IdM įgyvendinimas. Pasiruošimas įgyvendinti klientui

Ankstesniuose straipsniuose jau nagrinėjome, kas yra IdM, kaip suprasti, ar tokia sistema reikalinga Jūsų organizacijai, kokias problemas ji sprendžia ir kaip pagrįsti vadovybei įgyvendinimo biudžetą. Šiandien kalbėsime apie svarbius etapus, kuriuos turi pereiti pati organizacija, kad pasiektų tinkamą brandos lygį prieš diegdama IdM sistemą. Juk IdM skirtas procesams automatizuoti, bet chaoso automatizuoti neįmanoma.

Kol įmonė neišauga iki didelės įmonės dydžio ir nėra sukaupusi daug įvairių verslo sistemų, apie prieigos kontrolę dažniausiai negalvoja. Todėl teisių gavimo ir valdymo įgaliojimų procesai jame nėra struktūruoti ir sunkiai analizuojami. Darbuotojai pildo prieigos užklausas kaip nori, patvirtinimo procesas taip pat nėra formalizuotas, o kartais jo tiesiog nėra. Neįmanoma greitai išsiaiškinti, kokią prieigą darbuotojas turi, kas jas patvirtino ir kokiu pagrindu.

Atsižvelgdami į tai, kad prieigos automatizavimo procesas turi įtakos dviems pagrindiniams aspektams – personalo duomenims ir duomenims iš informacinių sistemų, su kuriomis bus vykdoma integracija, apsvarstysime būtinus veiksmus, kad IdM diegimas vyktų sklandžiai ir nesukeltų atmetimo:

1. Personalo procesų analizė ir darbuotojų duomenų bazių palaikymo personalo sistemose optimizavimas.
2. Vartotojų ir teisių duomenų analizė, taip pat prieigos kontrolės metodų atnaujinimas tikslinėse sistemose, kurias planuojama prijungti prie IdM.
3. Organizacinė veikla ir personalo įtraukimas į pasirengimo įgyvendinti IdM procesą.

Personalo duomenys

Organizacijoje gali būti vienas personalo duomenų šaltinis arba gali būti keli. Pavyzdžiui, organizacija gali turėti gana platų filialų tinklą, o kiekvienas filialas gali naudotis savo personalo baze.

Pirmiausia reikia suprasti, kokie pagrindiniai duomenys apie darbuotojus yra saugomi personalo apskaitos sistemoje, kokie įvykiai fiksuojami, įvertinti jų išsamumą ir struktūrą.

Dažnai atsitinka taip, kad ne visi personalo įvykiai yra pažymėti personalo šaltinyje (o dar dažniau jie pažymimi ne laiku ir ne visiškai teisingai). Štai keletas tipiškų pavyzdžių:

• Lapai, jų kategorijos ir terminai (įprasti ar ilgalaikiai) nefiksuojami;
• Darbas ne visą darbo dieną nėra apskaitomas: pavyzdžiui, būdamas ilgalaikėse atostogose vaikui prižiūrėti, darbuotojas tuo pat metu gali dirbti ne visą darbo dieną;
• jau pasikeitė faktinis kandidato ar darbuotojo statusas (priėmimas/perdavimas/atleidimas), o įsakymas apie šį įvykį išduodamas pavėluotai;
• darbuotojas perkeliamas į naujas eilines pareigas atleidžiant iš darbo, o personalo sistema nefiksuoja informacijos, kad tai techninis atleidimas.

Taip pat verta atkreipti ypatingą dėmesį į duomenų kokybės vertinimą, nes bet kokios klaidos ir netikslumai, gauti iš patikimo šaltinio, tai yra HR sistemos, ateityje gali brangiai kainuoti ir sukelti daug problemų diegiant IdM. Pavyzdžiui, personalo darbuotojai į personalo sistemą darbuotojų pareigybes dažnai įveda skirtingais formatais: didžiosiomis ir mažosiomis raidėmis, santrumpos, skirtingu tarpų skaičiumi ir panašiai. Dėl to ta pati pareigybė personalo sistemoje gali būti įrašyta tokiais variantais:

• Vyresnysis vadovas
• vyresnysis vadovas
• vyresnysis vadovas
• Art. vadybininkas…

Dažnai tenka susidurti su savo vardo rašybos skirtumais:

• Shmeleva Natalija Gennadievna,
• Shmeleva Natalija Gennadievna...

Tolesniam automatizavimui toks kratinys yra nepriimtinas, ypač jei šie požymiai yra pagrindinis identifikavimo ženklas, tai yra, duomenys apie darbuotoją ir jo galias sistemose lyginami tiksliai visu vardu.

