Dans les articles précédents, nous avons déjà discuté de ce qu'est l'IdM, comment comprendre si votre organisation a besoin d'un tel système, quelles tâches il résout et comment justifier le budget de mise en œuvre avant la gestion. Aujourd'hui, nous allons parler des étapes importantes que l'organisation elle-même doit franchir pour atteindre le bon niveau de maturité avant de mettre en œuvre le système IdM. Après tout, IdM est conçu pour automatiser les processus, et il est impossible d'automatiser le chaos.
Jusqu'à ce que l'entreprise atteigne la taille d'une grande entreprise et accumule une multitude de systèmes commerciaux différents, elle ne pense généralement pas au contrôle d'accès. Par conséquent, les processus d'obtention des droits et de contrôle des pouvoirs ne sont pas structurés et se prêtent mal à l'analyse. Les employés remplissent les demandes d'accès à leur guise, le processus d'approbation n'est pas non plus formalisé, et parfois il n'existe tout simplement pas. Il est impossible de déterminer rapidement quel accès a un employé, qui l'a coordonné et sur quelle base.
Étant donné que le processus d'automatisation des accès affecte deux aspects principaux - les données du personnel et les données des systèmes d'information avec lesquels nous devons être intégrés, nous considérerons les étapes nécessaires pour garantir que la mise en œuvre d'IdM se déroule sans heurts et ne provoque pas de rejet:
- Analyse des processus du personnel et optimisation du support de base de données pour les employés dans les systèmes du personnel.
- Analyse des données des utilisateurs et des droits, ainsi que mise à jour des méthodes de contrôle d'accès dans les systèmes cibles dont la connexion à IdM est prévue.
- Activités organisationnelles et implication du personnel dans le processus de préparation de la mise en œuvre de l'IdM.
Données RH
La source des données sur le personnel dans l'organisation peut être une ou plusieurs. Par exemple, une organisation peut avoir un réseau d'agences assez large et chaque agence peut utiliser sa propre base de personnel.
Tout d'abord, vous devez comprendre quelles données de base sur les employés sont stockées dans le système de gestion du personnel, quels événements sont enregistrés et évaluer leur exhaustivité et leur structure.
Il arrive souvent que tous les événements liés au personnel ne soient pas notés dans la source du personnel (et encore plus souvent, ils sont notés hors du temps et pas tout à fait correctement). Voici quelques exemples typiques:
- les vacances ne sont pas enregistrées, leurs catégories et conditions (régulières ou longues);
- l'emploi à temps partiel n'est pas enregistré: par exemple, pendant un long congé pour s'occuper d'un enfant, un employé peut simultanément travailler à temps partiel;
- le statut réel du candidat ou de l'employé a déjà changé (admission / mutation / licenciement) et la commande de cet événement est retardée;
- l'employé est muté à un nouveau poste à temps plein par licenciement, tandis que le système du personnel n'enregistre pas d'informations qu'il s'agit d'un licenciement technique.
Il convient également d'accorder une attention particulière à l'évaluation de la qualité des données, car les erreurs et les inexactitudes reçues d'une source fiable, qui sont des systèmes de comptabilité du personnel, peuvent être coûteuses à l'avenir et causer de nombreux problèmes lors de la mise en œuvre d'IdM. Par exemple, les agents des ressources humaines occupent souvent les postes d'employés dans le système du personnel sous un format différent: lettres majuscules et minuscules, abréviations, différents nombres d'espaces, etc. Par conséquent, le même poste peut être fixé dans le système du personnel dans les variantes suivantes:
- Cadre supérieur
- cadre supérieur
- cadre supérieur
- Art. manager ...
Souvent, vous devez faire face à des différences dans l'orthographe de votre nom:
- Shmelyova Natalia Gennadyevna,
- Shmeleva Nataliya Gennadievna ...
Pour une automatisation supplémentaire, un tel gâchis est inacceptable, surtout si ces attributs sont un signe clé d'identification, c'est-à-dire que les données sur l'employé et ses informations d'identification dans les systèmes sont comparées précisément par nom et prénom.
De plus, il ne faut pas oublier la présence possible en compagnie d'homonymes et d'homonymes complets. Si une organisation compte un millier d'employés, il peut y avoir peu de coïncidences, et si 50 000, cela peut devenir un obstacle critique au bon fonctionnement du système IdM.
