主持人 > 博客 > 管理 > 實施 IdM。 準備由客戶實施

實施 IdM。 準備由客戶實施

在之前的文章中,我們已經考慮過 IdM 是什麼、如何了解您的組織是否需要這樣的系統、它解決哪些任務以及如何向管理層證明實施預算的合理性。 今天我們將討論組織本身在實施 IdM 系統之前為了達到適當的成熟度必須經歷的重要階段。 畢竟,IdM 旨在實現流程自動化,而不可能實現混亂的自動化。

實施 IdM。 準備由客戶實施

直到一個公司發展到一個大企業的規模,積累了很多不同的業務系統的那一刻,通常不會考慮訪問控制。 因此,其中獲得權利和控制權的過程不是結構化的,難以分析。 員工隨意填寫訪問申請,審批流程也不正式,有時甚至根本不存在。 不可能快速弄清楚員工擁有哪些訪問權限、誰批准了這些訪問權限以及依據是什麼。

實施 IdM。 準備由客戶實施
考慮到訪問自動化的過程影響兩個主要方面——人員數據和信息系統數據,需要進行集成,我們將考慮必要的步驟,以確保IdM的實施順利進行並且不會造成拒絕:

  1. 人事系統中人事流程分析及員工數據庫維護優化。
  2. 分析有關用戶和權限的數據,以及更新計劃連接到 IdM 的目標系統中的訪問控制方法。
  3. IdM 實施準備過程中的組織措施和人員參與。

人員資料

組織中可能只有一個人事數據源,也可能有多個源。 例如,一個組織可能有相當廣泛的分支機構網絡,每個分支機構可能使用自己的人員基礎。

首先,需要了解人事檔案系統中存儲了哪些員工的基本數據,記錄了哪些事件,並評估其完整性和結構。

經常發生的情況是,並非所有人事事件都在人事來源中進行了記錄(甚至更常見的是,它們的記錄不及時且不完全正確)。 以下是一些典型的例子:

  • 假期,其類別和期限(定期或長期)不固定;
  • 不記錄兼職工作:例如,在休長期育兒假期間,僱員可以同時從事兼職工作;
  • 候選人或員工的實際身份已經發生變化(聘用/調動/解僱),並且延遲發布有關此事件的命令;
  • 員工通過解僱轉入新的全職崗位,而人事系統不會記錄這是技術性解僱的信息。

還值得特別注意評估數據質量,因為從可信來源(即人事記錄系統)收到的任何錯誤和不准確性將來都可能造成高昂的代價,並在實施 IdM 時導致許多問題。 例如,人事官員經常以不同的格式在人事系統中輸入員工職位:大小寫字母、縮寫、不同數量的空格等。 因此,同一職位可以通過以下變化固定在人事系統中:

  • 高級經理
  • 高級經理
  • 高級經理
  • 藝術。 經理…

通常您必須處理全名拼寫的差異:

  • 什梅列娃·納塔利婭·根納季耶夫娜,
  • 什梅列娃·納塔利婭·根納季耶芙娜…

對於進一步的自動化,這種混亂是不可接受的,特別是如果這些屬性是身份識別的關鍵標誌,即有關員工及其在系統中的權力的數據通過全名進行精確比較。

實施 IdM。 準備由客戶實施
此外,人們不應忘記公司中可能存在同名者和全名同名者。 如果組織有一千名員工,這樣的巧合可能很少,而如果有五萬名員工,那麼這可能成為 IdM 系統正確運行的關鍵障礙。

總結以上所有內容,我們得出結論:將數據輸入組織人員庫的格式應該標準化。 必須明確定義輸入全名、職位和部門的參數。 最好的選擇是人事人員不手動輸入數據,而是使用人事數據庫中提供的“選擇”功能從預先創建的部門和職位結構目錄中選擇數據。

為了避免進一步的同步錯誤並且不要手動修復報告中的差異, 識別員工身份的最佳方式是輸入 ID 對於組織中的每一位員工。 這樣的標識符將分配給每個新員工,並將作為帳戶的強制屬性出現在人事系統和組織的信息系統中。 它由數字還是字母組成並不重要,重要的是它對於每個員工來說都是唯一的(例如,許多使用員工的人員​​編號)。 未來,該屬性的引入將極大方便人事源中的員工數據與信息系統中的賬戶、權限的對接。