Be to, neturėtume pamiršti apie galimą bendravardžių ir bendrapavardžių buvimą įmonėje. Jei organizacijoje dirba tūkstantis darbuotojų, tokių atitikmenų gali būti mažai, bet jei 50 tūkstančių, tai tai gali tapti kritine kliūtimi teisingam IdM sistemos veikimui.

Apibendrinant visa tai, kas išdėstyta pirmiau, darome išvadą: duomenų įvedimo į organizacijos personalo duomenų bazę formatas turi būti standartizuotas. Vardų, pareigų ir padalinių įvedimo parametrai turi būti aiškiai apibrėžti. Geriausias variantas yra tada, kai personalo darbuotojas duomenis įveda ne rankiniu būdu, o pasirenka juos iš iš anksto sukurto padalinių ir pareigybių struktūros katalogo, naudodamasis personalo duomenų bazėje esančia funkcija „select“.

Kad išvengtumėte tolesnių sinchronizavimo klaidų ir nereikėtų rankiniu būdu taisyti ataskaitų neatitikimų, labiausiai pageidaujamas darbuotojų tapatybės nustatymo būdas yra įvesti ID kiekvienam organizacijos darbuotojui. Toks identifikatorius bus priskirtas kiekvienam naujam darbuotojui ir atsiras tiek personalo sistemoje, tiek organizacijos informacinėse sistemose kaip privalomas paskyros atributas. Nesvarbu, ar jį sudaro skaičiai, ar raidės, svarbiausia, kad jis būtų unikalus kiekvienam darbuotojui (pavyzdžiui, daugelis žmonių naudoja darbuotojo personalo numerį). Ateityje šio atributo įdiegimas labai palengvins darbuotojų duomenų personalo šaltinyje susiejimą su jo sąskaitomis ir institucijomis informacinėse sistemose.

Taigi, visi personalo apskaitos žingsniai ir mechanizmai turės būti išanalizuoti ir sutvarkyti. Visai gali būti, kad kai kuriuos procesus teks keisti ar modifikuoti. Tai varginantis ir kruopštus darbas, tačiau būtinas, nes priešingu atveju, trūkstant aiškių ir struktūrizuotų duomenų apie personalo įvykius, gali atsirasti klaidų juos automatiškai apdorojant. Blogiausiu atveju nestruktūrizuotų procesų iš viso bus neįmanoma automatizuoti.

Tikslinės sistemos

Kitame etape turime išsiaiškinti, kiek informacinių sistemų norime integruoti į IdM struktūrą, kokie duomenys apie vartotojus ir jų teises yra saugomi šiose sistemose ir kaip juos valdyti.

Daugelyje organizacijų vyrauja nuomonė, kad mes įdiegsime IdM, sukonfigūruosime jungtis prie tikslinių sistemų ir burtų lazdelės banga viskas veiks, be papildomų mūsų pastangų. To, deja, nebūna. Įmonėse informacinių sistemų kraštovaizdis vystosi ir didėja palaipsniui. Kiekviena sistema gali turėti skirtingą požiūrį į prieigos teisių suteikimą, tai yra, gali būti sukonfigūruotos skirtingos prieigos valdymo sąsajos. Kai kur valdymas vyksta per API (aplikacijų programavimo sąsają), kažkur per duomenų bazę, naudojant saugomas procedūras, kai kur gali nebūti sąveikos sąsajų. Turėtumėte būti pasiruošę, kad teks persvarstyti daugelį esamų paskyrų ir teisių valdymo organizacijos sistemose procesų: keisti duomenų formatą, iš anksto patobulinti sąveikos sąsajas ir skirti resursus šiam darbui.

Sektinas pavyzdys

Tikriausiai susidursite su pavyzdžio koncepcija renkantis IdM sprendimų teikėją, nes tai yra viena iš pagrindinių sąvokų prieigos teisių valdymo srityje. Šiame modelyje prieiga prie duomenų suteikiama per vaidmenį. Vaidmuo – tai prieigų, kurios minimaliai reikalingos tam tikras pareigas užimančiam darbuotojui savo funkcinėms pareigoms atlikti, visuma.

Vaidmenimis pagrįsta prieigos kontrolė turi keletą neabejotinų pranašumų:

• paprasta ir efektyvu tokias pačias teises priskirti dideliam darbuotojų skaičiui;
• operatyviai pakeisti tokias pat teises turinčių darbuotojų prieigą;
• panaikinant teisių perteklių ir atribojant nesuderinamus vartotojų įgaliojimus.

Vaidmenų matrica pirmiausia sukuriama atskirai kiekvienoje organizacijos sistemoje, o vėliau pritaikoma visam IT kraštovaizdžiui, kur iš kiekvienos sistemos vaidmenų formuojami globalūs verslo vaidmenys. Pavyzdžiui, verslo vaidmuo „Buhalteris“ apims kelis atskirus vaidmenis kiekvienai informacinei sistemai, naudojamai įmonės apskaitos skyriuje.

