Zarządzanie użytkownikami i ich kontami – szczególnie w dużych organizacjach lub tam, gdzie jest duża rotacja pracowników – jest zadaniem uciążliwym i czasochłonnym, a odpowiedzialność za udzielenie dostępu tylko do ściśle określonych zasobów – duża.
Coraz częściej firmy decydują się więc na wykorzystanie systemów zarządzania tożsamością. Zwłaszcza że możliwości systemów IDM (identity management) są ogromne: od mechanizmów resetowania hasła i zakładania użytkowników, aż po realizację bardziej zaawansowanych zadań związanych z realizacją procesów biznesowych, jak np. automatycznym zamawianiem sprzętu komputerowego lub telefonów, a nawet rezerwacją bądź zmianą miejsca postojowego na firmowym parkingu.
Dzięki integracji tych narzędzi z wieloma innymi rozwiązaniami ich możliwości są niemal nieograniczone. Jednak każda róża ma również kolce, a w tym przypadku są nimi złożoność rozwiązań i niemałe koszty ich wdrożenia. Wdrożenie aplikacji do zarządzania tożsamością niesie za sobą szereg konsekwencji organizacyjnych i samo podpięcie IDM i uruchomienie w korporacyjnej rzeczywistości nie wystarczy.
Porządek, porządek i jeszcze raz porządek
Pierwszym i najważniejszym etapem wdrożenia narzędzi IDM jest planowanie. Ważne, aby dobrze zdefiniować strukturę organizacyjną przedsiębiorstwa, ustalić obowiązki i zadania na poszczególnych stanowiskach oraz przełożyć to wszystko na odpowiednie role biznesowe i przywileje w systemie zarządzania tożsamością.
Jest to praca żmudna i czasochłonna, zwłaszcza gdy w przedsiębiorstwie jest zatrudnionych tysiące pracowników, którzy korzystają z setek systemów i rozwiązań informatycznych. To jednak niezbędny etap, warunkujący sukces projektu.
Dlatego wdrożenie takiego systemu często realizuje się metodą małych kroków. Na początku buduje się szkielet sytemu, czyli definiuje politykę i zasady zarządzania użytkownikami. Następnie wybiera się kilka najważniejszych systemów i podstawowe funkcjonalności, takie jak np. tworzenie, usuwanie i blokowanie użytkowników. Dopiero później dokłada się kolejne, bardziej złożone systemy i implementuje dalsze procesy biznesowe. Parafrazując: dokładamy kolejne plastry miodu do rozwijającego się ula.
Także firma SAP AG przygotowała dla swoich klientów rozwiązanie do zarządzania tożsamością – SAP IDM (Identity Management). Warto podkreślić, że w przypadku gdy współpracuje tylko z systemami z logo SAP, narzędzie nie wymaga opłat licencyjnych. W realizacji strategii małych kroków to znakomite rozwiązanie – pozwala wdrożyć system bez dodatkowych kosztów licencyjnych i niejako stopniowo przygotowywać przedsiębiorstwo do dalszego rozwoju w tym kierunku.
Nowy pracownik – jakie uprawnienia?
Wróćmy jeszcze do analizy biznesowej i przyjrzyjmy się, jak SAP IDM może pomóc w prowadzeniu biznesu. Jednym z pierwszych celów wdrożenia jest zamodelowanie cyklu życia danego pracownika w przedsiębiorstwie i wsparcie na wszystkich etapach, począwszy od zatrudnienia, poprzez zmiany stanowiska, aż po zakończenie pracy. Aby zamodelować taki scenariusz, należy dobrze zdefiniować strukturę organizacyjną oraz role biznesowe. Rola powinna odpowiadać danemu stanowisku w firmie, a do roli przypisane będą dostępy do systemów informatycznych.
Nowa osoba, w chwili wprowadzenia jej danych do systemu SAP HR, zostaje również przypisana do odpowiedniego stanowiska, np. specjalista ds. jakości. W tym momencie system automatycznie założy użytkownikowi konta z odpowiednimi uprawnieniami we wszystkich systemach, które są mu potrzebne do wykonywania jego obowiązków.
