ProHoster > Blog > Uprava > Implementacija IdM. Priprava na izvedbo s strani naročnika

Implementacija IdM. Priprava na izvedbo s strani naročnika

V prejšnjih člankih smo že preučili, kaj je IdM, kako razumeti, ali vaša organizacija potrebuje tak sistem, katere težave rešuje in kako vodstvu upravičiti proračun za implementacijo. Danes bomo govorili o pomembnih fazah, skozi katere mora iti organizacija sama, da doseže ustrezno stopnjo zrelosti pred implementacijo sistema IdM. Navsezadnje je IdM zasnovan za avtomatizacijo procesov, vendar je nemogoče avtomatizirati kaos.

Implementacija IdM. Priprava na izvedbo s strani naročnika

Dokler podjetje ne zraste do velikosti velikega podjetja in ne nakopiči veliko različnih poslovnih sistemov, običajno ne razmišlja o nadzoru dostopa. Zato procesi pridobivanja pravic in nadzornih pooblastil v njem niso strukturirani in jih je težko analizirati. Zaposleni izpolnjujejo vloge za dostop po želji, postopek odobritve tudi ni formaliziran, včasih pa ga preprosto ni. Nemogoče je hitro ugotoviti, kakšen dostop ima zaposleni, kdo ga je odobril in na podlagi česa.

Implementacija IdM. Priprava na izvedbo s strani naročnika
Glede na to, da proces avtomatizacije dostopa vpliva na dva glavna vidika - kadrovske podatke in podatke iz informacijskih sistemov, s katerimi bo izvedena integracija, bomo razmislili o korakih, ki so potrebni za zagotovitev, da bo implementacija IdM potekala gladko in da ne bo povzročila zavrnitve:

  1. Analiza kadrovskih procesov in optimizacija podpore podatkovnih baz zaposlenih v kadrovskih sistemih.
  2. Analiza podatkov o uporabnikih in pravicah ter posodabljanje metod kontrole dostopa v ciljnih sistemih, ki so predvideni za povezavo z IdM.
  3. Organizacijske aktivnosti in vključevanje osebja v proces priprave na implementacijo IdM.

Kadrovski podatki

V organizaciji je lahko en vir podatkov o osebju ali pa jih je več. Na primer, organizacija ima lahko precej široko mrežo podružnic in vsaka podružnica lahko uporablja svojo bazo osebja.

Najprej je treba razumeti, kateri osnovni podatki o zaposlenih so shranjeni v sistemu kadrovskih evidenc, kateri dogodki se beležijo, ter oceniti njihovo popolnost in strukturo.

Pogosto se zgodi, da vsi kadrovski dogodki niso zabeleženi v kadrovskem viru (še pogosteje pa nepravočasno in ne povsem pravilno). Tukaj je nekaj tipičnih primerov:

  • Dopusti, njihove kategorije in termini (redni ali dolgoročni) se ne beležijo;
  • Zaposlitev s krajšim delovnim časom se ne evidentira: zaposleni lahko na primer med dolgotrajnim dopustom za varstvo in varstvo otroka hkrati dela s krajšim delovnim časom;
  • dejanski status kandidata ali zaposlenega se je že spremenil (sprejem/premestitev/odpust), odredba o tem dogodku pa je izdana z zamudo;
  • je delavec premeščen na novo redno delovno mesto z odpovedjo, pri čemer kadrovski sistem ne beleži podatka, da gre za tehnično odpoved.

Posebno pozornost velja nameniti tudi oceni kakovosti podatkov, saj lahko morebitne napake in netočnosti, pridobljene iz zaupanja vrednega vira, to so kadrovski sistemi, v prihodnosti drago stanejo in povzročijo številne težave pri izvajanju IdM. Kadroviki na primer v kadrovski sistem pogosto vnašajo delovna mesta zaposlenih v različnih oblikah: velike in male tiskane črke, okrajšave, različno število presledkov in podobno. Posledično se isti položaj lahko zabeleži v kadrovskem sistemu v naslednjih različicah:

  • Višji manager
  • višji manager
  • višji manager
  • Umetnost. upravnik…

Pogosto se morate soočiti z razlikami v črkovanju svojega imena:

  • Shmeleva Natalia Gennadievna,
  • Shmeleva Natalia Gennadievna ...

Za nadaljnjo avtomatizacijo je takšna zmešnjava nesprejemljiva, še posebej, če so ti atributi ključni identifikacijski znak, torej se podatki o zaposlenem in njegovih pooblastilih v sistemih primerjajo natančno po polnem imenu.