Pastaruoju metu buvo laikoma „geriausia praktika“ sukurti pavyzdį net programų, duomenų bazių ir operacinių sistemų kūrimo etape. Tuo pačiu metu dažnai pasitaiko situacijų, kai vaidmenys sistemoje nesukonfigūruoti arba jų tiesiog nėra. Tokiu atveju šios sistemos administratorius turi įvesti paskyros informaciją į kelis skirtingus failus, bibliotekas ir katalogus, kurie suteikia reikiamus leidimus. Iš anksto nustatytų vaidmenų naudojimas leidžia suteikti privilegijas atlikti daugybę operacijų sistemoje su sudėtingais sudėtiniais duomenimis.

Vaidmenys informacinėje sistemoje, kaip taisyklė, paskirstomi pareigybėms ir skyriams pagal personalo struktūrą, tačiau gali būti kuriami ir tam tikriems verslo procesams. Pavyzdžiui, finansinėje organizacijoje keli atsiskaitymų skyriaus darbuotojai užima tą pačią – operatoriaus – pareigas. Tačiau skyriaus viduje taip pat yra paskirstymas į atskirus procesus, pagal skirtingus operacijų tipus (išorinius ar vidinius, įvairiomis valiutomis, su skirtingais organizacijos segmentais). Norint kiekvienai iš vieno padalinio verslo sričių suteikti prieigą prie informacinės sistemos pagal reikiamą specifiką, būtina įtraukti teises į atskirus funkcinius vaidmenis. Tai leis kiekvienai veiklos sričiai suteikti minimalų pakankamą įgaliojimų rinkinį, kuris neapima perteklinių teisių.

Be to, didelėse sistemose, turinčiose šimtus vaidmenų, tūkstančius vartotojų ir milijonus leidimų, gera praktika yra naudoti vaidmenų hierarchiją ir privilegijų paveldėjimą. Pavyzdžiui, pirminis vaidmuo Administratorius paveldės antrinių vaidmenų: vartotojo ir skaitytojo teises, nes administratorius gali daryti viską, ką gali padaryti vartotojas ir skaitytojas, be to, turės papildomų administravimo teisių. Naudojant hierarchiją, nereikia iš naujo nurodyti tų pačių teisių keliuose to paties modulio ar sistemos vaidmenyse.

Pirmajame etape galite kurti vaidmenis tose sistemose, kuriose galimas teisių derinių skaičius nėra labai didelis ir dėl to lengva valdyti nedidelį vaidmenų skaičių. Tai gali būti tipinės teisės, reikalingos visiems įmonės darbuotojams į viešai prieinamas sistemas, tokias kaip Active Directory (AD), pašto sistemos, paslaugų vadybininkas ir panašiai. Tada sukurtas informacinių sistemų vaidmenų matricas galima įtraukti į bendrą vaidmenų modelį, jas sujungiant į Verslo vaidmenis.

Naudojant šį metodą, ateityje, diegiant IdM sistemą, bus nesunku automatizuoti visą prieigos teisių suteikimo procesą pagal sukurtus pirmos pakopos vaidmenis.

NB Neturėtumėte stengtis iš karto įtraukti į integraciją kuo daugiau sistemų. Sudėtingesnės architektūros ir prieigos teisių valdymo struktūras turinčias sistemas geriau prijungti prie IdM pirmajame etape pusiau automatiniu režimu. Tai yra, pagal personalo įvykius įgyvendinkite tik automatinį prieigos užklausos generavimą, kuri bus išsiųsta administratoriui vykdyti, o jis teises sukonfigūruos rankiniu būdu.

Sėkmingai baigę pirmąjį etapą, galite išplėsti sistemos funkcionalumą iki naujų išplėstų verslo procesų, įdiegti pilną automatizavimą ir mastelį prijungus papildomas informacines sistemas.

Kitaip tariant, norint pasirengti IdM diegimui, būtina įvertinti informacinių sistemų pasirengimą naujam procesui ir iš anksto užbaigti išorines sąveikos sąsajas vartotojų paskyroms ir vartotojo teisėms valdyti, jei tokių sąsajų nėra. prieinamas sistemoje. Taip pat reikėtų išnagrinėti laipsniško vaidmenų sukūrimo informacinėse sistemose visapusiškai prieigos kontrolei klausimą.

Organizaciniai renginiai

Nepamirškite ir organizacinių klausimų. Kai kuriais atvejais jie gali atlikti lemiamą vaidmenį, nes viso projekto rezultatas dažnai priklauso nuo efektyvios padalinių sąveikos. Tam paprastai patariame organizacijoje sukurti proceso dalyvių komandą, kurioje apims visi dalyvaujantys padaliniai. Kadangi tai yra papildoma našta žmonėms, pasistenkite iš anksto visiems būsimojo proceso dalyviams paaiškinti jų vaidmenį ir reikšmę sąveikos struktūroje. Jei šiame etape „parduosite“ IdM idėją savo kolegoms, ateityje galėsite išvengti daugelio sunkumų.