因此,人事記錄的所有步驟和機制都需要進行分析和整理。 某些流程可能需要更改或改進。 這是一項繁瑣而艱苦的工作,但卻是必要的,否則缺乏清晰、結構化的人員事件數據將導致其自動處理出現錯誤。 在最壞的情況下,非結構化流程根本無法自動化。

目標系統

下一階段,我們需要弄清楚我們要集成多少個信息系統到IdM結構中,這些系統中存儲了哪些用戶及其權限的數據以及如何管理它們。

在許多組織中,有一種觀點認為,我們將安裝 IdM,將連接器配置到目標系統,然後揮動魔杖,一切都會正常運行,而無需我們付出額外的努力。 所以,可惜,這並沒有發生。 在公司中,信息系統格局逐漸演變和發展。 在每個系統中,可以組織不同的授予訪問權限的方法,即配置不同的訪問控制接口。 某些地方的管理是通過 API(應用程序編程接口)進行的,某些地方是通過使用存儲過程的數據庫進行的,某些地方可能根本沒有交互界面。 您應該做好準備,您將不得不修改組織系統中管理帳戶和權限的許多現有流程:更改數據格式,提前確定交互界面並為這些工作分配資源。

好榜樣

在選擇 IdM 解決方案提供商的階段,您可能會遇到角色模型的概念,因為這是訪問權限管理領域的關鍵概念之一。 在此模型中,數據訪問是通過角色授予的。 角色是特定職位的員工履行其職能職責所需的最低限度的一組訪問權限。

基於角色的訪問控制具有許多不可否認的優點:

  • 簡單有效地將相同的權利分配給大量員工;
  • 快速更改具有相同權限的員工的訪問權限;
  • 排除權利冗餘和用戶不相容權力的區分。

角色矩陣首先在組織的每個系統中單獨構建,然後擴展到整個IT環境,其中全局業務角色由每個系統的角色形成。 例如,業務角色“會計”將包括企業會計部門使用的每個信息系統的幾個單獨的角色。

最近,即使在開發應用程序、數據庫和操作系統的階段,創建角色模型也被認為是“最佳實踐”。 同時,系統中未配置角色或根本不存在角色的情況並不少見。 在這種情況下,該系統的管理員必須將帳戶數據輸入到提供必要權限的幾個不同的文件、庫和目錄中。 使用預定義角色允許您授予在具有復雜複合數據的系統中執行一系列操作的權限。

信息系統中的角色通常根據人員配置結構分配給職位和部門,但也可以為某些業務流程創建角色。 例如,在一家金融機構中,結算部門的幾名員工擔任同一個職位——操作員。 但在部門內部,根據不同的運營類型(外部或內部、使用不同的貨幣、組織的不同部門),也可以分配到單獨的流程中。 為了根據所需的具體情況為一個部門的每個業務領域提供對信息系統的訪問權限,有必要將權限包含在單獨的職能角色中。 這將為每個活動領域提供最低限度的足夠權限集,不包括冗餘權限。

此外,對於具有數百個角色、數千個用戶和數百萬個權限的大型系統,最好使用角色層次結構和權限繼承。 例如,父角色管理員將繼承子角色:用戶和讀者的權限,因為管理員可以執行用戶和讀者可以執行的所有操作,此外還將擁有額外的管理權限。 使用層次結構,無需在同一模塊或系統的多個角色中重新指定相同的權限。

在第一階段,您可以在可能的權限組合數量不是很多的系統中創建角色,這樣就很容易管理少量的角色。 這些可能是所有公司員工對公共系統(例如 Active Directory (AD)、郵件系統、服務管理器等)所需的典型權限。 然後,為信息系統創建的角色矩陣可以包含在整體角色模型中,將它們組合成業務角色。

使用這種方法,將來在實施IdM系統時,將很容易根據第一階段創建的角色來自動化授予訪問權限的整個過程。

注: 您不應嘗試立即在集成中包含盡可能多的系統。 對於架構和訪問權限管理結構比較複雜的系統,第一階段最好以半自動的方式接入IdM。 即根據人員事件,僅實現自動生成訪問請求,發送給管理員執行,由管理員手動設置權限。

