我们关于IdM的出版物的下一部分将专门涉及金融。 即,两个最困难和痛苦的主题-对IdM实施项目的评估及其在领导层之前的论据。
IdM项目的总成本是设备,软件许可,承包商和项目团队的工作之和。 根据经验,主要困难与评估系统实施成本有关,因此让我们从这个问题开始。
评估困难通常是由于对系统要求的详细阐述不足而引起的。 由于IdM技术的特性,客观上很难在不涉及承包商的情况下以适当的水平完成此任务。 但是说服管理层为项目实施
做准备的资金需求更加困难,因此公司通常只接受风险,并希望不会实现。
风险非常严重。 特别是,它们的事实在于,承包商将夸大工作成本以降低其自身的项目风险,然后可能根本不会同意该项目的预算。 反之亦然-将会发布并保护乐观的评估,但是在实施过程中,很明显,无法解决指定预算的分配任务。
我们将尝试帮助组织准备和评估IdM实施项目:我们将更详细地研究实施工作的主要内容以及显着影响其复杂性的因素。
调查表
通常,在第一阶段,收集并分析需求,设计技术解决方案-简而言之,一切都与其他信息系统的实施项目相同。
它包括与项目主要利益相关者的代表进行访谈,收集有关访问控制过程,项目内信息系统的数据,有关如何在其中管理用户以及如何与之集成的数据。
此阶段的成本取决于需要接受采访的员工数量以及需要收集数据的信息系统。 它的复杂性或多或少是可以预测的,平均持续时间为1-2个月。
信息系统连接
信息系统的连接是主要的技术工作之一。 它是在测试环境中执行的,对于某些公司而言,提供该测试环境可能会成为绊脚石。 可能没有测试环境;它们下面可能没有服务器,动手等。 通常,这仅影响项目时间表,但也可能影响预算,例如在缺乏设备的情况下。
为了将信息系统与IdM集成在一起,通常需要通过提供技术交互接口来对其进行配置。 如果信息系统由第三方组织支持,则可能需要额外的费用。 一些供应商(例如Diasoft)提供所需的技术接口,但需要额外付费。 即使客户自己维护系统,他也可能没有足够的时间或自己的专家来提供必要的技术接口。 这会影响项目的时间和预算。
信息系统使用连接器连接到IdM。 该供应商可能声称它已经为您所有的信息系统提供了现成的连接器,但实际上,它并不是那么简单,而且正如他们所说,存在细微差别。
提供标准化交互接口(例如,AD)的信息系统实际上将现成的连接器无法工作的风险降低到了零。 但是,有许多信息系统(例如1C和SAP)使您能够提供各种与IdM交互的选项:数据库中的上载,Web服务和演示。 对于您来说,连接器制造商可能没有的某些特定选项可能更可取,并且需要进一步开发。 这又是时间和金钱。
可能还有很多其他功能会大大影响项目的时间和成本。
该接口可以标准化,但可以通过集成总线提供,这也可能需要连接器升级。 如果供应商已为您调整了其信息系统,则标准连接器可能无法工作-再次需要确定预算和修改时间。
将信息系统连接到IdM的重要作用是信息系统访问控制的技术细节。 通常它们在初始阶段是不可见的,但最终导致工作量增加。 例如,当为了向新用户提供对一个信息系统的访问权限时,他需要在另外两个用户中注册。
有时,IdM需要执行的其他或内置操作可能会失去重点。 例如,如果您不仅要为Exchange中的新员工创建新邮箱,而且要根据某些规则,为他选择一个存储。 在一个项目中,我们遇到了一个信息系统,从技术上讲,不可能为用户分配多个角色。 当这变得很清楚时,我不得不完全重新设计其中的访问控制过程,以考虑请求额外特权的过程,该特权可能很多。 可能会出现很多这样的琐事,这些都是额外的工作,并不是每个IdM系统都可以支持它们。
有了这些功能,将信息系统连接到IdM的复杂性可能会因公司的基础架构而有很大不同,并且持续时间可能从两天到两个月。 结果,在评估阶段缺少详细信息会大大降低其可靠性,并增加项目风险。
业务流程
一项工作的重要组成部分(也可能会严重影响项目成本)是建立用于提交和批准访问请求的流程。 如果所选软件支持您的进程,则设置它们并不困难。 但是,如果不完全了解这些流程,则只能非常粗略地估算出有多少软件支持它们。 因此,难以理解是否需要精炼以及在什么程度上精炼。
