在之前的文章中,我们已经了解了 IdM 是什么、如何了解您的组织是否需要这样的系统、它解决了哪些问题,以及如何向管理层证明实施预算的合理性。 今天我们将讨论组织本身在实施 IdM 系统之前必须经历的重要阶段,以达到适当的成熟度。 毕竟,IdM 旨在实现流程自动化,但不可能实现混乱自动化。
直到一个公司发展到一个大企业的规模,积累了很多不同的业务系统,通常不会考虑访问控制。 因此,其中获得权利和控制权的过程不是结构化的,难以分析。 员工根据自己的意愿填写访问申请;审批流程也没有正式化,有时甚至根本不存在。 不可能快速弄清楚员工拥有哪些访问权限、谁批准了该访问权限以及依据是什么。
考虑到自动化访问过程影响两个主要方面——人员数据和要进行集成的信息系统数据,我们将考虑必要的步骤,以确保IdM的实施顺利进行并且不会造成拒绝:
- 人事系统中人事流程分析及员工数据库支持优化。
- 分析用户和权限数据,以及更新计划连接到 IdM 的目标系统中的访问控制方法。
- 准备实施 IdM 过程中的组织活动和人员参与。
人员资料
组织中可能只有一个人事数据源,也可能有多个源。 例如,一个组织可能有相当广泛的分支机构网络,每个分支机构可能使用自己的人员基础。
首先,需要了解人事档案系统中存储了哪些员工的基本数据,记录了哪些事件,并评估其完整性和结构。
经常发生的情况是,并非所有人事事件都记录在人事来源中(甚至更常见的是,这些人事事件记录不及时且不完全正确)。 以下是一些典型的例子:
- 未记录休假、休假类别和期限(定期或长期);
- 兼职工作不予记录:例如,在长期休假照顾孩子期间,员工可以同时从事兼职工作;
- 候选人或员工的实际身份已发生变化(接待/调动/解雇),并且延迟发布有关此事件的命令;
- 员工通过解雇转入新的正式岗位,而人事系统不会记录这是技术性解雇的信息。
还值得特别注意评估数据的质量,因为从可信来源(即人力资源系统)获得的任何错误和不准确之处都可能在未来造成高昂的代价,并在实施 IdM 时造成许多问题。 例如,HR员工经常以不同的格式将员工职位输入人事系统:大小写字母、缩写、不同数量的空格等。 因此,同一职位可以通过以下变化记录在人事系统中:
- 高级经理
- 高级经理
- 高级经理
- 艺术。 经理…
通常,您必须处理名字拼写的差异:
- 什梅列娃·娜塔莉亚·根纳季耶夫娜,
- 施梅列娃·纳塔利娅·根纳季耶芙娜...
对于进一步的自动化,这种混乱是不可接受的,特别是如果这些属性是身份识别的关键标志,即有关员工及其在系统中的权力的数据通过全名进行精确比较。
此外,我们不应忘记公司中可能存在同名者和全名同名者。 如果一个组织有一千名员工,这样的匹配可能很少,但如果有五万名,那么这可能成为IdM系统正确运行的关键障碍。
总结以上所有内容,我们得出结论:将数据输入组织人员数据库的格式必须标准化。 必须明确定义输入姓名、职位和部门的参数。 最好的选择是人力资源员工不手动输入数据,而是使用人事数据库中提供的“选择”功能从预先创建的部门和职位结构目录中选择数据。
为了避免进一步的同步错误并且不必手动更正报告中的差异, 识别员工身份的最佳方式是输入 ID 对于组织的每一位员工。 这样的标识符将分配给每个新员工,并将作为强制帐户属性出现在人事系统和组织的信息系统中。 不管它是由数字还是字母组成,重要的是它对于每个员工来说都是唯一的(例如,很多人使用员工的人员编号)。 未来,该属性的引入将极大方便人事源中的员工数据与其在信息系统中的账户、权限的联动。
