ProHoster > Blogs > Administrācija > IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses

IepriekŔējos rakstos jau apskatÄ«jām, kas ir IdM, kā saprast, vai jÅ«su organizācijai Ŕāda sistēma ir nepiecieÅ”ama, kādas problēmas tā risina un kā vadÄ«bai pamatot ievieÅ”anas budžetu. Å odien mēs runāsim par svarÄ«giem posmiem, kas jāiziet paÅ”ai organizācijai, lai sasniegtu atbilstoÅ”u brieduma lÄ«meni pirms IdM sistēmas ievieÅ”anas. Galu galā IdM ir paredzēts procesu automatizÄ“Å”anai, bet haosu nav iespējams automatizēt.

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses

Kamēr uzņēmums nav izaudzis lÄ«dz liela uzņēmuma izmēram un nav uzkrājis daudz dažādu biznesa sistēmu, tas parasti nedomā par piekļuves kontroli. LÄ«dz ar to tiesÄ«bu un kontroles pilnvaru iegÅ«Å”anas procesi tajā nav strukturēti un ir grÅ«ti analizējami. Darbinieki aizpilda piekļuves pieteikumus, kā vēlas, apstiprināŔanas process arÄ« nav formalizēts, un dažreiz tas vienkārÅ”i nepastāv. Nav iespējams ātri noskaidrot, kāda ir darbinieka piekļuve, kas to apstiprinājis un uz kāda pamata.

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses
Ņemot vērā, ka piekļuves automatizācijas process ietekmē divus galvenos aspektus - personāla datus un datus no informācijas sistēmām, ar kurām tiks veikta integrācija, mēs apsvērsim nepiecieÅ”amos soļus, lai IdM ievieÅ”ana noritētu raiti un neizraisÄ«tu noraidÄ«jumu:

  1. Personāla procesu analīze un darbinieku datu bāzes atbalsta optimizācija personāla sistēmās.
  2. Lietotāju un tiesÄ«bu datu analÄ«ze, kā arÄ« piekļuves kontroles metožu atjaunināŔana mērÄ·a sistēmās, kuras plānots pieslēgt IdM.
  3. Organizatoriskās aktivitātes un personāla iesaiste IdM ievieŔanas sagatavoŔanas procesā.

Personāla dati

Personāla datu avots organizācijā var bÅ«t viens vai vairāki. Piemēram, organizācijai var bÅ«t diezgan plaÅ”s filiāļu tÄ«kls, un katra filiāle var izmantot savu personāla bāzi.

Pirmkārt, ir jāsaprot, kādi pamatdati par darbiniekiem tiek glabāti personāla uzskaites sistēmā, kādi notikumi tiek fiksēti, un jāizvērtē to pilnīgums un struktūra.

Bieži gadās, ka ne visi personāla notikumi tiek atzīmēti personāla avotā (un vēl biežāk tie tiek atzīmēti nelaikā un ne pilnīgi pareizi). Šeit ir daži tipiski piemēri:

  • Lapas, to kategorijas un termiņi (regulāri vai ilgstoÅ”i) netiek reÄ£istrēti;
  • Nepilna laika nodarbinātÄ«ba netiek reÄ£istrēta: piemēram, ilgstoÅ”i atrodoties bērna kopÅ”anas atvaļinājumā, darbinieks vienlaikus var strādāt nepilnu darba laiku;
  • jau ir mainÄ«jies kandidāta vai darbinieka faktiskais statuss (uzņemÅ”ana/pārcelÅ”ana/atlaiÅ”ana), un rÄ«kojums par Å”o notikumu tiek izdots ar nokavÄ“Å”anos;
  • darbinieks tiek pārcelts uz jaunu parasto amatu ar atlaiÅ”anu, savukārt personāla sistēma nefiksē informāciju, ka Ŕī ir tehniska atlaiÅ”ana.

ÄŖpaÅ”u uzmanÄ«bu ir vērts pievērst arÄ« datu kvalitātes novērtÄ“Å”anai, jo jebkuras kļūdas un neprecizitātes, kas iegÅ«tas no uzticama avota, proti, HR sistēmām, nākotnē var izmaksāt dārgi un radÄ«t daudz problēmu, ievieÅ”ot IdM. Piemēram, HR darbinieki bieži vien personāla sistēmā ievada darbinieku amatus dažādos formātos: lielos un mazos burtus, saÄ«sinājumus, atŔķirÄ«gu atstarpju skaitu un tamlÄ«dzÄ«gi. Rezultātā vienu un to paÅ”u amatu personāla sistēmā var ierakstÄ«t Ŕādās variācijās:

  • Vecākais menedžeris
  • vecākais menedžeris
  • vecākais menedžeris
  • Art. menedžerisā€¦

Bieži vien jums ir jārisina atŔķirības sava vārda rakstībā:

  • Å meļeva Natālija Gennadievna,
  • Å meļeva Natālija Gennadievna...