En résumant tout ce qui précède, nous concluons: le format de saisie des données dans la base de personnel de l'organisation devrait être normalisé. Les paramètres d'entrée du nom complet, des positions et des unités doivent être clairement définis. La meilleure option est lorsque l'employé du personnel ne conduit pas les données manuellement, mais les sélectionne dans un répertoire prédéfini de la structure des départements et des postes à l'aide de la fonction «sélectionner» disponible dans la base du personnel.
Pour éviter d'autres erreurs de synchronisation et ne pas traiter la correction manuelle des écarts dans les rapports, la
façon la
plus préférée d'identifier les employés consiste à saisir un ID pour chaque employé de l'organisation. Un tel identifiant sera attribué à chaque nouvel employé et apparaîtra à la fois dans le système du personnel et dans les systèmes d'information de l'organisation comme attribut obligatoire du compte. Peu importe qu'il soit composé de chiffres ou de lettres - l'essentiel est qu'il soit unique pour chaque employé (par exemple, beaucoup utilisent le numéro personnel de l'employé). À l'avenir, l'introduction de cet attribut facilitera grandement la liaison des données sur l'employé dans la source du personnel avec ses comptes et ses informations d'identification dans les systèmes d'information.
Ainsi, toutes les étapes et mécanismes de comptabilité du personnel devront être analysés et mis en ordre. Il est possible que certains processus devront changer ou modifier. C'est un travail fastidieux et laborieux, mais il est nécessaire, sinon le manque de données claires et structurées sur les événements du personnel entraînera des erreurs dans leur traitement automatique. Dans le pire des cas, les processus non structurés ne peuvent pas du tout être automatisés.
Systèmes cibles
L'étape suivante consiste à déterminer combien de systèmes d'information nous voulons intégrer dans la structure IdM, quelles données sur les utilisateurs et leurs droits sont stockées dans ces systèmes et comment les gérer.
Dans de nombreuses organisations, on pense qu'ici nous installerons IdM, configurerons les connecteurs aux systèmes cibles, et avec la vague d'une baguette magique tout fonctionnera, sans aucun effort supplémentaire de notre part. Donc, hélas, cela ne se produit pas. Dans les entreprises, le paysage des systèmes d'information se développe et s'accroît progressivement. Chacun des systèmes peut avoir une approche différente pour accorder des droits d'accès, c'est-à-dire que différentes interfaces de contrôle d'accès sont configurées. Quelque part, le contrôle se fait via l'API (interface de programmation d'application), quelque part dans la base de données à l'aide de procédures stockées, quelque part les interfaces d'interaction peuvent être complètement absentes. Il convient de se préparer au fait que vous devrez revoir de nombreux processus existants pour gérer les comptes et les droits dans les systèmes de l'organisation: changer le format des données, affiner les interfaces d'interaction à l'avance et allouer des ressources pour ces travaux.
Modèle de rôle
Vous rencontrerez probablement le concept de modèle de rôle même au stade du choix d'un fournisseur de solutions IdM, car il s'agit de l'un des concepts clés dans le domaine de la gestion des droits d'accès. Dans ce modèle, l'accès aux données est fourni via un rôle. Un rôle est un ensemble d'accès qui sont minimalement nécessaires à un employé dans un certain poste pour effectuer ses tâches fonctionnelles.
Le contrôle d'accès basé sur les rôles présente un certain nombre d'avantages indéniables:
- attribution simple et efficace de l'égalité des droits à un grand nombre de salariés;
- changement d'accès opérationnel pour les employés avec le même ensemble de droits;
- suppression de la redondance des droits et délimitation des pouvoirs incompatibles pour les utilisateurs.
La matrice des rôles est d'abord construite séparément dans chacun des systèmes de l'organisation, puis mise à l'échelle pour l'ensemble du paysage informatique, où les rôles commerciaux globaux sont formés à partir des rôles de chaque système. Par exemple, le rôle commercial «comptable» comprendra plusieurs rôles distincts pour chacun des systèmes d'information utilisés dans le service comptable d'une entreprise.