Neretai IdM diegimo projekto įmonėje „savininkai“ yra informacijos saugumo ar IT skyriai, o į verslo skyrių nuomones neatsižvelgiama. Tai didelė klaida, nes tik jie žino, kaip ir kokiuose verslo procesuose naudojamas kiekvienas resursas, kam turi būti suteikta prieiga prie jo, o kam ne. Todėl parengiamajame etape svarbu nurodyti, kad būtent įmonės savininkas yra atsakingas už funkcinį modelį, kurio pagrindu kuriami vartotojo teisių (vaidmenų) rinkiniai informacinėje sistemoje, taip pat už tai, kad jis šie vaidmenys nuolat atnaujinami. Pavyzdys nėra statiška matrica, kuri yra sukurta vieną kartą ir tu gali nusiraminti. Tai „gyvas organizmas“, kuris turi nuolat keistis, atsinaujinti ir tobulėti, sekdamas organizacijos struktūros ir darbuotojų funkcionalumo pokyčius. Priešingu atveju kils problemų, susijusių su vėlavimu suteikti prieigą, arba informacijos saugumo rizika, susijusi su pernelyg didelėmis prieigos teisėmis, o tai dar blogiau.

Kaip žinia, „septynios auklės turi vaiką be akies“, todėl įmonė turi sukurti metodiką, apibūdinančią pavyzdžio architektūrą, konkrečių proceso dalyvių sąveiką ir atsakomybę, kad jis būtų atnaujinamas. Jei įmonė turi daug verslo veiklos sričių ir atitinkamai daug padalinių bei padalinių, tai kiekvienai sričiai (pavyzdžiui, skolinimui, operatyviniam darbui, nuotolinėms paslaugoms, atitikties ir kt.) kaip vaidmenimis pagrįsto prieigos valdymo proceso dalis būtina skirti atskirus kuratorius. Per juos bus galima greitai gauti informaciją apie pokyčius skyriaus struktūroje ir kiekvienam vaidmeniui reikalingas prieigos teises.

Norint išspręsti konfliktines situacijas tarp procese dalyvaujančių padalinių, būtina pasitelkti organizacijos vadovybės pagalbą. O konfliktai įvedant bet kokį naują procesą yra neišvengiami, patikėkite mūsų patirtimi. Todėl mums reikia arbitro, kuris išspręstų galimus interesų konfliktus, kad nereikėtų gaišti laiko dėl kažkieno nesusipratimų ir sabotažo.

NB Gera vieta pradėti didinti informuotumą – mokyti savo darbuotojus. Išsamus būsimo proceso funkcionavimo ir kiekvieno dalyvio vaidmens jame tyrimas sumažins sunkumus pereinant prie naujo sprendimo.

Patikrinkite sąrašą

Apibendrinant, apibendriname pagrindinius veiksmus, kurių turėtų imtis organizacija, planuojanti įgyvendinti IdM:

• sutvarkyti personalo duomenis;
• kiekvienam darbuotojui įveskite unikalų identifikavimo parametrą;
• įvertinti informacinių sistemų pasirengimą IdM diegti;
• sukurti sąsajas sąveikai su informacinėmis prieigos kontrolės sistemomis, jei jų trūksta, ir skirti šiam darbui išteklius;
• sukurti ir sukurti pavyzdį;
• sukurti pavyzdinį valdymo procesą ir įtraukti į jį kuratorius iš kiekvienos verslo srities;
• pasirinkti kelias sistemas pradiniam prisijungimui prie IdM;
• sukurti efektyvią projekto komandą;
• gauti paramą iš įmonės vadovybės;
• traukinio personalas.

Pasiruošimo procesas gali būti sunkus, todėl, jei įmanoma, įtraukite konsultantus.

IdM sprendimo diegimas yra sunkus ir atsakingas žingsnis, o sėkmingam jo įgyvendinimui svarbios tiek kiekvienos šalies individualiai – verslo padalinių darbuotojų, IT ir informacijos saugos tarnybų darbuotojų, tiek visos komandos sąveika. Tačiau pastangos vertos: įmonėje įdiegus IdM, mažėja incidentų, susijusių su perteklinėmis galiomis ir neleistinomis teisėmis informacinėse sistemose; dingsta darbuotojo prastovos dėl trūkumo/ilgo reikiamų teisių laukimo; Dėl automatizavimo sumažėja darbo sąnaudos, didėja IT ir informacijos saugos paslaugų darbo našumas.

Šaltinis: www.habr.com