在先前的文章中,我们已经讨论了IdM是什么,如何理解您的组织是否需要这样的系统,它要解决什么任务以及如何向管理层证明实施预算的合理性。 今天,我们将讨论组织本身在实现IdM系统之前必须经过的重要步骤,以达到正确的成熟度。 毕竟,IdM被设计为使流程自动化,并且不可能使混乱自动化。
在公司发展到大型企业规模并积累许多不同的业务系统之前,它通常不会考虑访问控制。 因此,获得权利和其中的权力控制的过程并不结构化,也很难接受分析。 员工可以按自己的意愿填写访问权限的申请,审批过程也没有形式化,有时甚至根本不存在。 不可能快速地弄清员工拥有什么访问权限,由谁进行协调以及以什么为基础。
鉴于访问自动化过程会影响两个主要方面-人员数据和要集成的信息系统数据,我们将考虑确保IdM实施顺利进行且不会引起拒绝的必要步骤:
- 分析人事流程并优化人事系统中员工的数据库支持。
- 分析用户和权限数据,以及更新计划连接到IdM的目标系统中的访问控制方法。
- 组织活动和员工参与准备实施IdM的过程。
人力资源数据
组织中人员数据的来源可能是一个,也可能是多个。 例如,一个组织可以拥有相当广泛的分支机构网络,并且每个分支机构都可以使用自己的人员基础。
首先,您需要了解在人员管理系统中存储了哪些有关员工的基本数据,记录了哪些事件,并评估了它们的完整性和结构。
经常发生的是,并非所有人员事件都在人员源中被记录(甚至更经常地,它们是在不合时宜且不太正确的情况下被记录)。 以下是一些典型示例:
- 不记录假期,假期的类别和期限(常规或长期);
- 不记录兼职工作:例如,在长期休假照顾孩子时,雇员可以同时兼职;
- 候选人或雇员的实际状态已经改变(录取/调动/解雇),并且此活动的顺序被延迟;
- 通过解雇将员工转移到新的全职职位,而人事系统不记录这是技术解雇的信息。
值得特别注意的是评估数据的质量,因为从可信赖资源(即HR系统)接收到的任何错误和不准确性在将来可能会很昂贵,并在实施IdM时引起很多问题。 例如,人力资源官经常以不同的格式填充员工在人事系统中的职位:大写和小写字母,缩写,不同数量的空格等。 因此,可以通过以下变型在人事系统中固定相同的位置:
通常,您必须处理姓名拼写上的差异:
- Shmelyova Natalia Gennadyevna,
- Shmeleva Nataliya Gennadievna ...
对于进一步的自动化,这样的混乱是不可接受的,特别是如果这些属性是识别的关键标志,即,通过名称和姓氏精确比较有关员工及其系统中的凭据的数据。
此外,我们不应忘记同名和全名同名的公司。 如果一个组织有一千名员工,那么这样的巧合可能很少,而如果有五万,那么这可能成为阻碍IdM系统正确运行的关键障碍。
总结以上所有内容,我们得出结论:将数据输入组织人员基础的格式应标准化。 应明确定义全名,位置和单位的输入参数。 最好的选择是人事工作者不手动输入数据,而是使用人事库中可用的“选择”功能从先前创建的部门和职位结构目录中选择数据。
为了避免同步中的进一步错误,并且不处理报表中的差异的手动更正,
标识员工的最佳方法是为组织的每个员工
输入ID 。 这样的标识符将分配给每个新雇员,并将作为帐户的强制属性出现在人事系统和组织的信息系统中。 它是由数字还是字母组成都没关系-主要是它对于每个员工都是唯一的(例如,许多人使用员工的人员编号)。 将来,此属性的引入将极大地促进人员源中有关该雇员的数据与他在信息系统中的帐户和凭证的链接。
因此,将需要分析和整理人员核算的所有步骤和机制。 有些过程可能必须更改或修改。 这是一项繁琐而艰苦的工作,但是这是必要的,否则缺少有关人员事件的清晰且结构化的数据将导致其自动处理中的错误。 在最坏的情况下,完全无法自动化非结构化流程。
目标系统
下一步是弄清楚我们要整合到IdM结构中的信息系统数量,有关用户及其权利的哪些数据存储在这些系统中以及如何管理它们。
在许多组织中,我们相信在这里我们将安装IdM,配置与目标系统的连接器,并且随着魔杖浪潮的出现,一切都会正常进行,而无需我们付出额外的努力。 所以,a,这不会发生。 在公司中,信息系统的格局正在不断发展和增长。 每个系统可以使用不同的方法来授予访问权限,即,配置了不同的访问控制接口。 在某个地方,通过API(应用程序编程接口)进行控制,在某个地方使用存储过程通过数据库进行控制,而在某个地方则可能完全不存在交互接口。 值得为以下事实做好准备:您将必须审查许多现有的组织系统中的帐户和权限管理流程:更改数据格式,预先优化交互界面并为这些工作分配资源。
榜样
即使在选择IdM解决方案提供商的阶段,您也可能会遇到角色模型的概念,因为这是访问权限管理领域中的关键概念之一。 在此模型中,通过角色提供数据访问。 角色是一组访问权限,这些访问权限对于处于某个职位的员工执行其职能职责而言是最低限度必需的。
基于角色的访问控制具有许多不可否认的优势:
- 简单有效地将平等权利分配给大量员工;
- 具有相同权利集的员工的访问权限的操作更改;
- 消除用户的权利冗余和不兼容权力的划界。
角色矩阵首先在组织的每个系统中分别构建,然后扩展到整个IT领域,在此领域中,全球业务角色由每个系统的角色组成。 例如,业务角色“会计”将为企业会计部门中使用的每个信息系统包括几个单独的角色。