Implementacija IdM. Priprava na izvedbo s strani naročnika
Poleg tega ne smemo pozabiti na morebitno prisotnost soimenjakov in soimenjakov v podjetju. Če ima organizacija tisoč zaposlenih, je lahko takšnih ujemanj malo, če pa jih je 50 tisoč, potem lahko to postane kritična ovira za pravilno delovanje sistema IdM.

Če povzamemo vse zgoraj navedeno, sklepamo: format za vnos podatkov v kadrovsko bazo organizacije mora biti standardiziran. Parametri za vnos imen, delovnih mest in oddelkov morajo biti jasno določeni. Najboljša možnost je, da kadrovik podatkov ne vnaša ročno, ampak jih izbere iz vnaprej ustvarjenega imenika strukture oddelkov in delovnih mest s funkcijo »izberi«, ki je na voljo v kadrovski bazi.

Da bi se izognili nadaljnjim napakam pri sinhronizaciji in vam ne bi bilo treba ročno popravljati neskladij v poročilih, najprimernejši način identifikacije zaposlenih je vnos ID-ja za vsakega zaposlenega v organizaciji. Takšen identifikator bo dodeljen vsakemu novemu zaposlenemu in bo prikazan tako v kadrovskem sistemu kot v informacijskih sistemih organizacije kot obvezen atribut računa. Ni pomembno, ali je sestavljen iz številk ali črk, glavna stvar je, da je edinstven za vsakega zaposlenega (na primer, veliko ljudi uporablja osebno številko zaposlenega). V prihodnje bo uvedba tega atributa močno olajšala povezovanje podatkov zaposlenega v kadrovskem viru z njegovimi računi in pooblastili v informacijskih sistemih.

Torej bo treba analizirati in urediti vse korake in mehanizme kadrovskih evidenc. Povsem mogoče je, da bo treba nekatere procese spremeniti ali prilagoditi. To je dolgočasno in mukotrpno delo, vendar je nujno, sicer bo pomanjkanje jasnih in strukturiranih podatkov o kadrovskih dogodkih povzročilo napake pri njihovi avtomatski obdelavi. V najslabšem primeru bo nestrukturirane procese sploh nemogoče avtomatizirati.

Ciljni sistemi

V naslednji fazi moramo ugotoviti, koliko informacijskih sistemov želimo integrirati v strukturo IdM, kateri podatki o uporabnikih in njihovih pravicah so shranjeni v teh sistemih ter kako jih upravljati.

V mnogih organizacijah obstaja mnenje, da bomo namestili IdM, konfigurirali priključke na ciljne sisteme in z zamahom čarobne palice bo vse delovalo, brez dodatnih naporov z naše strani. To se, žal, ne zgodi. V podjetjih se krajina informacijskih sistemov postopoma razvija in širi. Vsak sistem ima lahko drugačen pristop k podeljevanju pravic dostopa, kar pomeni, da je mogoče konfigurirati različne vmesnike za nadzor dostopa. Nekje nadzor poteka prek API-ja (aplikacijskega programskega vmesnika), nekje prek baze podatkov z uporabo shranjenih procedur, nekje morda sploh ni vmesnikov za interakcijo. Pripravljeni morate biti na dejstvo, da boste morali ponovno razmisliti o številnih obstoječih procesih za upravljanje računov in pravic v sistemih organizacije: spremeniti obliko podatkov, vnaprej izboljšati vmesnike za interakcijo in dodeliti sredstva za to delo.

Vzornik

S konceptom vzornika se boste verjetno srečali v fazi izbire ponudnika IdM rešitev, saj je to eden ključnih konceptov na področju upravljanja pravic dostopa. V tem modelu je dostop do podatkov zagotovljen prek vloge. Vloga je niz dostopov, ki so minimalno potrebni, da zaposleni na določenem položaju opravlja svoje funkcionalne odgovornosti.

Nadzor dostopa na podlagi vlog ima številne nedvomne prednosti:

  • enostavna in učinkovita dodelitev enakih pravic velikemu številu zaposlenih;
  • takojšnja sprememba dostopa zaposlenih z enakim naborom pravic;
  • odprava redundantnosti pravic in razmejitev nezdružljivih pooblastil za uporabnike.

Matrika vlog je najprej zgrajena ločeno v vsakem od sistemov organizacije, nato pa se razširi na celotno krajino IT, kjer se globalne poslovne vloge oblikujejo iz vlog vsakega sistema. Na primer, poslovna vloga "Računovodja" bo vključevala več ločenih vlog za vsakega od informacijskih sistemov, ki se uporabljajo v računovodskem oddelku podjetja.