Turpmākai automatizācijai Ŕāda juceklis ir nepieņemama, it Ä«paÅ”i, ja Å”ie atribÅ«ti ir galvenā identifikācijas zÄ«me, tas ir, dati par darbinieku un viņa pilnvarām sistēmās tiek salÄ«dzināti precÄ«zi pēc pilna vārda.

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses
Turklāt nevajadzētu aizmirst par iespējamo vārdabrāļu un pilno vārdabrāļu klātbÅ«tni uzņēmumā. Ja organizācijā ir tÅ«kstotis darbinieku, Ŕādu sakritÄ«bu var bÅ«t maz, bet, ja ir 50 tÅ«kstoÅ”i, tad tas var kļūt par kritisku Ŕķērsli pareizai IdM sistēmas darbÄ«bai.

Apkopojot visu iepriekÅ” minēto, mēs secinām: formātam datu ievadÄ«Å”anai organizācijas personāla datu bāzē jābÅ«t standartizētam. Uzvārdu, amatu un nodaļu ievadÄ«Å”anas parametriem jābÅ«t skaidri definētiem. Labākais variants ir tad, kad HR darbinieks neievada datus manuāli, bet izvēlas tos no iepriekÅ” izveidota departamentu un amatu struktÅ«ras direktorija, izmantojot personāla datubāzē pieejamo funkciju ā€œselectā€.

Lai izvairÄ«tos no turpmākām kļūdām sinhronizācijā un nebÅ«tu manuāli jālabo neatbilstÄ«bas pārskatos, vispiemērotākais veids, kā identificēt darbiniekus, ir ievadÄ«t ID katram organizācijas darbiniekam. Šāds identifikators tiks pieŔķirts katram jaunajam darbiniekam un parādÄ«sies gan personāla sistēmā, gan organizācijas informācijas sistēmās kā obligāts konta atribÅ«ts. Nav svarÄ«gi, vai tas sastāv no cipariem vai burtiem, galvenais, lai tas katram darbiniekam ir unikāls (piemēram, daudzi izmanto darbinieka personāla numuru). Nākotnē Ŕī atribÅ«ta ievieÅ”ana ievērojami atvieglos darbinieku datu sasaisti personāla avotā ar viņa kontiem un iestādēm informācijas sistēmās.

Tātad visi personāla uzskaites posmi un mehānismi bÅ«s jāanalizē un jāsakārto. PilnÄ«gi iespējams, ka daži procesi bÅ«s jāmaina vai jāpārveido. Tas ir nogurdinoÅ”s un rÅ«pÄ«gs darbs, taču tas ir nepiecieÅ”ams, pretējā gadÄ«jumā skaidru un strukturētu datu trÅ«kums par personāla notikumiem radÄ«s kļūdas to automātiskajā apstrādē. Sliktākajā gadÄ«jumā nestrukturētus procesus vispār nebÅ«s iespējams automatizēt.

Mērķa sistēmas

Nākamajā posmā ir jāizdomā, cik informācijas sistēmu vēlamies integrēt IdM struktÅ«rā, kādi dati par lietotājiem un viņu tiesÄ«bām tiek glabāti Å”ajās sistēmās un kā tās pārvaldÄ«t.

Daudzās organizācijās pastāv uzskats, ka mēs instalēsim IdM, konfigurēsim savienotājus mērÄ·a sistēmām, un ar burvju nÅ«jiņas vilni viss darbosies bez papildu pÅ«lēm no mÅ«su puses. Tas, diemžēl, nenotiek. Uzņēmumos informācijas sistēmu ainava pakāpeniski attÄ«stās un palielinās. Katrai sistēmai var bÅ«t atŔķirÄ«ga pieeja piekļuves tiesÄ«bu pieŔķirÅ”anai, tas ir, var konfigurēt dažādas piekļuves kontroles saskarnes. Kaut kur kontrole notiek, izmantojot API (lietojumprogrammu programmÄ“Å”anas interfeisu), kaut kur caur datubāzi, izmantojot saglabātās procedÅ«ras, kaut kur mijiedarbÄ«bas saskarnes var nebÅ«t vispār. Jums jābÅ«t gatavam tam, ka jums bÅ«s jāpārskata daudzi esoÅ”ie kontu un tiesÄ«bu pārvaldÄ«bas procesi organizācijas sistēmās: jāmaina datu formāts, iepriekÅ” jāuzlabo mijiedarbÄ«bas saskarnes un jāpieŔķir resursi Å”im darbam.

