ProHoster > Blog > Pentadbiran > Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan

Dalam artikel sebelum ini, kami telah melihat apa itu IdM, cara memahami sama ada organisasi anda memerlukan sistem sedemikian, masalah yang diselesaikannya dan cara mewajarkan belanjawan pelaksanaan kepada pihak pengurusan. Hari ini kita akan bercakap mengenai peringkat penting yang perlu dilalui oleh organisasi itu sendiri untuk mencapai tahap kematangan yang sepatutnya sebelum melaksanakan sistem IdM. Lagipun, IdM direka untuk mengautomasikan proses, tetapi adalah mustahil untuk mengautomasikan huru-hara.

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan

Sehingga syarikat berkembang menjadi saiz perusahaan besar dan telah mengumpul banyak sistem perniagaan yang berbeza, ia biasanya tidak memikirkan tentang kawalan akses. Oleh itu, proses mendapatkan hak dan kuasa mengawal di dalamnya tidak tersusun dan sukar untuk dianalisis. Pekerja mengisi permohonan untuk akses mengikut kehendak mereka; proses kelulusan juga tidak diformalkan, dan kadangkala ia tidak wujud. Adalah mustahil untuk mengetahui dengan cepat akses yang dimiliki oleh pekerja, siapa yang meluluskannya dan atas dasar apa.

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan
Memandangkan proses mengautomasikan capaian mempengaruhi dua aspek utama - data kakitangan dan data daripada sistem maklumat yang mana penyepaduan akan dijalankan, kami akan mempertimbangkan langkah-langkah yang perlu untuk memastikan pelaksanaan IdM berjalan lancar dan tidak menyebabkan penolakan:

  1. Analisis proses kakitangan dan pengoptimuman sokongan pangkalan data pekerja dalam sistem kakitangan.
  2. Analisis data pengguna dan hak, serta mengemas kini kaedah kawalan akses dalam sistem sasaran yang dirancang untuk disambungkan kepada IdM.
  3. Aktiviti organisasi dan penglibatan kakitangan dalam proses persediaan untuk pelaksanaan IdM.

Data kakitangan

Mungkin terdapat satu sumber data kakitangan dalam organisasi, atau mungkin terdapat beberapa. Sebagai contoh, organisasi mungkin mempunyai rangkaian cawangan yang agak luas, dan setiap cawangan boleh menggunakan pangkalan kakitangannya sendiri.

Pertama sekali, adalah perlu untuk memahami data asas tentang pekerja yang disimpan dalam sistem rekod kakitangan, peristiwa yang direkodkan, dan menilai kesempurnaan dan strukturnya.

Selalunya berlaku bahawa tidak semua peristiwa kakitangan dicatatkan dalam sumber kakitangan (dan lebih kerap ia dicatatkan tidak pada masanya dan tidak sepenuhnya betul). Berikut adalah beberapa contoh biasa:

  • Daun, kategori dan istilahnya (biasa atau jangka panjang) tidak direkodkan;
  • Pekerjaan sambilan tidak direkodkan: contohnya, semasa cuti jangka panjang untuk menjaga anak, pekerja boleh bekerja sambilan secara serentak;
  • status sebenar calon atau pekerja telah pun berubah (penerimaan/pemindahan/pemberhentian), dan pesanan mengenai acara ini dikeluarkan dengan kelewatan;
  • pekerja dipindahkan ke jawatan tetap baru melalui pemecatan, manakala sistem kakitangan tidak merekodkan maklumat bahawa ini adalah pemecatan teknikal.