Récemment, il est considéré comme «meilleure pratique» de créer un modèle de rôle même au stade du développement d'applications, de bases de données et de systèmes d'exploitation. Dans le même temps, les situations ne sont pas rares lorsque les rôles ne sont pas configurés dans le système ou qu'ils n'existent tout simplement pas. Dans ce cas, l'administrateur de ce système doit entrer les informations de compte dans plusieurs fichiers, bibliothèques et répertoires différents qui fournissent les autorisations nécessaires. L'utilisation de rôles prédéfinis vous permet d'accorder des privilèges pour effectuer toute une gamme d'opérations dans un système avec des données composites complexes.
En règle générale, les rôles dans le système d'information sont répartis pour les postes et les unités en fonction de la structure du personnel, mais peuvent également être créés pour certains processus opérationnels. Par exemple, dans une organisation financière, plusieurs employés du service d'établissement occupent le même poste - l'opérateur. Mais à l'intérieur du département, il y a aussi une distribution dans des processus séparés pour différents types d'opérations (externes ou internes, dans différentes devises, avec différents segments de l'organisation). Pour que chacun des domaines d'activité d'un service puisse donner accès au système d'information en fonction des spécificités requises, il est nécessaire d'inclure des droits dans des rôles fonctionnels distincts. Cela fournira un ensemble de pouvoirs minimum suffisant, sans compter les droits excédentaires, pour chacun des domaines d'activité.
De plus, pour les grands systèmes avec des centaines de rôles, des milliers d'utilisateurs et des millions d'autorisations, il est recommandé d'utiliser une hiérarchie de rôles et l'héritage de privilèges. Par exemple, le rôle parent, l'administrateur, héritera des privilèges des rôles enfants: utilisateur et lecteur, car l'administrateur peut faire la même chose que l'utilisateur et le lecteur, en plus il aura des droits d'administrateur supplémentaires. À l'aide d'une hiérarchie, il n'est pas nécessaire de spécifier à nouveau les mêmes droits dans plusieurs rôles d'un module ou d'un système.
À la première étape, vous pouvez créer des rôles dans les systèmes où le nombre possible de combinaisons de droits n'est pas très important et, par conséquent, il est facile de gérer un petit nombre de rôles. Il peut s'agir de droits typiques requis par tous les employés de l'entreprise sur des systèmes accessibles au public tels que Active Directory (AD), les systèmes de messagerie, Service Manager, etc. Ensuite, les matrices de rôles créées pour les systèmes d'information peuvent être incluses dans le modèle de rôle général, en les combinant en rôles métier.
En utilisant cette approche, à l'avenir, lors de la mise en œuvre du système IdM, il sera facile d'automatiser l'ensemble du processus d'octroi des droits d'accès en fonction des rôles créés de la première étape.
NB N'essayez pas d'inclure immédiatement autant de systèmes que possible dans l'intégration. Au premier stade, les systèmes dont l'architecture et la structure de gestion des droits d'accès sont plus complexes sont mieux connectés à IdM en mode semi-automatique. Autrement dit, en fonction des événements du personnel, pour réaliser uniquement la génération automatique d'une demande d'accès, qui sera reçue par l'administrateur, et il configurera les droits manuellement.
Après avoir terminé avec succès la première étape, vous pouvez étendre les fonctionnalités du système à de nouveaux processus métier avancés, automatiser et évoluer complètement avec l'ajout de systèmes d'information supplémentaires.
En d'autres termes, afin de préparer la mise en œuvre de l'IdM, il est nécessaire d'évaluer l'état de préparation des systèmes d'information pour le nouveau processus et d'avancer pour développer des interfaces d'interaction externes pour la gestion des comptes d'utilisateurs et des droits des utilisateurs, si ces interfaces ne sont pas disponibles dans le système. La question de la création progressive de rôles dans les systèmes d'information pour le contrôle d'accès intégré devrait également être abordée.Activités organisationnelles
N'ignorez pas les problèmes d'organisation. Dans certains cas, ils peuvent jouer un rôle décisif, car le résultat de l'ensemble du projet dépend souvent d'une interaction efficace entre les services. Pour ce faire, nous recommandons généralement de créer une équipe de participants au processus dans l'organisation, qui comprendra toutes les unités impliquées. Comme il s'agit d'un fardeau supplémentaire pour les personnes, essayez d'expliquer à l'avance à tous les participants au processus futur leur rôle et leur importance dans la structure de l'interaction. Si vous «vendez» l'idée de l'IdM à ce stade à vos collègues, vous pouvez éviter de nombreuses difficultés à l'avenir.
