מערכת ניהול זהויות (IDM – Identity Management System) היא מערכת שתפקידה לנהל את זיהוי המשתמשים השונים בארגון ואת הרשאות הגישה (Access permissions)שלהם למשאבים השונים בארגון. (מערכות מידע, תשתיות, קבצים המנוהלים)
מדריך זה מטרתו לסייע בהקמה וניהול פרויקט ניהול זהויות בארגון עפ"י נוהל מפת"ח
מערכת ניהול משתמשים (IDM – Identity Management System) היא מערכת שתפקידה לנהל את זיהוי המשתמשים השונים בארגון ואת הרשאות הגישה (Accees permissions) שלהם למשאבים (למערכות מידע, תשתיות, קבצים המנוהלים) השונים בארגון.
פן מרכזי ראשון של מערכת IDM הוא ניהול משתמשים ופרופילי הרשאות עבור המערכות המנוהלות בארגון ממקום מרכזי אחד וביצוע ההגדרות הנחוצות במערכות המחוברות השונות, ישירות מתוך מערכת ניהול הזהויות בצורה ממוכנת ואוטומטית. כמו כן, יש למערכת יכולת לבצע הפרדת תפקידים באמצעות חוקים (Duty Separation).
הפן השני הוא שהמערכת מאפשרת ניהול סיסמאות מרכזי, אכיפת החלפת סיסמאות וסנכרון סיסמאות למערכות השונות.
בפן השלישי, מנהלת המערכת ומנטרת את הקשר בין המשתמשים למשאבים ומאפשרת מגוון רחב של פעולות ניהול חשבונות המשתמשים וההרשאות במערכות השונות. המחשה ברורה לפעילת המערכת היא הטיפול היעיל והאפקטיבי במתן הרשאות למשתמשים (עובדים) חדשים מחד גיסא, וסגירה יעילה ואפקטיבית של ההרשאות למשתמשים שהפסיקו את פעולתם (עובדים שעזבו).
בשוק קיימים מספר פתרונות ממוחשבים לנושא קריטי זה בניהול הארגון. רגולציות רבות דורשות קיום מערכת IDM ממוחשבת ומבוקרת.
ישנן הרבה דילמות שעומדות בפני כל ארגון שמחליט להתחיל פרויקט מסוג זה. אכן מדובר בפרויקט מורכב עם רמת אינטגרציה ותיאום גבוהים, הן טכנולוגית (בין מערכת IDM ל- Active Directory ולמערכות שאינן סטנדרטיות) והן מבחינת תהליכי עבודה ואתחול המערכת עם משאבי אנוש, אבטחת מידע ויחידות עסקיות. מפת"ח ממליץ על 10 השלבים הבאים לביצוע מוצלח של הפרויקט:
.gif)
1. הגדר את יעדי הפרויקט – ניהול הרשאות מרכזי? ייעול תהליכים ארגוניים? שיפור רמת אבטחת מידע?
2. חשיבות הגורם האנושי - 80% מהצלחת הפרויקט מושפעים משיקולים ארגוניים. רק 20% מושפעים מטכנולוגיה. מומלץ לגייס את פונקצית ה HR כלקוח מרכזי של המערכת. תמיכת הנהלה הכרחית!
3. הגדר את גבולות הפרויקט – אילו מערכות נכללות בתכולת הפרויקט ולא פחות חשוב מה לא נכלל?
4. מפה תהליכים של הזדהות וניהול הרשאות והקשרים העסקיים והטכנולוגיים שלהם.
5. Data Cleaning וטיוב מידע–משתמשים והרשאות לא פעילים, משתמשים ללא הרשאות, הרשאות ללא משתמשים. טיוב מידע ב Active Directory.
6. Role Mining - שאיפה להגיע למספר פרופילים מצומצם, כדי להשיג ניהול יעיל ופשוט של הרשאות.
7. נתח תהליכים נדרשים – מי מאשר? מה? מתי? למה? מי מבצע? בד"כ זו תורה שבעל פה בארגון.
