Le prochain bloc de nos publications sur IdM sera consacré à la finance. À savoir, les deux sujets les plus difficiles et les plus douloureux - l'évaluation du projet de mise en œuvre de l'IdM et sa justification devant la direction.
Le coût total du projet IdM est la somme des coûts des équipements, des licences logicielles, du travail de l'entrepreneur et de l'équipe de projet. D'après l'expérience, les principales difficultés sont associées à l'évaluation du coût de mise en œuvre du système, alors commençons par ce problème.
Des difficultés avec l'évaluation surviennent généralement en raison de l'élaboration insuffisante des exigences du système. En raison des caractéristiques de la technologie IdM, il est objectivement difficile d'accomplir cette tâche au niveau approprié sans impliquer les entrepreneurs. Mais la gestion convaincante de la nécessité de financer un projet pour
préparer la mise en œuvre est encore plus difficile, de sorte que l'entreprise accepte souvent simplement les risques et espère qu'ils ne seront pas réalisés.
Les risques sont assez graves. En particulier, ils consistent dans le fait que le contractant surestimera le coût des travaux pour réduire ses propres risques de projet, et alors le budget du projet peut ne pas être du tout convenu. Ou vice versa - une évaluation optimiste sera émise et protégée, mais pendant la mise en œuvre, il deviendra clair qu'il est impossible de résoudre les tâches assignées pour le budget spécifié.
Nous essaierons d'aider les organisations dans la préparation et l'évaluation des projets de mise en œuvre de l'IdM: nous examinerons plus en détail les principaux blocs de travail de mise en œuvre et les facteurs qui affectent considérablement leur complexité.
Sondage
Au premier stade, en règle générale, les exigences sont collectées et analysées, des solutions techniques sont conçues - en un mot, tout est à peu près le même que dans les projets de mise en œuvre d'autres systèmes d'information.
Il comprend des entretiens avec des représentants des principales parties prenantes du projet, la collecte de données sur les processus de contrôle d'accès, les systèmes d'information qui font partie du projet, la façon dont les utilisateurs y sont gérés et comment s'intégrer avec eux.
Le coût de cette étape dépend du nombre d'employés à interroger et des systèmes d'information pour lesquels des données doivent être collectées. Sa complexité est plus ou moins prévisible et la durée moyenne est de 1 à 2 mois.
Connexion des systèmes d'information
L'un des principaux blocs techniques de travail est la connexion des systèmes d'information. Elle est réalisée sur des environnements de test dont la fourniture peut devenir une pierre d'achoppement pour certaines entreprises. Il peut n'y avoir aucun environnement de test, aucun serveur, aucune main, etc. sous eux. Le plus souvent, cela n'affecte que le calendrier du projet, mais cela peut également affecter le budget, par exemple, en cas de manque d'équipement.
Pour intégrer un système d'information à IdM, il est souvent nécessaire de le configurer en fournissant des interfaces d'interaction technique. Si le système d'information est pris en charge par une organisation tierce, cela peut nécessiter des coûts supplémentaires. Certains fournisseurs (par exemple, Diasoft) fournissent les interfaces techniques requises, mais à un coût supplémentaire. Même si le client gère seul le système, il peut ne pas disposer de suffisamment de temps ou des compétences de ses propres spécialistes pour fournir les interfaces techniques nécessaires. Cela affecte le calendrier et le budget du projet.
Les systèmes d'information se connectent à IdM à l'aide de connecteurs. Le vendeur peut prétendre qu'il a des connecteurs prêts à l'emploi pour tous vos systèmes d'information, mais en réalité ce n'est pas si simple et, comme on dit, il y a des nuances.
Les systèmes d'information qui fournissent une interface d'interaction normalisée (par exemple, AD) réduisent pratiquement à zéro le risque qu'un connecteur prêt à l'emploi ne fonctionne pas. Cependant, il existe un certain nombre de systèmes d'information (par exemple, 1C et SAP) qui vous permettent de fournir diverses options pour interagir avec IdM: téléchargements, services Web et présentation dans la base de données. Pour vous, une option spécifique peut être préférable à laquelle le fabricant du connecteur ne dispose pas, et elle devra être développée / développée. Et c'est encore du temps et de l'argent.
Il peut y avoir une tonne d'autres fonctionnalités qui affecteront considérablement le calendrier et le coût du projet.