因此,人事记录的所有步骤和机制都需要进行分析和整理。 很可能必须更改或修改某些流程。 这是一项繁琐而艰苦的工作,但却是必要的,否则缺乏清晰、结构化的人员事件数据将导致其自动处理出现错误。 在最坏的情况下,非结构化流程根本不可能实现自动化。
目标系统
下一阶段,我们需要弄清楚我们要集成多少个信息系统到IdM结构中,这些系统中存储了哪些用户及其权限的数据,以及如何管理它们。
在许多组织中,有一种观点认为,我们将安装 IdM,配置到目标系统的连接器,然后只需挥动魔杖,一切就会正常运行,而无需我们付出额外的努力。 可惜的是,这种情况并没有发生。 在公司中,信息系统景观正在逐渐发展和扩大。 每个系统可以有不同的授予访问权限的方法,即可以配置不同的访问控制接口。 控制在某个地方通过 API(应用程序编程接口)进行,在某个地方通过使用存储过程的数据库进行,在某个地方可能根本没有交互界面。 您应该做好准备,您将不得不重新考虑组织系统中管理帐户和权限的许多现有流程:更改数据格式,提前改进交互界面并为这项工作分配资源。
好榜样
在选择 IdM 解决方案提供商的阶段,您可能会遇到角色模型的概念,因为这是访问权限管理领域的关键概念之一。 在此模型中,通过角色提供对数据的访问。 角色是处于特定职位的员工履行其职能职责所需的最低限度的一组访问权限。
基于角色的访问控制具有许多不可否认的优点:
- 将相同的权利分配给大量员工既简单又有效;
- 及时更改具有相同权限的员工的访问权限;
- 消除权利冗余并界定用户的不兼容权力。
角色矩阵首先在组织的每个系统中单独构建,然后扩展到整个IT环境,其中全局业务角色由每个系统的角色形成。 例如,业务角色“会计”将包括企业会计部门使用的每个信息系统的几个单独的角色。
最近,即使在开发应用程序、数据库和操作系统的阶段创建角色模型也被认为是“最佳实践”。 同时,经常会出现系统中未配置角色或根本不存在角色的情况。 在这种情况下,该系统的管理员必须将帐户信息输入到提供必要权限的几个不同的文件、库和目录中。 使用预定义角色允许您授予在具有复杂复合数据的系统中执行一系列操作的权限。
信息系统中的角色通常根据人员配置结构分配给职位和部门,但也可以为某些业务流程创建角色。 例如,在一家金融机构中,结算部门的多名员工担任同一个职位——操作员。 但在部门内部,根据不同的运营类型(外部或内部、以不同的货币、组织的不同部门),也分为单独的流程。 为了根据所需的具体情况为一个部门的每个业务领域提供对信息系统的访问权限,有必要在各个职能角色中包含权限。 这将为每个活动领域提供最低限度的充分权力,其中不包括多余的权利。
此外,对于具有数百个角色、数千个用户和数百万个权限的大型系统,最好使用角色层次结构和权限继承。 例如,父角色管理员将继承子角色:用户和读者的权限,因为管理员可以执行用户和读者可以执行的所有操作,并且还将拥有额外的管理权限。 使用层次结构,无需在同一模块或系统的多个角色中重新指定相同的权限。
在第一阶段,您可以在可能的权限组合数量不是很多的系统中创建角色,这样就很容易管理少量的角色。 这些可能是公司所有员工对可公开访问的系统(例如 Active Directory (AD)、邮件系统、服务管理器等)所需的典型权利。 然后,为信息系统创建的角色矩阵可以包含在通用角色模型中,将它们组合成业务角色。
使用这种方法,将来在实施IdM系统时,将很容易根据创建的第一阶段角色来自动化授予访问权限的整个过程。