Paraugs

JÅ«s, iespējams, saskarsities ar parauga jēdzienu, izvēloties IdM risinājumu nodroÅ”inātāju, jo tas ir viens no galvenajiem jēdzieniem piekļuves tiesÄ«bu pārvaldÄ«bas jomā. Å ajā modelÄ« piekļuve datiem tiek nodroÅ”ināta, izmantojot lomu. Loma ir tādu pieeju kopums, kas minimāli nepiecieÅ”amas darbiniekam noteiktā amatā, lai veiktu savus funkcionālos pienākumus.

Uz lomu balstītai piekļuves kontrolei ir vairākas nenoliedzamas priekŔrocības:

  • ir vienkārÅ”i un efektÄ«vi pieŔķirt vienādas tiesÄ«bas lielam skaitam darbinieku;
  • operatÄ«va piekļuves maiņa darbiniekiem ar vienādām tiesÄ«bām;
  • tiesÄ«bu dublÄ“Å”anas novērÅ”ana un nesavienojamu lietotāju pilnvaru ierobežoÅ”ana.

Lomas matrica vispirms tiek veidota atseviŔķi katrā organizācijas sistēmā un pēc tam mērogota visā IT ainavā, kur no katras sistēmas lomām tiek veidotas globālās biznesa lomas. Piemēram, biznesa loma ā€œGrāmatvedisā€ ietvers vairākas atseviŔķas lomas katrai uzņēmuma grāmatvedÄ«bā izmantotajai informācijas sistēmai.

Nesen tika uzskatÄ«ts par ā€œlabāko praksiā€ izveidot paraugu pat lietojumprogrammu, datu bāzu un operētājsistēmu izstrādes stadijā. Tajā paŔā laikā bieži vien ir situācijas, kad lomas sistēmā nav konfigurētas vai tās vienkārÅ”i nepastāv. Å ajā gadÄ«jumā Ŕīs sistēmas administratoram ir jāievada konta informācija vairākos dažādos failos, bibliotēkās un direktorijos, kas nodroÅ”ina nepiecieÅ”amās atļaujas. IepriekÅ” definētu lomu izmantoÅ”ana ļauj pieŔķirt privilēģijas, lai veiktu virkni darbÄ«bu sistēmā ar sarežģītiem saliktiem datiem.

Lomas informācijas sistēmā parasti tiek sadalÄ«tas amatiem un nodaļām atbilstoÅ”i personāla struktÅ«rai, taču tās var izveidot arÄ« noteiktiem biznesa procesiem. Piemēram, finanÅ”u organizācijā vairāki norēķinu nodaļas darbinieki ieņem vienu un to paÅ”u amatu - operatoru. Bet nodaļas ietvaros notiek arÄ« sadale atseviŔķos procesos, atbilstoÅ”i dažādiem darbÄ«bas veidiem (ārējai vai iekŔējai, dažādās valÅ«tās, ar dažādiem organizācijas segmentiem). Lai katrai no vienas nodaļas darbÄ«bas jomām nodroÅ”inātu pieeju informācijas sistēmai atbilstoÅ”i nepiecieÅ”amajai specifikai, nepiecieÅ”ams iekļaut tiesÄ«bas atseviŔķās funkcionālās lomās. Tas ļaus nodroÅ”ināt minimāli pietiekamu pilnvaru kopumu, kas neietver liekās tiesÄ«bas, katrai no darbÄ«bas jomām.

Turklāt lielām sistēmām ar simtiem lomu, tÅ«kstoÅ”iem lietotāju un miljoniem atļauju laba prakse ir izmantot lomu hierarhiju un privilēģiju pārmantoÅ”anu. Piemēram, vecāklomas administrators pārmantos bērnu lomu privilēģijas: lietotājs un lasÄ«tājs, jo administrators var darÄ«t visu, ko var darÄ«t lietotājs un lasÄ«tājs, kā arÄ« viņam bÅ«s papildu administratÄ«vās tiesÄ«bas. Izmantojot hierarhiju, nav nepiecieÅ”ams atkārtoti norādÄ«t tās paÅ”as tiesÄ«bas vairākās viena un tā paÅ”a moduļa vai sistēmas lomās.