L'interface peut être standardisée, mais fournie via le bus d'intégration, qui peut également nécessiter une mise à niveau du connecteur. Si le fournisseur a adapté son système d'information pour vous, le connecteur standard peut ne pas fonctionner - et encore une fois, il sera nécessaire de fixer des budgets et du temps pour la révision.
Les détails techniques du contrôle d'accès aux systèmes d'information jouent un rôle important dans la connexion des systèmes d'information à IdM. Souvent, ils ne sont pas visibles au stade initial, mais conduisent finalement à une augmentation du volume de travail. Par exemple, lorsque pour permettre à un nouvel utilisateur d'accéder à un système d'information, il doit être enregistré dans deux autres.
Parfois, les opérations supplémentaires ou intégrées qu'IdM doit effectuer ne sont pas ciblées. Par exemple, si vous souhaitez non seulement créer une nouvelle boîte aux lettres pour un nouvel employé dans Exchange, mais selon certaines règles, sélectionnez un stockage pour lui. Dans l'un des projets, nous sommes tombés sur un système d'information dans lequel il est techniquement impossible d'attribuer plus d'un rôle à un utilisateur. Lorsque cela est devenu clair, j'ai dû repenser complètement le processus de contrôle d'accès afin de prendre en compte le processus de demande de privilèges supplémentaires, qui peuvent être nombreux. Beaucoup de telles bagatelles peuvent survenir, ce sont toutes des tâches supplémentaires, et tous les systèmes IdM ne peuvent pas les prendre en charge.
Compte tenu de ces caractéristiques, la complexité de la connexion d'un système d'information à IdM peut varier considérablement en fonction de l'infrastructure de l'entreprise, et la durée peut aller de deux jours à deux mois. Par conséquent, le manque d'informations détaillées au stade de l'évaluation réduit considérablement sa fiabilité et augmente les risques du projet.
Processus d'affaires
Un bloc de travail essentiel, qui peut également affecter de manière significative les coûts du projet, est la mise en place de processus de soumission et d'approbation des demandes d'accès. Si vos processus sont pris en charge par le logiciel sélectionné, leur configuration n'est pas difficile. Mais sans bien connaître les processus, vous ne pouvez estimer que très approximativement la quantité de logiciels qui les prend en charge. En conséquence, il est difficile de comprendre si un raffinement est nécessaire et dans quelle mesure.
De nombreux problèmes d'automatisation des processus sont liés au fait que peu de gens comprennent comment ils fonctionnent en détail. En conséquence, les processus doivent souvent être reconfigurés déjà pendant le fonctionnement pilote d'IdM. L'ampleur de l'altération du système IdM dépend du nombre de nuances non comptabilisées. Voici quelques points à surveiller:
- Types d'utilisateurs informatiques - par exemple, employé à temps plein / non employé. Ils travaillent souvent dans des processus commerciaux complètement différents.
- Participer aux processus . Il faut comprendre quels rôles sont impliqués dans les processus et où le système reçoit des données à leur sujet. Par exemple, si un leader est impliqué dans le processus d'approbation d'une candidature, les gestionnaires des employés doivent être établis dans le système du personnel ou entrer en quelque sorte dans IdM.
- Données supplémentaires pour les processus . Par exemple, si le processus nécessite des données sur la formation de l'employé, vous devez comprendre d'où IdM l'obtiendra. Il s'agit soit d'une intégration supplémentaire, soit d'un processus manuel.
- Voies de coordination . Ils peuvent être différents pour différents employés, selon l'autorité ou les conditions externes.
- Situations exceptionnelles . Il est important de prévoir le comportement du système dans les situations où la personne chargée de convenir de vacances ou de licenciement - comment agir et où obtenir les informations nécessaires.
- Alertes . Dans le cadre de processus automatisés, le système IdM envoie des notifications aux participants. La question est de savoir qui doit prendre quelles mesures et quelles informations.
- Formulaires de demande . Souvent, une entreprise doit adapter les formulaires de dépôt ou d'approbation des demandes, par exemple, pour afficher des informations supplémentaires pour la prise de décision.
Tous ces éléments peuvent avoir leurs propres caractéristiques dans chaque entreprise, et ils ne sont pas visibles sans une immersion détaillée. Parfois, même un simple élément du processus peut entraîner une modification notable du volume de travail.