Najlepsze praktyki i doświadczeni eksperci od bezpieczeństwa mówią, że użytkownik powinien mieć jak najmniejsze przywileje, które jednak wystarczą do wykonywania wszystkich powierzonych mu zadań. Połączenie systemu SAP HR z IDM daje tę elastyczność, że nowa osoba może już pierwszego dnia wykonywać swoje obowiązki.
W dalszych etapach proces zatrudnienia nowego pracownika można rozwinąć w IDM, dodając automatyczne tworzenie zapotrzebowania np. na sprzęt komputerowy poprzez otworzenie nowego zgłoszenia w systemie helpdeskowym, a nawet wysłać zamówienie do dostawcy zewnętrznego. To znacznie redukuje czas, który administratorzy systemów muszą poświęcić na żmudną i mało ambitną pracę, jaką jest tworzenie i weryfikowanie kont użytkowników.
W praktyce wielu przedsiębiorstw przełożony – sam lub na wniosek nowo zatrudnionego pracownika – składa zapotrzebowanie na potrzebny sprzęt lub licencje. Nie zawsze jest to dla niego działanie priorytetowe i nierzadko się zdarza, że pierwsze dni w nowej pracy spędzane są bezproduktywnie. SAP IDM pozwala uprościć procedury dotyczące składania i akceptacji wszelkiego rodzaju wniosków dotyczących nowych pracowników, o których często nie pamiętają menedżerowie i kierownicy.
Integracja z SAP NetWeaver Portal i workflow
Siłą systemu SAP Identity Management jest możliwość pełnej integracji z istniejącymi w przedsiębiorstwie systemami SAP. Pozwala to na szybkie uruchomienie rozwiązania, zwłaszcza jeśli w firmie jest wykorzystywany SAP NetWeaver Portal. Interfejs użytkownika IDM można scalić z portalem SAP.
Wówczas użytkownicy oraz administratorzy mają dostęp z jednego miejsca zarówno do funkcji IDM, poczty firmowej, jak i innych elementów znajdujących się na portalu SAP.
Dla użytkownika dostęp do zakładek IDM jest o tyle istotny, że daje możliwość wnioskowania o dalsze uprawnienia i dostępy. Użytkownik tworzy nowy wniosek, w którym opisuje, jakie uprawnienia są mu potrzebne, i wybiera rolę, jakiej potrzebuje.
Jeśli użytkownik potrafi dokładnie zdefiniować, czego potrzebuje, wówczas cały proces może przebiegać bez udziału wsparcia IT. To zależy jednak od tego, jak zostanie zdefiniowany workflow akceptacji takiego zgłoszenia. Ścieżka akceptacyjna może być wielopoziomowa i może obejmować kilka osób.
W przypadku gdy użytkownik wybrał odpowiednią rolę, informacja ta trafi bezpośrednio do jego przełożonego, który może ją zaakceptować bądź odrzucić. Po akceptacji użytkownikowi automatycznie są nadawane uprawnienia, bez udziału administratora.
IDM na urlopie
SAP IDM może być też wykorzystany do obsługi uprawnień pracowników na urlopach i zwolnieniach lekarskich. System umożliwia czasowe nadawanie i odbieranie uprawnień. Ustalane są ramy czasowe, od kiedy do kiedy dane uprawnienia mają obowiązywać bądź do kiedy użytkownik ma mieć dostęp albo go nie mieć. Można także na czas nieobecności pracownika przekazać jego obowiązki – wraz z uprawnieniami – innemu.
To istotne ze względów bezpieczeństwa, ale także w kontekście spełniania wymogów prawnych. Zdarza się, że podczas kontroli urzędnicy z ZUS czy inspekcji pracy sprawdzają logi systemowe – czy osoba będąca na „chorobowym” lub urlopie nie wykonywała w tym czasie zadań służbowych. Aby ustrzec się przed konsekwencjami takich działań, można okresowo zabrać użytkownikowi możliwość logowania się.
Zarządzanie ryzykiem
Kwestia uprawnień i dostępów do różnych obszarów informacji biznesowych przypisanych do danych stanowisk wiąże się z ryzykiem uzyskania danych przez niepowołane osoby. Wyobraźmy sobie sytuację gdy bardzo doświadczony, długoletni pracownik rozpoczyna urlop, a jego obowiązki przejmuje osoba o znacznie mniejszych kwalifikacjach.