V zadnjem času velja za »najboljšo prakso« ustvarjanje vzornika že v fazi razvoja aplikacij, baz podatkov in operacijskih sistemov. Hkrati se pogosto pojavijo situacije, ko vloge v sistemu niso konfigurirane ali preprosto ne obstajajo. V tem primeru mora skrbnik tega sistema vnesti podatke o računu v več različnih datotek, knjižnic in imenikov, ki zagotavljajo potrebna dovoljenja. Uporaba vnaprej določenih vlog vam omogoča podelitev privilegijev za izvajanje cele vrste operacij v sistemu s kompleksnimi sestavljenimi podatki.

Vloge v informacijskem sistemu so praviloma razporejene po delovnih mestih in oddelkih glede na kadrovsko strukturo, lahko pa tudi za določene poslovne procese. Na primer, v finančni organizaciji več zaposlenih v oddelku za poravnavo zaseda isti položaj - operater. Znotraj oddelka pa obstaja tudi razdelitev na ločene procese, glede na različne vrste poslovanja (zunanji ali notranji, v različnih valutah, z različnimi segmenti organizacije). Da bi vsakemu od poslovnih področij enega oddelka zagotovili dostop do informacijskega sistema glede na zahtevane specifike, je potrebno vključiti pravice v posamezne funkcionalne vloge. S tem bo mogoče zagotoviti minimalno zadosten nabor pristojnosti, ki ne vključuje odvečnih pravic, za vsako od področij delovanja.

Poleg tega je za velike sisteme s stotinami vlog, tisoči uporabnikov in milijoni dovoljenj dobra praksa uporaba hierarhije vlog in dedovanja privilegijev. Na primer, nadrejena vloga Administrator bo podedovala privilegije podrejenih vlog: uporabnik in bralec, saj lahko skrbnik počne vse, kar lahko počneta uporabnik in bralec, poleg tega pa bo imel dodatne skrbniške pravice. Z uporabo hierarhije ni potrebe po ponovnem podajanju istih pravic v več vlogah istega modula ali sistema.

Na prvi stopnji lahko ustvarite vloge v tistih sistemih, kjer možno število kombinacij pravic ni zelo veliko in je posledično enostavno upravljati z majhnim številom vlog. To so lahko tipične pravice, ki jih zahtevajo vsi zaposleni v podjetju do javno dostopnih sistemov, kot so Active Directory (AD), poštni sistemi, Service Manager in podobno. Nato lahko izdelane matrike vlog za informacijske sisteme vključimo v splošni vzorni model in jih združimo v poslovne vloge.

S tem pristopom bo v prihodnje pri implementaciji sistema IdM enostavno avtomatizirati celoten proces podeljevanja pravic dostopa na podlagi ustvarjenih vlog prve stopnje.

Opomba: V integracijo ne poskušajte takoj vključiti čim več sistemov. Sisteme s kompleksnejšo arhitekturo in strukturo upravljanja pravic dostopa je bolje povezati z IdM v polavtomatskem načinu na prvi stopnji. To pomeni, da na podlagi kadrovskih dogodkov implementirate samo samodejno generiranje zahteve za dostop, ki bo poslana skrbniku v izvedbo, ta pa bo ročno konfiguriral pravice.

Po uspešno opravljeni prvi stopnji lahko razširite funkcionalnost sistema na nove razširjene poslovne procese, izvedete popolno avtomatizacijo in skaliranje s povezavo dodatnih informacijskih sistemov.

Implementacija IdM. Priprava na izvedbo s strani naročnika
Z drugimi besedami, za pripravo na implementacijo IdM je treba oceniti pripravljenost informacijskih sistemov na nov proces in vnaprej dokončati zunanje interakcijske vmesnike za upravljanje uporabniških računov in uporabniških pravic, če ti vmesniki niso na voljo. na voljo v sistemu. Raziskati je treba tudi vprašanje postopnega ustvarjanja vlog v informacijskih sistemih za celovit nadzor dostopa.

Organizacijski dogodki

Ne zanemarjajte tudi organizacijskih vprašanj. V nekaterih primerih lahko igrajo odločilno vlogo, saj je rezultat celotnega projekta pogosto odvisen od učinkovite interakcije med oddelki. Za to običajno svetujemo oblikovanje ekipe udeležencev procesa v organizaciji, ki bo vključevala vse vpletene oddelke. Ker je to za ljudi dodatno breme, poskusite vsem udeležencem prihodnjega procesa vnaprej razložiti njihovo vlogo in pomen v interakcijski strukturi. Če na tej stopnji "prodate" idejo o IdM svojim kolegom, se lahko izognete številnim težavam v prihodnosti.