8. הגדר ארכיטקטורה נדרשת (להלן ארכיטקטורה בסיסית):
.jpg)
9. בחר ספק / טכנולוגיה
10. התחל בפרויקט
לפרויקט מסוג זה מספר יעדי-על אשר מעניקים ערך מוסף לארגון. להלן היעדים המרכזיים ופירוט הצורה בה ישפרו את המצב הקיים:
א. הקמת מערכת ניהול משתמשים מרכזית בארגון
· הענקת יכולת לגוף ה- IT לסנכרן ולנהל את ההרשאות והישויות בצורה קלה ופשוטה במקום אחד ולא לנהל בכל מערכת בצורה עצמאית.
· יכולת ניהול ומעקב אודות המערכות המקושרות למערכת ה-IDM.
ב. ייעול תהליכים ארגוניים
ישום IDM יכול לשפר מספר תהליכים ארגוניים, להלן חלקם:
· ריכוז היצירה והניהול של חשבונות משתמשים במערכות השונות במערכת מרכזית, יחידה ואמינה.
· מעקב אחר חשבונות המשתמשים בהתאם לשינויים המתרחשים לאורך חיי המשתמש בארגון
· סנכרון וניהול סיסמאות בין המערכות השונות בארגון ותמיכה ביכולות סנכרון סיסמאות / SSO מובנים או חיצוניים.
· קבלת תיעוד אמין אודות הנעשה בתחום חשבונות המשתמשים בארגון.
· מניעת הרשאות מיותרות ונצברות למשתמשים השונים, שליטה בהרשאות הגופים השונים בארגון וקבלת כלי בקרה מרכזי בכל הנוגע למשתמשי המערכות.
· איחוד, שליטה ובקרה של אספקטים הנוגעים לניהול משתמשים במערכות ה-IT.
· שיפור יכולת מתן שרות יעיל ומהיר יותר למשתמשי הקצה.
· מתן יכולות Self Service למשתמשי הקצה – חסכון משמעותי בפניות ל-Help Desk.
· אפשרות לאוטומציה של חלוקת הרשאות למערכות השונות ע"י מנגנון Workflow.
ג. שיפור רמת אבטחת המידע בארגון
מערכת IDM מהוה גם נדבך חשוב באבטחת המידע הארגונית וזאת בכמה אספקטים:
· ניהול מרכזי של מדיניות אבטחת מידע – ניהול משתמשים ופרופילי הרשאות עבור כל המערכות המנוהלות בארגון ממקום מרכזי אחד וביצוע ההגדרות הנחוצות במערכות המחוברות השונות ישירות מתוך מערכת ניהול הזהויות בצורה ממוכנת ואוטומטית.
· מעקב מתמיד והדוק אחר הרשאות ומידור המשתמשים במערכות.
· מתן היכולת להגדיר ולנהל משתמשים עם ההרשאות המדויקות הנדרשות להם לאורך מחזור חייהם בארגון כך שלא יהיה מצב של צבירת הרשאות.
· אכיפת סטנדרט ניהול חשבונות המשתמשים.
· אכיפת מדיניות סיסמאות אחידה המאפשר לחייב שימוש בסיסמה מורכבת.
· שיפור והרחבת שירותי המחשוב הניתנים לאוכלוסיות השונות, ובו בעת, הגברת רמת אבטחת המידע והשמירה על צנעת הפרט.
· מניעת יצירת חשבון משתמש של גורם אשר אין לו זהות חד ערכית מוגדרת.
· מניעת יצירה של חשבונות כפולים במערכת.
· סגירת חשבון המשתמש וניהול המידע שברשותו בעת סיום העסקת עובדים.