Ia juga patut diberi perhatian khusus untuk menilai kualiti data, kerana sebarang ralat dan ketidaktepatan yang diperoleh daripada sumber yang dipercayai, iaitu sistem HR, boleh mendatangkan kos yang tinggi pada masa hadapan dan menyebabkan banyak masalah semasa melaksanakan IdM. Sebagai contoh, pekerja HR sering memasukkan jawatan pekerja ke dalam sistem kakitangan dalam format yang berbeza: huruf besar dan huruf kecil, singkatan, bilangan ruang yang berbeza dan seumpamanya. Akibatnya, kedudukan yang sama boleh direkodkan dalam sistem kakitangan dalam variasi berikut:

  • Pengurus Kanan
  • Pengurus Kanan
  • Pengurus Kanan
  • Seni. pengurus…

Selalunya anda perlu berurusan dengan perbezaan dalam ejaan nama anda:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Untuk automasi selanjutnya, campur aduk seperti itu tidak boleh diterima, terutamanya jika atribut ini merupakan tanda utama pengenalan, iaitu, data tentang pekerja dan kuasanya dalam sistem dibandingkan dengan tepat dengan nama penuh.

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan
Di samping itu, kita tidak sepatutnya melupakan kemungkinan kehadiran nama dan nama penuh dalam syarikat. Jika sesebuah organisasi mempunyai seribu pekerja, mungkin terdapat sedikit padanan sedemikian, tetapi jika terdapat 50 ribu, maka ini boleh menjadi halangan kritikal kepada operasi sistem IdM yang betul.

Merumuskan semua perkara di atas, kami membuat kesimpulan: format untuk memasukkan data ke dalam pangkalan data kakitangan organisasi mesti diseragamkan. Parameter untuk memasukkan nama, jawatan dan jabatan mesti ditakrifkan dengan jelas. Pilihan terbaik ialah apabila pekerja HR tidak memasukkan data secara manual, tetapi memilihnya daripada direktori pra-dicipta struktur jabatan dan jawatan menggunakan fungsi "pilih" yang tersedia dalam pangkalan data kakitangan.

Untuk mengelakkan ralat lanjut dalam penyegerakan dan tidak perlu membetulkan percanggahan secara manual dalam laporan, cara yang paling disukai untuk mengenal pasti pekerja adalah dengan memasukkan ID untuk setiap pekerja organisasi. Pengecam sedemikian akan diberikan kepada setiap pekerja baharu dan akan muncul dalam sistem kakitangan dan dalam sistem maklumat organisasi sebagai atribut akaun wajib. Tidak kira sama ada ia terdiri daripada nombor atau huruf, perkara utama ialah ia unik untuk setiap pekerja (contohnya, ramai orang menggunakan nombor kakitangan pekerja). Pada masa hadapan, pengenalan atribut ini akan memudahkan pemautan data pekerja dalam sumber kakitangan dengan akaun dan kuasanya dalam sistem maklumat.

Oleh itu, semua langkah dan mekanisme rekod kakitangan perlu dianalisis dan disusun dengan teratur. Ada kemungkinan bahawa beberapa proses perlu diubah atau diubah suai. Ini adalah kerja yang membosankan dan susah payah, tetapi ia adalah perlu, jika tidak, kekurangan data yang jelas dan berstruktur tentang acara kakitangan akan membawa kepada ralat dalam pemprosesan automatik mereka. Dalam kes yang paling teruk, proses tidak berstruktur adalah mustahil untuk mengautomasikan sama sekali.

Sistem sasaran

Pada peringkat seterusnya, kita perlu memikirkan berapa banyak sistem maklumat yang ingin kita sepadukan ke dalam struktur IdM, data tentang pengguna dan hak mereka yang disimpan dalam sistem ini dan cara mengurusnya.

Dalam banyak organisasi, terdapat pendapat bahawa kami akan memasang IdM, mengkonfigurasi penyambung kepada sistem sasaran, dan dengan gelombang tongkat ajaib semuanya akan berfungsi, tanpa usaha tambahan di pihak kami. Itu, malangnya, tidak berlaku. Dalam syarikat, landskap sistem maklumat berkembang dan meningkat secara beransur-ansur. Setiap sistem boleh mempunyai pendekatan yang berbeza untuk memberikan hak akses, iaitu, antara muka kawalan akses yang berbeza boleh dikonfigurasikan. Kawalan di suatu tempat berlaku melalui API (antara muka pengaturcaraan aplikasi), di suatu tempat melalui pangkalan data menggunakan prosedur tersimpan, di suatu tempat mungkin tiada antara muka interaksi sama sekali. Anda harus bersedia dengan hakikat bahawa anda perlu mempertimbangkan semula banyak proses sedia ada untuk mengurus akaun dan hak dalam sistem organisasi: menukar format data, meningkatkan antara muka interaksi terlebih dahulu dan memperuntukkan sumber untuk kerja ini.