Souvent, la sécurité de l'information ou les services informatiques sont les «propriétaires» d'un projet de mise en œuvre IdM dans une entreprise, et les opinions des unités commerciales ne sont pas prises en compte. C’est une grosse erreur, car seuls ils savent comment et dans quels processus d’affaires chaque ressource est utilisée, qui doit y avoir accès et qui ne l’a pas. Par conséquent, au stade de la préparation, il est important d'indiquer que c'est le propriétaire de l'entreprise qui est responsable du modèle fonctionnel, sur la base duquel les ensembles de droits d'utilisateur (rôles) dans le système d'information sont développés, et aussi que ces rôles sont tenus à jour. Un modèle de rôle n'est pas une matrice statique qui a été construite une fois et vous pouvez vous calmer là-dessus. Il s'agit d'un «organisme vivant» qui doit constamment évoluer, se mettre à jour et se développer, à la suite de changements dans la structure de l'organisation et la fonctionnalité des employés. Sinon, soit les problèmes liés aux retards dans la fourniture de l'accès commenceront, soit il y aura des risques pour la sécurité des informations associés à des droits d'accès excessifs, ce qui est encore pire.
Comme vous le savez, «il y a sept nounous d'un enfant sans œil», par conséquent, une entreprise devrait développer une méthodologie qui décrit l'architecture du modèle de rôle, l'interaction et la responsabilité des participants au processus spécifiques pour la maintenir à jour. Si une entreprise a de nombreux domaines d'activité et, par conséquent, de nombreuses divisions et départements, alors pour chaque domaine (par exemple, prêts, opérations, services à distance, conformité et autres), des conservateurs distincts doivent être nommés dans le cadre du processus de contrôle d'accès basé sur les rôles. Grâce à eux, il sera possible de recevoir rapidement des informations sur les changements dans la structure de l'unité et les droits d'accès requis pour chaque rôle.
Assurez-vous de mobiliser le soutien de la direction de l’organisation pour résoudre les situations de conflit entre les départements - participants au processus. Et les conflits lors de l'introduction de tout nouveau processus sont inévitables, selon notre expérience. Par conséquent, nous avons besoin d'un arbitre qui résoudra les éventuels conflits d'intérêts, afin de ne pas perdre de temps en raison des malentendus et du sabotage de quelqu'un d'autre.
NB Un bon début de sensibilisation est la formation du personnel. Une étude détaillée du fonctionnement du futur processus, le rôle de chaque participant permettra de minimiser les difficultés de passage à une nouvelle solution.
Liste de contrôle
Pour résumer, nous résumons les principales étapes à suivre par l'organisation qui planifie la mise en œuvre de l'IdM:
- nettoyer les données du personnel;
- saisir un paramètre d'identification unique pour chaque employé;
- évaluer l'état de préparation des systèmes d'information pour la mise en œuvre de l'IdM;
- développer des interfaces d'interaction avec les systèmes d'information pour le contrôle d'accès, s'ils sont absents, et allouer des ressources pour ces travaux;
- développer et construire un modèle;
- créer un processus de gestion des modèles de rôle et y inclure des conservateurs de chaque secteur d'activité;
- sélectionner plusieurs systèmes pour la connexion initiale à IdM;
- créer une équipe de projet efficace;
- Obtenir le soutien de la direction de l'entreprise;
- former le personnel.
Le processus de préparation peut être difficile. Par conséquent, si possible, faites appel à des consultants.
La mise en œuvre d'une solution IdM n'est pas une étape facile et cruciale, et pour sa mise en œuvre réussie, les efforts de chaque partie individuellement - employés des unités commerciales, services informatiques et de sécurité de l'information, et l'interaction de l'ensemble de l'équipe dans son ensemble sont importants. Mais les efforts en valent la peine: après l'introduction de l'IdM dans l'entreprise, le nombre d'incidents liés à des pouvoirs excessifs et à des droits non autorisés sur les systèmes d'information diminue; les temps d'arrêt des employés disparaissent en raison du manque / de la longue attente des droits nécessaires; grâce à l'automatisation, les coûts de main-d'œuvre sont réduits et la productivité des services informatiques et de sécurité de l'information est augmentée.