Pirmajā posmā lomas var izveidot tajās sistēmās, kurās iespējamais tiesÄ«bu kombināciju skaits nav ļoti liels, un rezultātā ir viegli pārvaldÄ«t nelielu skaitu lomu. Tās var bÅ«t tipiskas tiesÄ«bas, kas nepiecieÅ”amas visiem uzņēmuma darbiniekiem uz publiski pieejamām sistēmām, piemēram, Active Directory (AD), pasta sistēmām, pakalpojumu pārvaldnieku un tamlÄ«dzÄ«giem. Pēc tam izveidotās lomu matricas informācijas sistēmām var iekļaut vispārējā lomu modelÄ«, apvienojot tās Biznesa lomās.

Izmantojot Å”o pieeju, nākotnē, ievieÅ”ot IdM sistēmu, bÅ«s viegli automatizēt visu piekļuves tiesÄ«bu pieŔķirÅ”anas procesu, pamatojoties uz izveidotajām pirmās pakāpes lomām.

NB Jums nevajadzētu mēģināt nekavējoties iekļaut pēc iespējas vairāk sistēmu integrācijā. Sistēmas ar sarežģītāku arhitektÅ«ru un piekļuves tiesÄ«bu pārvaldÄ«bas struktÅ«ru labāk pirmajā posmā pusautomātiskā režīmā savienot ar IdM. Tas ir, ieviesiet, pamatojoties uz personāla notikumiem, tikai automātisku piekļuves pieprasÄ«juma Ä£enerÄ“Å”anu, kas tiks nosÅ«tÄ«ts administratoram izpildei, un viņŔ manuāli konfigurēs tiesÄ«bas.

Pēc veiksmÄ«gas pirmā posma pabeigÅ”anas varat paplaÅ”ināt sistēmas funkcionalitāti uz jauniem paplaÅ”inātiem biznesa procesiem, ieviest pilnu automatizāciju un mērogoÅ”anu ar papildu informācijas sistēmu pieslēgÅ”anu.

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses
Citiem vārdiem sakot, lai sagatavotos IdM ievieÅ”anai, ir nepiecieÅ”ams novērtēt informācijas sistēmu gatavÄ«bu jaunajam procesam un iepriekÅ” pabeigt ārējās mijiedarbÄ«bas saskarnes lietotāju kontu un lietotāju tiesÄ«bu pārvaldÄ«Å”anai, ja Ŕādas saskarnes nav pieejams sistēmā. Jāizpēta arÄ« jautājums par pakāpenisku lomu izveidi informācijas sistēmās visaptveroÅ”ai piekļuves kontrolei.

Organizatoriskie pasākumi

Neatlaidiet arÄ« organizatoriskos jautājumus. Dažos gadÄ«jumos tiem var bÅ«t izŔķiroÅ”a loma, jo visa projekta iznākums bieži ir atkarÄ«gs no efektÄ«vas mijiedarbÄ«bas starp departamentiem. Lai to izdarÄ«tu, mēs parasti iesakām organizācijā izveidot procesa dalÄ«bnieku komandu, kurā bÅ«s visas iesaistÄ«tās nodaļas. Tā kā cilvēkiem tas ir papildu slogs, mēģiniet visiem turpmākā procesa dalÄ«bniekiem iepriekÅ” izskaidrot viņu lomu un nozÄ«mi mijiedarbÄ«bas struktÅ«rā. Ja jÅ«s Å”ajā posmā "pārdodat" IdM ideju saviem kolēģiem, nākotnē varat izvairÄ«ties no daudzām grÅ«tÄ«bām.

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses
Bieži vien informācijas droŔības vai IT nodaļas ir IdM ievieÅ”anas projekta ā€œÄ«paÅ”niekiā€ uzņēmumā, un biznesa nodaļu viedokļi netiek ņemti vērā. Tā ir liela kļūda, jo tikai viņi zina, kā un kādos biznesa procesos katrs resurss tiek izmantots, kam tam jādod pieeja un kam nē. LÄ«dz ar to sagatavoÅ”anas posmā ir svarÄ«gi norādÄ«t, ka tieÅ”i uzņēmuma Ä«paÅ”nieks ir atbildÄ«gs par funkcionālo modeli, uz kura pamata tiek izstrādāti lietotāja tiesÄ«bu (lomu) kopumi informācijas sistēmā, kā arÄ« par to, lai tiktu nodroÅ”ināts, ka informācijas sistēmas lietotāju tiesÄ«bu (lomu) kopas tiek veidotas. Ŕīs lomas tiek atjauninātas. Paraugs nav statiska matrica, kas tiek uzbÅ«vēta vienreiz un uz tās var nomierināties. Tas ir ā€œdzÄ«vs organismsā€, kam pastāvÄ«gi jāmainās, jāatjauno un jāattÄ«stās, sekojot izmaiņām organizācijas struktÅ«rā un darbinieku funkcionalitātē. Pretējā gadÄ«jumā radÄ«sies problēmas, kas saistÄ«tas ar kavÄ“Å”anos piekļuves nodroÅ”ināŔanā, vai arÄ« informācijas droŔības riski saistÄ«bā ar pārmērÄ«gām piekļuves tiesÄ«bām, kas ir vēl sliktāk.