注: 您不应尝试立即将尽可能多的系统纳入集成中。 第一阶段最好以半自动的方式将架构和访问权限管理结构比较复杂的系统接入IdM。 即根据人员事件,仅实现自动生成访问请求,发送给管理员执行,由管理员手动配置权限。
成功完成第一阶段后,您可以将系统的功能扩展到新扩展的业务流程,通过连接其他信息系统实现完全自动化和扩展。
换句话说,为了为IdM的实施做好准备,需要评估信息系统对新流程的准备情况,并提前敲定用于管理用户帐户和用户权限的外部交互接口(如果没有的话)。系统中可用。 还应探讨在信息系统中逐步创建角色以进行全面访问控制的问题。
组织活动
也不要忽视组织问题。 在某些情况下,它们可以发挥决定性作用,因为整个项目的结果往往取决于部门之间的有效互动。 为此,我们通常建议在组织中创建一个流程参与者团队,其中包括所有涉及的部门。 由于这对人们来说是一种额外的负担,因此尝试提前向未来过程中的所有参与者解释他们在交互结构中的作用和意义。 如果你在这个阶段向你的同事“推销”IdM的想法,你可以避免将来的很多困难。
往往信息安全或IT部门是公司IdM实施项目的“主人”,业务部门的意见不被考虑。 这是一个很大的错误,因为只有他们知道每个资源如何以及在哪些业务流程中使用,谁应该被授予访问权限,谁不应该被授予访问权限。 因此,在准备阶段,重要的是要表明是业务所有者负责开发信息系统中的用户权限(角色)集的功能模型,并确保这些角色会保持最新状态。 榜样并不是一个静态的矩阵,一旦建立起来,你就可以冷静下来。 这是一个“活的有机体”,必须随着组织结构和员工功能的变化而不断变化、更新和发展。 否则,要么会出现访问延迟的问题,要么会出现访问权限过多带来的信息安全风险,甚至更糟糕。
如您所知,“七个保姆有一个没有眼睛的孩子”,因此公司必须开发一种方法来描述角色模型的架构、流程中特定参与者的互动和责任,以使其保持最新状态。 如果一家公司有许多业务活动领域,因此有许多部门和部门,那么对于每个领域(例如,贷款、运营工作、远程服务、合规性等),作为基于角色的访问管理流程的一部分,它有必要任命单独的策展人。 通过它们,可以快速接收有关部门结构变化以及每个角色所需访问权限的信息。
必须获得组织管理层的支持来解决参与流程的部门之间的冲突情况。 相信我们的经验,引入任何新流程时发生冲突是不可避免的。 因此,我们需要一个仲裁员来解决可能存在的利益冲突,以免因为别人的误解和破坏而浪费时间。
注: 提高意识的一个好方法是培训您的员工。 对未来流程的运作以及每个参与者在其中的作用的详细研究将最大限度地减少过渡到新解决方案的困难。
检查清单
总而言之,我们总结了计划实施 IdM 的组织应采取的主要步骤:
- 整理人事数据;
- 为每个员工输入唯一的识别参数;
- 评估信息系统实施 IdM 的准备情况;
- 开发与访问控制信息系统交互的接口(如果缺少),并为此工作分配资源;
- 培养和建立榜样;
- 建立角色模型管理流程,并将每个业务领域的策展人纳入其中;
- 选择多个系统用于初始连接到 IdM;
- 创建一个有效的项目团队;
- 获得公司管理层的支持;
- 培训工作人员。
准备过程可能很困难,因此如果可能的话,请顾问参与。
实施IdM解决方案是一个艰难而负责任的步骤,其成功实施不仅需要业务部门、IT和信息安全服务人员等各方的努力,还需要整个团队的整体互动。 但这些努力是值得的:企业实施IdM后,信息系统中越权越权事件减少; 员工因缺乏/长时间等待必要的权利而停工消失; 由于自动化,降低了劳动力成本,提高了IT和信息安全服务的劳动生产率。
来源: habr.com