· התהליך הידני מחייב תשומות גבוהות, במיוחד בארגונים דינמיים
· התהליך הידני אינו נותן מענה סגור למידור הדרוש
· קושי בניהול תיעוד של בקשות ואישורי הרשאות, בבקרה ובשליטה
· קושי במדידת רמת שירות, על כן קשה לאכוף אותה.
ההיערכות לפרויקט ניהול זהויות כוללת מספר שלבים מקדימים המיועדים לזיהוי וטיפול בגורמים המעורבים בתהליך:
א. מיפוי תהליכים עסקיים וטכנולוגיים
ב. תיעוד מאגרי משתמשים
ג. איתור תהליכים תלויי משתמש: הוספת משתמש חדש, ניוד משתמש קיים, גריעת משתמש שעזב.
ד. ניקוי מאגרים (Data Cleaning) - משתמשים והרשאות בלתי פעילים, משתמשים ללא הרשאות הרשאות ללא משתמשים
ה. איתור תפקידים (Role Mining) - קישור לוגי המחבר בין המשתמש, זהותו ותפקידו עם ההרשאות והמשאבים המותרים/נדרשים לו לביצוע משימתו.
ו. רמות הרשאה – לדוגמא: הרשאת SYSTEM, משתמש באפליקציה, הרשאה באפליקציה
הרבה נהלים ארגוניים מושפעים מהכנסת מערכת ניהול זהויות. להלן רשימה חלקית של נהלים שיש לבחון באם נדרש לבצע בהם עדכון:
· נוהל קליטת עובד
· נוהל גריעת עובד
· נוהל בקשה לעדכון אפליקציות לעובד
· נוהל השעיית עובד
להלן מספר לקחים ליישום מוצלח של מערכת IDM:
· הגדרת פרויקט בשלבים
· Scope מסודר וקשיח
· רצוי להתחיל עם טיוב נתונים
· שילוב גורמים עיסקיים בתהליך - הכרחי!
· לבחור ספק שנותן פתרון מיטבי לצרכי הארגון – לא רק מהצד של הטכנולוגיה
· גיבוי הנהלה - חשוב!
|
שלב |
פירוט |
תוצרים |
|---|---|---|
|
1. הכנת תכנית עבודה |
כל השלבים והפעילויות הנדרשים להקמת מערכת ניהול זהויות. תכלול את כלל הפעילויות שבאחריות הארגון לרבות, אישורי תוצרים, פיתוח ממשקים מצד המערכות הקיימות, פעילויות הקשורות להסבת נתונים, בדיקות קבלה וכדומה. |
· תוכנית עבודה מפורטת |
|
2. אפיון מפורט של המערכת |
מסמך אפיון מפורט עפ"י נוהל מפת"ח, המתאר בין היתר את התהליכים, הקלטים, הפלטים, הממשקים וכל ההגדרות המפורטות הנדרשות לצורך הקמת המערכת על פי צרכי הארגון |
· אפיון מפורט. · תוכנית עבודה מעודכנת. · מצגת לשיקוף האפיון המפורט. |
|
3. התקנת המערכת Out of the Box (Vanilla) |
התקנת המערכות השונות לפני ביצוע התאמות. יאפשר ללמוד את סביבת העבודה של הארגון, ולהבין את יכולות המערכת |
|
|
4. תכנון בדיקות מסירה |
הכנת תוכנית בדיקות מסירה |
· מסמך תכנון בדיקות מסירה · מפרט בדיקות מסירה |
|
5. פיתוח והתאמות, כולל בדיקות יחידה |
שינויים ותוספות למערכת, פיתוח ממשקים, בדיקות יחידה ע"י המפתחים |
· מערכת מותאמת לכל דרישות הארגון. |
|
6. אתחול ואכלוס בסיס הנתונים של המערכת |