Kā zināms, ā€œseptiņām auklÄ«tēm ir bērns bez acsā€, tāpēc uzņēmumā ir jāizstrādā metodika, kas apraksta parauga arhitektÅ«ru, konkrētu procesa dalÄ«bnieku mijiedarbÄ«bu un atbildÄ«bu par tā aktualizÄ“Å”anu. Ja uzņēmumam ir daudz uzņēmējdarbÄ«bas jomu un attiecÄ«gi daudz nodaļu un departamentu, tad katrai jomai (piemēram, kreditÄ“Å”ana, operatÄ«vais darbs, attālinātie pakalpojumi, atbilstÄ«ba un citi) uz lomu balstÄ«tas piekļuves pārvaldÄ«bas procesa ietvaros nepiecieÅ”ams iecelt atseviŔķus kuratorus. Caur tiem bÅ«s iespējams ātri saņemt informāciju par izmaiņām nodaļas struktÅ«rā un katrai lomai nepiecieÅ”amajām piekļuves tiesÄ«bām.

NepiecieÅ”ams piesaistÄ«t organizācijas vadÄ«bas atbalstu, lai atrisinātu konfliktsituācijas starp departamentiem, kas piedalās procesā. Un konflikti, ievieÅ”ot jebkuru jaunu procesu, ir neizbēgami, ticiet mÅ«su pieredzei. Tāpēc mums ir nepiecieÅ”ams Ŕķīrējtiesnesis, kurÅ” atrisinās iespējamos intereÅ”u konfliktus, lai netērētu laiku sveÅ”u pārpratumu un sabotāžu dēļ.

IdM ievieŔana. SagatavoŔanās ievieŔanai no klienta puses
NB Laba vieta, kur sākt informētību, ir apmācīt savus darbiniekus. Detalizēts pētījums par turpmākā procesa darbību un katra dalībnieka lomu tajā samazinās grūtības pārejā uz jaunu risinājumu.

Pārbaudes saraksts

Apkopojot, mēs apkopojam galvenās darbības, kas jāveic organizācijai, kas plāno ieviest IdM:

  • sakārtot personāla datus;
  • ievadiet katram darbiniekam unikālu identifikācijas parametru;
  • novērtē informācijas sistēmu gatavÄ«bu IdM ievieÅ”anai;
  • izstrādāt saskarnes mijiedarbÄ«bai ar informācijas sistēmām piekļuves kontrolei, ja to trÅ«kst, un pieŔķirt Å”im darbam resursus;
  • izstrādāt un veidot paraugu;
  • izveidot parauga vadÄ«bas procesu un iekļaut tajā kuratorus no katras uzņēmējdarbÄ«bas jomas;
  • izvēlieties vairākas sistēmas sākotnējam savienojumam ar IdM;
  • izveidot efektÄ«vu projekta komandu;
  • gÅ«t atbalstu no uzņēmuma vadÄ«bas;
  • apmācÄ«t personālu.

SagatavoÅ”anās process var bÅ«t sarežģīts, tāpēc, ja iespējams, iesaistiet konsultantus.

IdM risinājuma ievieÅ”ana ir grÅ«ts un atbildÄ«gs solis, un tā veiksmÄ«gai ievieÅ”anai ir svarÄ«gi gan katras puses individuāli ā€“ biznesa nodaļu darbinieku, IT un informācijas droŔības dienestu darbinieku, gan visas komandas mijiedarbÄ«ba kopumā. Taču pÅ«les ir tā vērtas: pēc IdM ievieÅ”anas uzņēmumā samazinās incidentu skaits, kas saistÄ«ti ar pārmērÄ«gām pilnvarām un nesankcionētām tiesÄ«bām informācijas sistēmās; pazÅ«d darbinieku dÄ«kstāve trÅ«kuma dēļ/ilgas gaidÄ«Å”anas uz nepiecieÅ”amajām tiesÄ«bām; Pateicoties automatizācijai, tiek samazinātas darbaspēka izmaksas un paaugstināts IT un informācijas droŔības pakalpojumu darba ražīgums.

Avots: www.habr.com

Pievieno komentāru