Contoh

Anda mungkin akan menemui konsep model peranan pada peringkat memilih penyedia penyelesaian IdM, kerana ini adalah salah satu konsep utama dalam bidang pengurusan hak akses. Dalam model ini, akses kepada data disediakan melalui peranan. Peranan ialah satu set akses yang diperlukan secara minimum untuk pekerja dalam kedudukan tertentu untuk melaksanakan tanggungjawab fungsional mereka.

Kawalan akses berasaskan peranan mempunyai beberapa kelebihan yang tidak dapat dinafikan:

  • adalah mudah dan berkesan untuk memberikan hak yang sama kepada sebilangan besar pekerja;
  • menukar dengan segera akses pekerja dengan set hak yang sama;
  • menghapuskan lebihan hak dan mengehadkan kuasa yang tidak serasi untuk pengguna.

Matriks peranan mula-mula dibina secara berasingan dalam setiap sistem organisasi, dan kemudian ditingkatkan kepada keseluruhan landskap IT, di mana peranan Perniagaan global dibentuk daripada peranan setiap sistem. Sebagai contoh, peranan Perniagaan "Akauntan" akan merangkumi beberapa peranan berasingan untuk setiap sistem maklumat yang digunakan dalam jabatan perakaunan perusahaan.

Baru-baru ini, ia telah dianggap sebagai "amalan terbaik" untuk mencipta model peranan walaupun pada peringkat membangunkan aplikasi, pangkalan data dan sistem pengendalian. Pada masa yang sama, selalunya terdapat situasi apabila peranan tidak dikonfigurasikan dalam sistem atau mereka tidak wujud. Dalam kes ini, pentadbir sistem ini mesti memasukkan maklumat akaun ke dalam beberapa fail, perpustakaan dan direktori berbeza yang memberikan kebenaran yang diperlukan. Penggunaan peranan yang dipratentukan membolehkan anda memberikan keistimewaan untuk menjalankan rangkaian keseluruhan operasi dalam sistem dengan data komposit yang kompleks.

Peranan dalam sistem maklumat, sebagai peraturan, diagihkan untuk jawatan dan jabatan mengikut struktur kakitangan, tetapi juga boleh dibuat untuk proses perniagaan tertentu. Sebagai contoh, dalam organisasi kewangan, beberapa pekerja jabatan penyelesaian menduduki jawatan yang sama - pengendali. Tetapi di dalam jabatan juga terdapat pengagihan ke dalam proses yang berasingan, mengikut jenis operasi yang berbeza (luaran atau dalaman, dalam mata wang yang berbeza, dengan segmen organisasi yang berbeza). Untuk menyediakan setiap bidang perniagaan satu jabatan dengan akses kepada sistem maklumat mengikut spesifikasi yang diperlukan, adalah perlu untuk memasukkan hak dalam peranan fungsi individu. Ini akan memungkinkan untuk menyediakan set kuasa minimum yang mencukupi, yang tidak termasuk hak berlebihan, untuk setiap bidang aktiviti.

Selain itu, untuk sistem besar dengan beratus-ratus peranan, beribu-ribu pengguna dan berjuta-juta kebenaran, adalah amalan yang baik untuk menggunakan hierarki peranan dan warisan keistimewaan. Sebagai contoh, peranan ibu bapa Pentadbir akan mewarisi keistimewaan peranan anak: Pengguna dan Pembaca, memandangkan Pentadbir boleh melakukan semua yang Pengguna dan Pembaca boleh lakukan, serta akan mempunyai hak pentadbiran tambahan. Menggunakan hierarki, tidak perlu untuk menentukan semula hak yang sama dalam berbilang peranan modul atau sistem yang sama.