אתחול ואכלוס בסיס הנתונים של המערכת בכלל הנתונים הנדרשים לה מתוך מקורות המידע השונים בארגון |
|
|
7. הקמת סביבת בדיקות |
התקנה ואתחול של המערכת בסביבת בדיקות |
· מערכת מוכנה לבדיקות מסירה/קבלה. |
|
8. בדיקות מסירה |
ביצוע בדיקות מסירה ע"י ספק המערכת הכוללות אינטגרציה. תיקוני באגים שיתגלו במהלך הבדיקות |
|
|
9. בדיקות קבלה |
בדיקות הקבלה יבוצעו ע"י הארגון בליווי הספק. תיקון כל הנושאים שלא מתאימים/לא עונים לדרישות המקוריות ו תיקוני באגים שיתגלו במהלך הבדיקות. |
|
|
10. הקמת המערכת בייצור |
הכנת תוכנית העברה לייצור. ביצוע ההעברה לייצור בתאום עם נציגי הארגון. |
· תוכנית העברה לייצור. · מערכת עובדת בייצור. |
|
11. הדרכות |
הכנת חומרי הדרכה לפי תוכנית ההדרכה. ביצוע ההדרכות בפועל. |
· תוכנית הדרכה כולל סילבוסים. · חומרי הדרכה. |
|
12. תקופת הרצה |
ספק המערכת אחראי לליווי הארגון בביצוע כלל הפעילויות והרצת התהליכים . תיקוני באגים שיתגלו במהלך תקופת ההרצה. |
|
|
13. אישור קבלת המערכת |
|
· אישור אבן דרך לקבלת מערכת. |
|
14. שירותי אחריות ותחזוקה |
כמפורט בסעיף 4.6 במסמך המערכת |
|
|
סיכון |
הערות / הסבר |
דרכי הימנעות |
|---|---|---|
|
מוכנות תשתיות |
עיכוב, פגם או חוסר בתשתיות לפרויקט (שרתים, אישורים, הרשאות וכדומה) בסביבת הפיתוח, סביבת הבדיקות וסביבת הייצור יעכבו לוחות זמנים. |
על אנשי הארגון לעמוד בלוח הזמנים בכל הקשור למוכנותהתשתיות הקשורות לפרויקט ולהתריע על חוסר מוכנות. |
|
זמינות אנשי IT |
התממשקות המערכות המיועדות למערכת ה-IDM תלויה בשיתוף פעולה עם אנשי ה-IT הרלוונטיים ועם מנהלי המערכות. חוסר בשת"פ יעקב את הפעילויות וייפגע בהצלחת הפרויקט. |
יוקצה אחראי אשר יופקד על מהלכו התקין של הפרויקט אשר יהיה בידיו הכוח להפעלת גופים רלוונטיים במהלך הפרויקט. כמו כן, יש להקפיד על פגישת היגוי אחת לשבוע. |
|
טיוב נתונים |
סביר שמערכות הארגון נמצאות במצב של חסר בטיוב הנתונים, אם בנתוני שיבוץ ואם בנתוני ניהול מידע (מבנה ארגוני, שרתי קבצים באתרים שונים וכו'). אי יכולת שימוש בנתונים מסיבה זו עלולה לעקב את התקדמות יישום המערכת. |
יש לדאוג לטיוב הנתונים החסרים ע"י הקצאת משאבים ייעודיים לנושא. |
|
מגבלה טכנולוגית בפלטפורמת מערכת ה- IDM |
מגבלה טכנולוגית בפלטפורמת מערכת ה- IDM הנבחרת |
יש לאפיין במדויק את צרכי הארגון לפני בחירת הטכנולוגיה ולוודא את ניסיונו של המטמיע בטכנולוגיה הספציפית ובתחום ה-IDM בכלל |
|
משאבי פיתוח לא מתוכננים |
צורך במשאבי פיתוח מתמשכים ומורכבים יביאו לידי עיכוב בהמשכיות הפרויקט. צעדים במקרים אלו יבחנו לגופם. |