Par exemple, s'il existe une règle dans le règlement selon laquelle une demande qui n'est pas acceptée dans les deux jours ouvrables doit être soumise à une escalade, cela pose toute une série de questions à IdM: où conserver un calendrier de production, qui le fera, est-il possible de l'intégrer à n'importe quel soit un système existant, etc. Par conséquent, le coût de l'adaptation d'un logiciel spécifique pour automatiser les processus de contrôle d'accès (et généralement sa nécessité) ne peut être estimé qu'après un dessin détaillé de ces processus. Sinon, il existe des risques que l'automatisation ne puisse pas être entièrement mise en œuvre.
Rapports
Contrairement aux attentes des utilisateurs, la pratique montre que les rapports sont rarement typiques. Étant donné les différences dans les détails des processus (par exemple, une simple différence dans les attributs d'une carte d'employé), des rapports légèrement différents sont requis à chaque fois. Leur préparation ne prend pas beaucoup de temps à condition que le journal d'audit du système IdM contienne toutes les données nécessaires. Et évaluer la disponibilité de ces données sans la forme de modèles de rapport ne fonctionnera pas de manière fiable. Par conséquent, il est très utile que l'évaluation ait les formes des rapports souhaités, sinon une reconfiguration ou un traitement de l'audit peut être nécessaire.
La documentation
Il s'agit d'un bloc de travail très insidieux du projet. Certaines entreprises ont des normes pour la documentation du projet - une liste de documents et d'exigences pour leur conception (par exemple, selon GOST). Certaines organisations abordent la documentation de manière moins formelle et sont satisfaites de la documentation disponible auprès du fournisseur.
Étant donné que les processus d'une organisation spécifique sont configurés dans le système IdM, la documentation interne du logiciel est rarement adaptée. Vous aurez vos propres catégories d'utilisateurs - employé, gestionnaire, propriétaire de la ressource - ils auront certains formulaires de demande, sections d'interface, rapports, notifications, et ils auront besoin d'instructions distinctes. Il sera également difficile de développer le système sans note explicative, de le mettre en service sans instructions de l'administrateur. Parfois, en plus de la documentation, du matériel de formation est nécessaire - présentations, vidéos. Si le nombre de personnes avec lesquelles tous ces documents doivent être convenus est suffisamment important, le développement de la documentation peut nécessiter plusieurs centaines de jours-personnes, bien qu'au stade initial ce bloc soit largement sous-estimé.
Conversion du système en environnement productif et opération pilote
Ces étapes sont plus ou moins déterminées. Les principales tâches qui peuvent en quelque sorte affecter la durée et le coût du travail sont le chargement et la liaison des données.
Dans le système IdM, il est nécessaire de remplir tous les répertoires nécessaires, d'affecter les responsables des rôles, de remplir le catalogue d'autorités et de configurer les rôles. Cela peut être fait en mode automatique, puis les données correspondantes seront nécessaires.
L'association des cartes d'employé aux comptes se fait aussi, pour la plupart, automatiquement, selon les règles spécifiées. Cependant, il reste toujours un certain pourcentage de comptes qui doivent être liés manuellement. Et parfois, ce n'est pas si facile de trouver leurs propriétaires.
L'opération pilote dans la plupart des entreprises a lieu en un mois et est presque toujours prévue avec précision en termes de coûts.
Résumé
Évaluer le coût total du projet de mise en œuvre de l'IdM nécessite de prendre en compte le coût des équipements, des licences, parfois le temps de l'équipe de projet, mais ces questions ne sont souvent pas aussi difficiles que d'évaluer la mise en œuvre du système en raison de la complexité de leur calcul et, en même temps, un impact significatif sur la réussite du projet.
J'ai essayé de collecter tous les principaux facteurs qui affectent de manière significative la durée et la complexité de la mise en œuvre de l'IdM, et j'espère que cela aidera les entreprises à prêter attention aux points clés de la préparation du projet, à formuler des exigences plus complètes, à obtenir une meilleure évaluation, afin de finalement réduire le projet risques de dépassements budgétaires et de ressources humaines.
Dans une semaine, j'essaierai de rassembler pour vous toutes les meilleures pratiques de justification de la gestion de projet pour la mise en œuvre d'IdM.