成功通過第一階段後,可以將系統的功能擴展到新的高級業務流程,通過連接其他信息系統來實現完全自動化和擴展。

實施 IdM。 準備由客戶實施
換句話說,為了準備實施IdM,有必要評估信息系統對新流程的準備情況,並提前完善用於管理用戶帳戶和權限的外部接口(如果這些接口在其他國家/地區不可用)。系統。 還需要解決信息系統中分階段創建集成訪問控制角色的問題。

組織活動

組織問題不應被忽視。 在某些情況下,它們可以起到決定性的作用,因為整個項目的結果往往取決於部門之間的有效互動。 為此,我們通常建議在組織中創建一個流程參與者團隊,其中包括所有涉及的部門。 由於這對人們來說是一種額外的負擔,因此嘗試提前向未來過程中的所有參與者解釋他們在交互結構中的作用和意義。 如果在現階段向同事“推銷”IdM的想法,就可以避免日後的很多困難。

實施 IdM。 準備由客戶實施
通常,企業中IdM實施項目的“所有者”是信息安全或IT部門,業務部門的意見不被考慮。 這是一個很大的錯誤,因為只有他們知道每個資源如何以及在什麼業務流程中使用,誰應該被授予訪問權限,誰不應該被授予訪問權限。 因此,在準備階段,重要的是要表明是業務所有者負責功能模型,在此基礎上開發信息系統中用戶的權限(角色)集,以及以確保這些角色保持最新狀態。 榜樣不是一個靜態的矩陣,已經建立了一次,你可以冷靜下來。 這是一個“活的有機體”,必須隨著組織結構和員工功能的變化而不斷變化、更新和發展。 否則,要么會出現訪問延遲的問題,要么會出現訪問權限過多帶來的信息安全風險,甚至更糟糕。

如您所知,“七個保姆有一個沒有眼睛的孩子”,因此公司應該開發一種方法來描述角色模型的架構、過程中特定參與者的互動和責任,以使其保持最新狀態。 如果公司有許多業務活動領域,因此有許多部門和部門,那麼對於每個領域(例如,貸款、運營、遠程服務、合規性等),作為基於角色的訪問控制流程的一部分,有必要任命單獨的策展人。 通過它們,可以快速接收有關單元結構變化以及每個角色所需訪問權限的信息。

必須獲得組織管理層的支持來解決部門(流程參與者)之間的衝突情況。 相信我們的經驗,任何新流程實施過程中的衝突都是不可避免的。 因此,需要一位仲裁員來解決可能的利益衝突,以免因某人的誤解和破壞而浪費時間。

實施 IdM。 準備由客戶實施
注: 員工培訓是提高意識的良好開端。 對未來流程的運作以及每個參與者在其中的角色的詳細研究將最大限度地減少切換到新解決方案的困難。

檢查清單

總之,計劃實施 IdM 的組織應採取以下主要步驟:

  • 將人事數據按順序排列;
  • 為每個員工輸入唯一的識別參數;
  • 評估信息系統實施 IdM 的準備情況;
  • 開發與訪問控制信息系統交互的接口(如果不可用),並為這些工作分配資源;
  • 培養和建立榜樣;
  • 建立角色模型管理流程,並包括來自每個業務領域的策展人;
  • 選擇多個系統用於初始連接到 IdM;
  • 創建一個有效的項目團隊;
  • 爭取公司管理層的支持;
  • 培訓工作人員。

準備過程可能很困難,因此如果可能的話,請顧問參與。

IdM解決方案的實施並不是一個輕鬆且負責任的步驟,其成功實施既需要各方的努力——業務部門的員工、IT和信息安全服務,也需要整個團隊的整體互動。重要的。 但這些努力是值得的:公司實施IdM後,信息系統中的越權和越權事件減少了; 由於缺乏/長時間等待必要權利而導致員工停工消失; 由於自動化,降低了勞動力成本,提高了IT和信息安全服務的勞動生產率。

來源: www.habr.com

添加評論