Pada peringkat pertama, anda boleh mencipta peranan dalam sistem tersebut di mana bilangan gabungan hak yang mungkin tidak begitu besar dan, akibatnya, mudah untuk mengurus sebilangan kecil peranan. Ini mungkin hak biasa yang diperlukan oleh semua pekerja syarikat untuk sistem yang boleh diakses secara umum seperti Active Directory (AD), sistem mel, Pengurus Perkhidmatan dan seumpamanya. Kemudian, matriks peranan yang dicipta untuk sistem maklumat boleh dimasukkan dalam model peranan umum, menggabungkannya ke dalam peranan Perniagaan.

Menggunakan pendekatan ini, pada masa hadapan, apabila melaksanakan sistem IdM, adalah mudah untuk mengautomasikan keseluruhan proses pemberian hak akses berdasarkan peranan peringkat pertama yang dicipta.

NB Anda tidak seharusnya cuba memasukkan seberapa banyak sistem yang mungkin ke dalam penyepaduan dengan segera. Adalah lebih baik untuk menyambungkan sistem dengan seni bina yang lebih kompleks dan struktur pengurusan hak akses kepada IdM dalam mod separa automatik pada peringkat pertama. Iaitu, melaksanakan, berdasarkan peristiwa kakitangan, hanya penjanaan automatik permintaan akses, yang akan dihantar kepada pentadbir untuk pelaksanaan, dan dia akan mengkonfigurasi hak secara manual.

Selepas berjaya menyelesaikan peringkat pertama, anda boleh melanjutkan kefungsian sistem kepada proses perniagaan baharu yang diperluaskan, melaksanakan automasi penuh dan penskalaan dengan sambungan sistem maklumat tambahan.

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan
Dalam erti kata lain, untuk membuat persediaan bagi pelaksanaan IdM, adalah perlu untuk menilai kesediaan sistem maklumat untuk proses baharu dan untuk memuktamadkan terlebih dahulu antara muka interaksi luaran untuk mengurus akaun pengguna dan hak pengguna, jika antara muka tersebut tidak terdapat dalam sistem. Isu penciptaan langkah demi langkah peranan dalam sistem maklumat untuk kawalan capaian yang komprehensif juga harus diterokai.

Acara organisasi

Jangan kurangkan isu organisasi juga. Dalam sesetengah kes, mereka boleh memainkan peranan yang menentukan, kerana hasil keseluruhan projek sering bergantung pada interaksi yang berkesan antara jabatan. Untuk melakukan ini, kami biasanya menasihati mewujudkan satu pasukan peserta proses dalam organisasi, yang akan merangkumi semua jabatan yang terlibat. Oleh kerana ini adalah beban tambahan untuk orang ramai, cuba jelaskan terlebih dahulu kepada semua peserta dalam proses masa hadapan peranan dan kepentingan mereka dalam struktur interaksi. Jika anda "menjual" idea IdM kepada rakan sekerja anda pada peringkat ini, anda boleh mengelakkan banyak kesukaran pada masa hadapan.

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan
Selalunya bahagian keselamatan maklumat atau IT adalah "pemilik" projek pelaksanaan IdM dalam syarikat, dan pendapat jabatan perniagaan tidak diambil kira. Ini adalah kesilapan besar, kerana hanya mereka yang tahu bagaimana dan bagaimana proses perniagaan setiap sumber digunakan, siapa yang patut diberi akses kepadanya dan siapa yang tidak. Oleh itu, pada peringkat penyediaan, adalah penting untuk menunjukkan bahawa pemilik perniagaan yang bertanggungjawab untuk model berfungsi berdasarkan set hak pengguna (peranan) dalam sistem maklumat dibangunkan, serta untuk memastikan bahawa peranan ini sentiasa dikemas kini. Model peranan bukanlah matriks statik yang dibina sekali dan anda boleh bertenang di atasnya. Ini adalah "organisma hidup" yang mesti sentiasa berubah, mengemas kini dan berkembang, berikutan perubahan dalam struktur organisasi dan kefungsian pekerja. Jika tidak, sama ada masalah akan timbul berkaitan dengan kelewatan dalam menyediakan akses, atau risiko keselamatan maklumat akan timbul dikaitkan dengan hak akses yang berlebihan, yang lebih teruk lagi.