最近,即使在开发应用程序,数据库和操作系统的阶段,创建角色模型也被认为是“最佳实践”。 同时,在系统中未配置角色或根本不存在角色的情况并不少见。 在这种情况下,该系统的管理员必须在提供必要权限的几个不同文件,库和目录中输入帐户信息。 通过使用预定义角色,您可以授予特权,以在具有复杂复合数据的系统中执行全部操作。
通常,信息系统中的角色是根据人员结构分配给职位和部门的,但也可以为某些业务流程创建。 例如,在一个金融组织中,结算部门的几名员工担任同一职位-操作员。 但是在部门内部,也可以将不同的操作分布到不同的流程中(外部或内部,以不同的币种,在组织的不同部门使用)。 为了使一个部门的每个业务领域都能根据所需的细节提供对信息系统的访问权限,有必要在单独的职能角色中包括权限。 这将为每个活动领域提供最低限度的足够权力集,不包括额外权利。
此外,对于具有数百个角色,数千个用户和数百万个权限的大型系统,优良作法是使用角色层次结构和特权继承。 例如,父角色管理员将继承子角色的特权:用户和读取者,因为管理员可以执行与用户和读取者相同的操作,另外它还具有其他管理员权限。 使用层次结构,无需在一个模块或系统的多个角色中重新指定相同的权限。
在第一阶段,您可以在可能的权限组合数量不是非常大的系统中创建角色,因此,易于管理少量角色。 在公共可用系统(例如Active Directory(AD),邮件系统,服务管理器等)中,这些可能是所有公司员工所要求的典型权利。 然后,可以将已创建的信息系统角色矩阵包含在常规角色模型中,并将其组合为业务角色。
使用这种方法,将来在实施IdM系统时,将很容易根据第一阶段创建的角色来自动化授予访问权限的整个过程。
注意:请勿尝试立即在集成中包含尽可能多的系统。 在第一阶段,具有更复杂的体系结构和访问权限管理结构的系统最好以半自动模式连接到IdM。 即,基于人员事件,仅实现管理员自动接收的访问应用程序的自动生成,管理员将手动配置权限。
成功完成第一阶段后,您可以将系统的功能扩展到新的高级业务流程,并通过添加其他信息系统来完成自动化和扩展。
换句话说,为了为IdM的实施做准备,有必要评估信息系统对新流程的准备情况,如果系统中不存在这样的接口,则有必要开发用于管理用户帐户和用户权限的外部交互接口。 还应该解决在信息系统中为集成访问控制分阶段创建角色的问题。组织活动
不要忽略组织问题。 在某些情况下,它们可以起决定性作用,因为整个项目的结果通常取决于部门之间的有效交互。 为此,我们通常建议在组织中创建一个流程参与者团队,其中将包括所有涉及的单位。 由于这是给人们带来的额外负担,请尝试在将来的过程中向所有参与者提前说明他们在交互结构中的作用和重要性。 如果您在此阶段将IdM的想法“出售”给您的同事,则可以避免将来遇到很多困难。
通常,信息安全部门或IT部门是公司中IdM实施项目的“所有者”,而没有考虑业务部门的意见。 这是一个很大的错误,因为只有他们知道每种资源的使用方式和处理流程,需要向谁授予访问权限,而谁没有使用权限。 因此,在准备阶段,重要的是要指出负责功能模型的是企业所有者,在此基础上开发信息系统中的用户权限集(角色),并确保这些角色保持最新状态。 榜样不是已经建立一次的静态矩阵,您可以对此放松一下。 这是一个“生命有机体”,必须随着组织结构和员工功能的变化而不断变化,更新和发展。 否则,要么将开始与提供访问延迟相关的问题,要么将存在与过度访问权限相关的信息安全风险,甚至更糟。
如您所知,“有七个保姆没有眼睛”,因此,公司应该开发一种方法来描述角色模型架构,特定流程参与者的交互作用和责任,以使其保持最新状态。 如果公司有许多业务活动领域,并因此有许多部门和部门,则对于每个领域(例如贷款,运营,远程服务,合规性等),必须指定单独的策展人作为基于角色的访问控制过程的一部分。 通过它们,可以快速接收有关单元结构变化和每个角色所需访问权限的信息。
确保争取组织领导的支持,以解决部门之间(流程参与者)之间的冲突情况。 相信我们的经验,在引入任何新流程时发生冲突是不可避免的。 因此,我们需要一个能够解决可能的利益冲突的仲裁人,以免因他人的误解和破坏而浪费时间。
注意 :提高认识的一个好的起点是员工培训。 对未来流程的功能进行详细研究,每个参与者在其中的作用将最大程度地降低切换到新解决方案的难度。
检查清单
总而言之,我们总结了计划实施IdM的组织应采取的主要步骤:
- 清理人员数据;
- 输入每位员工的唯一标识参数;
- 评估信息系统为实施IdM的准备情况;
- 开发与信息系统交互的接口(如果没有),以进行访问控制,并为这些工作分配资源;
- 发展和建立榜样;
- 建立角色模型管理流程,并在其中包括来自每个业务部门的策展人;
- 选择多个系统以初始连接到IdM;
- 建立有效的项目团队;
- 争取公司管理层的支持;
- 培训员工。
准备过程可能很困难,因此,可能的话,需要顾问的帮助。
实施IdM解决方案并非容易且至关重要的步骤,对于成功实施IdM解决方案,双方(包括业务部门员工,IT和信息安全服务部门的员工)的共同努力以及整个团队的整体互动都是至关重要的。 但是,付出的努力是值得的:在公司引入IdM之后,与信息系统中过度权力和未经授权的权利有关的事件数量减少了; 员工因缺少/长时间等待必要的权利而导致的停机时间消失了; 由于自动化,降低了人工成本,提高了IT和信息安全服务的生产率。