במקרה והפרויקט מתעכב עקב משאבי פיתוח מתמשכים, יש לאפשר את התקדמות היישום ללא החלק הבעייתי. החלק הבעייתי יטופל בשלבי הפרויקט המתקדמים. |
|
קושי בהטמעת נהלים ארגוניים חדשים |
קושי בהטמעת נהלי עבודה חדשים בהתאם לפעולות המערכת מול אנשי הביצוע הרלוונטיים יביאו לעיכוב עליית המערכת לייצור. קשיים אלו אם יהיו יעלו לבדיקת וועדת ההיגוי של הפרויקט. |
יש לרתום את בעלי התפקיד הרלוונטיים לכל יישום הפרויקט. |
|
סטייה לא מתוכננת מתיחום הפרויקט |
קל מאוד לסטות מתיחום הפרויקט בהטמעת מערכת ניהול זהויות עקב מגוון האפשרויות והיכולת. סטייה כזו עלולה להביא לעיכובים בלו"ז בפרויקט. |
על וועדת ההיגוי לקיים בקרה קפדנית על תיחום הפרויקט |
|
חוסר שיתוף פעולה בהטמעת המערכת בקרב גופי הארגון |
במהלך הטמעת המערכת נדרש שיתוף פעולה של הגורמים השונים (לקוחות המערכת). חוסר שיתוף פעולה עלול להביא לכישלון בהטמעת המערכת בארגון |
שיווק פנימי, רתימת הגורמים השונים, מעורבות וגיבוי ההנהלה. |
|
שדרוג מערכות, החלפת מערכות ועדכונים |
ביצוע שדרוגים של מערכות מנוהלות עלולות להביא לעיכוב היישום |
יש לנהל שדרוגי מערכות מנוהלות תוך שיתוף מלא של הנעשה עם מטמיע המערכת ותוך ניהול לו"ז המתחשב בלו"ז הטמעת מערכת ה-IdM. |
|
מוכנות תהליכים |
הטמעת המערכת מותנת בשינוי תהליכי System הקיימים |
יש לוודא כי אכן מתבצעים השינויים הנדרשים במסגרת לו"ז הפרויקט |
|
אי עמידה ביעד של העלאה לייצור בזמן |
מהו מפת"חון?
הגדרה פשוטה מה אתם רוצים, מה אתם מחפשים: כתבו מסמך קצר שמגדיר מה בעצם נדרש, מה אתם חושבים שהלקוח ביקש, מה הבעיה שאתם רוצים לפתור, מה הצורך.
בשפה הפשוטה הבאה והמוכרת כבר היטב:
1. יעדים: מה המטרה של המוצר/שירות/שיפור המוצע, איך זה משרת את מטרות הארגון, האם יש רק תועלות או גם סיכונים
2. יישום: מה "מהות" המוצר/שירות/שיפור המוצע, מי המשתמשים, מה התהליכים העיקריים.
3. טכנולוגיה: על איזו פלטפורמה ייבנה ויופעל המוצר/שירות/שיפור המוצע, האם היא מוכרת או חדשה. בפרק הטכנולוגיה יש לפרט את המערכות והטכנולוגיות שהמערכת צריכה לתמוך בהם ברמה של לקוח. המערכות שייכללו במסגרת השירות. המצב הקיים ברמה הטכנולוגית בארגון.
4. מימוש: מי הגורמים המעורבים, צורך בספקים חיצוניים, אופק הזמן, שלבים העיקריים בתכנית העבודה.
5. עלות: אילו משאבים נדרש "בגדול" לפיתוח מהדורה ראשונה של המוצר/שירות/שיפור המוצע.
המפת"חון נועד לסייע לארגון בהתנעת הפרויקט ומהווה מסגרת כללית לאפיון הדרישות וביצוע המיפויים הנדרשים כחלק מההערכות הארגונית לביצוע הפרויקט.
אין לראות במפת"חון תוצר סופי לפרויקט אלא מסמך ראשוני להתנעה וייזום התהליך