Seperti yang anda ketahui, "tujuh pengasuh mempunyai anak tanpa mata," jadi syarikat mesti membangunkan metodologi yang menerangkan seni bina model peranan, interaksi dan tanggungjawab peserta tertentu dalam proses untuk memastikan ia dikemas kini. Jika syarikat mempunyai banyak bidang aktiviti perniagaan dan, oleh itu, banyak bahagian dan jabatan, maka bagi setiap kawasan (contohnya, pinjaman, kerja operasi, perkhidmatan jauh, pematuhan dan lain-lain) sebagai sebahagian daripada proses pengurusan akses berasaskan peranan, ia adalah perlu untuk melantik kurator yang berasingan. Melalui mereka adalah mungkin untuk menerima maklumat dengan cepat tentang perubahan dalam struktur jabatan dan hak akses yang diperlukan untuk setiap peranan.

Adalah penting untuk mendapatkan sokongan pengurusan organisasi untuk menyelesaikan situasi konflik antara jabatan yang mengambil bahagian dalam proses tersebut. Dan konflik apabila memperkenalkan sebarang proses baharu tidak dapat dielakkan, percayalah pengalaman kami. Oleh itu, kita memerlukan penimbang tara yang akan menyelesaikan kemungkinan konflik kepentingan, supaya tidak membuang masa disebabkan salah faham dan sabotaj orang lain.

Pelaksanaan IdM. Bersedia untuk pelaksanaan oleh pelanggan
NB Tempat yang baik untuk mula meningkatkan kesedaran ialah melatih kakitangan anda. Kajian terperinci tentang fungsi proses masa hadapan dan peranan setiap peserta di dalamnya akan meminimumkan kesukaran untuk beralih kepada penyelesaian baharu.

Senarai semak

Untuk meringkaskan, kami meringkaskan langkah utama yang perlu diambil oleh organisasi yang merancang untuk melaksanakan IdM:

  • membawa perintah kepada data kakitangan;
  • masukkan parameter pengenalan unik untuk setiap pekerja;
  • menilai kesediaan sistem maklumat untuk pelaksanaan IdM;
  • membangunkan antara muka untuk interaksi dengan sistem maklumat untuk kawalan akses, jika tiada, dan memperuntukkan sumber untuk kerja ini;
  • membangun dan membina model peranan;
  • membina proses pengurusan model peranan dan memasukkan kurator dari setiap bidang perniagaan di dalamnya;
  • pilih beberapa sistem untuk sambungan awal ke IdM;
  • mewujudkan pasukan projek yang berkesan;
  • mendapatkan sokongan daripada pengurusan syarikat;
  • kakitangan kereta api.

Proses penyediaan boleh menjadi sukar, jadi jika boleh, libatkan perunding.

Melaksanakan penyelesaian IdM ialah satu langkah yang sukar dan bertanggungjawab, dan untuk kejayaan pelaksanaannya, kedua-dua usaha setiap pihak secara individu – pekerja jabatan perniagaan, IT dan perkhidmatan keselamatan maklumat, dan interaksi seluruh pasukan secara keseluruhan adalah penting. Tetapi usaha itu berbaloi: selepas melaksanakan IdM dalam syarikat, bilangan insiden yang berkaitan dengan kuasa yang berlebihan dan hak tanpa kebenaran dalam sistem maklumat berkurangan; masa henti pekerja kerana kekurangan/penunggu yang lama untuk hak yang diperlukan hilang; Disebabkan oleh automasi, kos buruh dikurangkan dan produktiviti buruh IT dan perkhidmatan keselamatan maklumat meningkat.

Sumber: www.habr.com

Tambah komen