过程自动化的许多问题与很少有人了解其详细工作原理有关。 结果,在IdM的试运行期间,通常必须已经重新配置流程。 IdM系统的变更规模取决于未说明细微差别的数量。 这里有一些注意事项:
- IT用户的类型 -例如,全职/编外员工。 通常,它们在完全不同的业务流程中工作。
- 处理参与者 。 应该理解过程中涉及什么角色以及系统在哪里接收有关它们的数据。 例如,如果领导者参与了批准申请的过程,则必须在人事系统中建立员工经理,或者以某种方式进入IdM。
- 流程的附加数据 。 例如,如果该流程需要有关员工培训的数据,则需要了解IdM将从何处获取数据。 这是附加集成或手动过程。
- 协调途径 。 对于不同的员工,他们可能会有所不同,具体取决于权限或任何外部条件。
- 特殊情况 。 在负责同意休假的人或被解雇的情况下,提供系统的行为非常重要-如何行动以及从何处获取必要的信息。
- 警报 。 作为自动化流程的一部分,IdM系统向参与者发送通知。 问题是谁应该采取什么步骤和什么信息。
- 申请表格 。 公司通常需要调整申请的备案或批准表格,例如显示其他信息以供决策。
所有这些元素在每个公司中都有自己的特征,并且如果没有详细的说明,它们是不可见的。 有时,即使是流程中的一个简单元素也可能导致工作量的显着变化。
例如,如果法规中有一个规则,必须上报两个工作日内未同意的申请,则这会给IdM带来一系列问题:在哪里保存生产日历,由谁来做,是否可以与任何产品集成?现有系统等 因此,只有在详细绘制了这些过程之后,才能估算使特定软件适应自动化访问控制过程的成本(以及通常的必要性)。 否则,存在无法完全实现自动化的风险。
报告书
与用户期望相反,实践表明报告很少是典型的。 鉴于流程细节上的差异(例如,员工卡属性的简单差异),每次都需要略有不同的报告。 仅在IdM系统审核日志包含所有必要数据的情况下,他们的准备工作不会花费很多时间。 而且,如果不使用报告模板的形式来评估此数据的可用性,将无法可靠地工作。 因此,评估具有所需报告的形式非常有用,否则可能需要重新配置或处理审核。
该文件
这是项目的一个非常隐蔽的工作。 一些公司具有项目文档的标准-文件列表及其设计要求(例如,根据GOST)。 一些组织不太正式地处理文档,并且对供应商提供的文档感到满意。
由于特定组织的流程是在IdM系统中配置的,因此软件内部文档很少适用。 您将拥有自己的用户类别-员工,经理,资源所有者-他们将具有某些申请表,界面部分,报告,通知,并且需要单独的说明。 如果没有解释性说明,则开发系统也将很困难,如果没有管理员指导,则很难进行调试。 有时,除了文档外,还需要培训材料-演示文稿,视频。 如果需要与所有这些材料达成共识的人数足够多,则文档的开发可能需要数百个人日,尽管在最初阶段,这个步骤被大大低估了。
将系统转换为生产环境并进行试运行
这些阶段或多或少是确定的。 可能以某种方式影响工作时间和成本的主要任务是加载和链接数据。
在IdM系统中,需要填写所有必要的目录,分配负责角色的目录,填写权限目录并配置角色。 这可以在自动模式下完成,然后需要相应的数据。
在大多数情况下,也会根据指定的规则自动将员工卡与帐户关联。 但是,总是有一定比例的帐户需要手动链接。 有时候,找到他们的主人并不容易。
大多数公司的试运行在一个月之内进行,并且几乎总是在成本方面进行准确的预测。
总结
评估IdM实施项目的全部成本需要考虑设备,许可证的成本,有时还要考虑项目团队的时间,但是由于这些问题的计算复杂性,同时对项目的成功产生重大影响,因此这些问题通常不像评估系统的实施那样困难。
我试图收集所有会严重影响IdM实施的持续时间和复杂性的主要因素,并希望这将有助于公司在项目准备过程中关注重点,制定更完整的要求,获得更好的评估,从而最终减少项目数量预算超支和人力资源的风险。
在一周内,我将尽力为您收集项目管理中实施IdM的所有最佳理由。