Wiessel op eng nei Léisung minimiséieren.

Checklëscht

Zesummegefaasst, hei sinn d'Haaptschrëtt déi eng Organisatioun plangt fir IdM ëmzesetzen soll huelen:

  • Saachen an Uerdnung an Personal Daten setzen;
  • gitt eng eenzegaarteg Identifikatioun Parameter fir all Employé;
  • bewäerten d'Bereetschaft vun Informatiounssystemer fir d'Ëmsetzung vun IdM;
  • entwéckelen Schnëttplazen fir Interaktioun mat Informatiounssystemer fir Zougangskontroll, wa se net verfügbar sinn, a Ressourcen fir dës Wierker ze verdeelen;
  • entwéckelen a bauen e Virbild;
  • bauen e Rollmodell Gestiounsprozess an enthalen Curatoren aus all Geschäftsberäich;
  • wielt verschidde Systemer fir initial Verbindung mat IdM;
  • eng efficace Projet Equipe schafen;
  • d'Ënnerstëtzung vun der Gestioun vun der Firma aschreiwen;
  • trainéieren Personal.

De Virbereedungsprozess ka schwéier sinn, also wa méiglech, Beroder involvéieren.

D'Ëmsetzung vun enger IdM Léisung ass keen einfachen a verantwortleche Schrëtt, a fir seng erfollegräich Ëmsetzung sinn souwuel d'Efforte vun all Partei individuell - Mataarbechter vu Geschäftsunitéiten, IT an Informatiounssécherheetsservicer, wéi och d'Interaktioun vum ganzen Team als Ganzt. wichteg. Awer den Effort ass et wäert: No der Ëmsetzung vun IdM an der Firma gëtt d'Zuel vun den Tëschefäll mat exzessive Muechten an onerlaabten Rechter an Informatiounssystemer reduzéiert; Ënnerbriechung vun Mataarbechter wéinst Mangel / laang Waarde vun néideg Rechter verschwannen; duerch Automatisatioun ginn d'Aarbechtskäschte reduzéiert an d'Aarbechtsproduktivitéit vun IT an Informatiounssécherheetsservicer erhéicht.

Source: will.com

Setzt e Commentaire