W takim wypadku ryzyko, że zastępca nie wywiąże się z powierzonych zadań, znacznie rośnie. By zarządzać ryzykiem i dążyć do jego minimalizacji, SAP IDM może współpracować z narzędziem do zarządzania ładem korporacyjnym SAP GRC.
SAP GRC nie jest integralną częścią IDM, to osobne narzędzie, wymagające wdrożenia i integracji. Jednak w dużych przedsiębiorstwach świadomie zarządzających ryzykiem jest ono wykorzystywane, a wówczas integracja z SAP IDM może być bardzo pomocna w zarządzaniu ryzykiem.
Gdy w IDM są nadawane są danej osobie uprawnienia, dane o tym są wysyłane do SAP GRC, gdzie odbywa się analiza ryzyka. Jeśli występuje zagrożenie, odpowiednie osoby są powiadamiane.
Z systemami non-SAP
Pejzaż systemów i rozwiązań informatycznych w dużych firmach jest z reguły bardzo rozbudowany. Często centralnym miejscem jest domena, w której znajdują się wszyscy użytkownicy. Wiele aplikacji korzysta również np. z LDAP-u (Lightweight Directory Access Protocol) do uwierzytelniania użytkowników. Dlatego pierwszym krokiem jest integracja IDM z domeną oraz systemem poczty elektronicznej. Zyskuje się wówczas możliwość zarządzania mechanizmem uwierzytelniania, który jest wykorzystywany w wielu systemach.
Dalszym krokiem jest integracja z systemami biznesowymi, tak aby zarządzać również uprawnieniami w każdej z tych aplikacji. SAP IDM dostarcza wiele rozwiązań, które ułatwiają i upraszczają integrację. Dla systemów oferowanych przez SAP istnieją dedykowane konektory stworzone przez SAP AG i partnerów.
Oprócz konektorów do systemów stworzonych przez SAP można wykorzystać gotowe rozwiązanie do systemów producentów takich jak Microsoft, IBM, Lotus, Cisco i wielu innych. Do systemów spoza tej grupy integracja może przebiegać po standardowych interfejsach i protokołach. Jest to SPML, który jest standardem opracowanym specjalnie do wymiany informacji o uprawnieniach i danych autoryzacyjnych.
Poza nim można wykorzystać protokół LDAP, przesłać dane poprzez RFC lub zbudować mechanizm wymiany poprzez plik tekstowy czy XML. Jeżeli żadne z powyższych rozwiązań nie jest wystarczające, SAP IDM może się połączyć z dowolną bazą danych i bezpośrednio z niej pobierać i wymieniać informacje.
Wreszcie można także stworzyć własny interfejs, pozwalający na bezpośrednią komunikację z istniejącym interfejsem dedykowanym dla danego systemu. Odpowiedni kod JAVA należy osadzić w VDS (Virtual Directory Server). VDS jest częścią IDM. To katalog, który pozwala przechowywać informacje o uprawnieniach i użytkownikach. Służy także jako warstwa pośrednicząca pomiędzy SAP IDM a systemem trzecim, gdzie można osadzać własny kod, który będzie integrował ten system z IDM.
Zamiast węzła gordyjskiego
Przedsiębiorstwa – by utrzymać szybkie tempo wzrostu, wspierają swój biznes coraz to nowymi rozwiązaniami informatycznymi. Rośnie liczba systemów, a co za tym idzie, zarządzanie dostępem i uprawnieniami w takiej skali staje się trudniejsze i bardziej kosztowne.
SAP IDM to kolejny system, który trzeba wpiąć w tę rozległą i złożoną infrastrukturę. Pozwoli on jednak panować nad tą złożonością i efektywne zarządzać użytkownikami. Warto rozważyć jego wdrożenie, by z czasem firmowe IT nie stało się przysłowiowym węzłem gordyjskim, a administratorzy nie trwonili czasu na rozplątywanie kolejnych supłów nadawania i odbierania uprawnień czy praw dostępu.