Implementacija IdM. Priprava na izvedbo s strani naročnika
Pogosto so službe za informacijsko varnost ali informatiko »lastniki« projekta implementacije IdM v podjetje, mnenja poslovnih služb pa se ne upoštevajo. To je velika napaka, saj le oni vedo, kako in v kakšnih poslovnih procesih se posamezen vir uporablja, komu omogočiti dostop do njega in komu ne. Zato je v fazi priprave pomembno navesti, da je lastnik podjetja tisti, ki je odgovoren za funkcionalni model, na podlagi katerega se razvijejo nabori uporabniških pravic (vlog) v informacijskem sistemu, ter za to, da te vloge se posodabljajo. Vzornik ni statična matrica, ki se zgradi enkrat in se na njej lahko umiriš. To je »živ organizem«, ki se mora nenehno spreminjati, posodabljati in razvijati, slediti spremembam v strukturi organizacije in funkcionalnosti zaposlenih. V nasprotnem primeru se bodo pojavile težave, povezane z zamudami pri zagotavljanju dostopa, ali pa bodo nastala tveganja za varnost informacij, povezana s prevelikimi pravicami dostopa, kar je še hujše.

Kot veste, »sedem varušk ima otroka brez očesa«, zato mora podjetje razviti metodologijo, ki opisuje arhitekturo vzornika, interakcijo in odgovornost posameznih udeležencev v procesu za njegovo posodabljanje. Če ima podjetje veliko področij poslovanja in s tem veliko oddelkov in oddelkov, potem za vsako področje (na primer posojanje, operativno delo, oddaljene storitve, skladnost in drugo) kot del procesa upravljanja dostopa na podlagi vlog, je treba imenovati ločene kustose. Preko njih bo mogoče hitro prejemati informacije o spremembah v strukturi oddelka in zahtevanih dostopnih pravicah za posamezno vlogo.

Pri reševanju konfliktnih situacij med oddelki, ki sodelujejo v procesu, je nujno pridobiti podporo vodstva organizacije. In konflikti pri uvajanju vsakega novega procesa so neizogibni, verjemite našim izkušnjam. Zato potrebujemo arbitra, ki bo razreševal morebitna nasprotja interesov, da ne izgubljamo časa zaradi nerazumevanja in sabotaže nekoga drugega.

Implementacija IdM. Priprava na izvedbo s strani naročnika
Opomba: Dober začetek ozaveščanja je usposabljanje osebja. Podrobna študija delovanja bodočega procesa in vloge vsakega udeleženca v njem bo zmanjšala težave pri prehodu na novo rešitev.

Kontrolni seznam

Če povzamemo, povzemamo glavne korake, ki jih mora narediti organizacija, ki načrtuje uvedbo IdM:

  • urediti kadrovske podatke;
  • vnesite edinstven identifikacijski parameter za vsakega zaposlenega;
  • oceniti pripravljenost informacijskih sistemov za implementacijo IdM;
  • razviti vmesnike za interakcijo z informacijskimi sistemi za nadzor dostopa, če ti manjkajo, in dodeliti sredstva za to delo;
  • razvijati in graditi vzor;
  • zgraditi model vodenja procesa in vanj vključiti kustose iz vsakega poslovnega področja;
  • izberite več sistemov za prvo povezavo z IdM;
  • ustvarite učinkovito projektno skupino;
  • pridobiti podporo vodstva podjetja;
  • usposobiti osebje.

Postopek priprave je lahko težaven, zato, če je mogoče, vključite svetovalce.

Implementacija rešitve IdM je težek in odgovoren korak, za njeno uspešno implementacijo pa je pomemben tako trud vsake strani posebej – zaposlenih v poslovnih oddelkih, IT in službah za informacijsko varnost, kot interakcija celotnega tima kot celote. Toda trud je vreden: po uvedbi IdM v podjetje se zmanjša število incidentov, povezanih s prevelikimi pooblastili in nepooblaščenimi pravicami v informacijskih sistemih; izginejo izpadi zaposlenih zaradi pomanjkanja/dolgega čakanja na potrebne pravice; Zaradi avtomatizacije se zmanjšajo stroški dela in poveča delovna produktivnost storitev IT in informacijske varnosti.

Vir: www.habr.com

Dodaj komentar