More Related Content
Similar to 217197384 idm-2010
Similar to 217197384 idm-2010 (20)
More from Inbalraanan (20)
217197384 idm-2010
- 1. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
שולחן מפגש סיכום
-
עגול
( והרשאות זהויות ניהול
IAM/IDM
)
מנחה
מאור גייגר שחר :
- 2. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
עניינים תוכן
הקדמה
................................
................................
................................
................................
.............................
2
סוגיית
התחזוקה
................................
................................
................................
................................
.............
2
של
מי
הפרוייקט
הזה
בכלל
?
................................
................................
................................
.............................
3
דוגמאות
לפרוייקטים
שהוצגו
במפגש
:
................................
................................
................................
.....................
3
הטמעת
פיתרון
IDM
מבוסס
CA
בארגון
מהמגזר
העסקי
................................
................................
.........................
3
הטמעת
פיתרון
IDM
מבוסס
Novell
בארגון
מהמגזר
הפיננסי
................................
................................
..................
4
הטמעת
פיתרון
IDM
מבוסס
IBM
בארגון
מהמגזר
הבנקאי
................................
................................
......................
5
הטמעת
פיתרון
IDM
מבוסס
CA
בארגון
ממגזר
התקשורת
................................
................................
......................
6
הטמעת
פיתרון
IDM
מבוסס
IBM
בארגון
ממשלתי
................................
................................
...............................
7
הקדמה
שני מפגש הינו זה מפגש
ב
STKI
הקודם במפגש .וההרשאות הזהויות ניהול תחום על
(
v5
-
IDM
-
Summary
-
http://www.scribd.com/doc/4468994/RT
)
המשתתפים רוב
הם כי סיפרו
מגיעים
מארגונים
שבוחנים
כניסה
לתחום
ובאו
להתרשם
ולשמוע
.
קטן חלק
מהמשתתפים
הם כי דיווח
נמצאים
בשלב
ראשוני
יחסית
של
ביצוע
פרויקטים
של
ניהול
זהויות
.
מפרוייקטי הציפיות
IDM
נאיביות היו
של הטמעה ומהירויות הצלחה אחוזי לגבי מופרזים מסרים ללקוחות הועברו בשוק כי ,וניכר מאוד
.אלה פרוייקטים
ע שהשוק ניכר
והתבגרות הבשלה של מפוכח תהליך בינתיים בר
מדובר כי מבינים במפגש המשתתפים .
בא
.ציפיותיהם את כך בעקבות וגוזרים המידע אבטחת בעולם להטמעה ביותר המסובכים התחומים חד
עצמו במפגש
השתתפו
52
מ מקצוע אנשי
91
.במשק גדולים ארגונים
והמשתתפות המשתתפים רוב
פרוייקטורים ,מידע אבטחת מנהלי הינם
נוספות פונקציות וממלאי הזהויות ניהול תחום מנהלי
.רלוונטיות
ל הקשור בכל התפתחות שלבי מספר מייצגים המשתתפים
בארגון זהויות ניהול
:
ב
תשעה
ארגונים
היום גם ההטמעות נמשכות הללו הארגונים בכל .זהויות לניהול פתרונות מוטמעים
מערכות והוספת (הרחבה
.)לפרוייקט אוכלוסיות
הארגונים באחד
הפרוייקט הקרובה ובשנה נבחר מסויים פיתרון .פרוייקט להתחיל החלטה התקבלה
.להתחיל צפוי
בש
לושה
ארגונים
""רדומים פרוייקטים או מערכות קיימות
–
פרוייקטים
ונעצרו שנים מספר לפני שהחלו
מסויימת במידה
האחרונות בשנים
.שונות מסיבות
בשישה
ארגונים
פרוייקטי כיום אין
IDM
הזהויות ניהול לנושא "צורך פי "על שונים מענים וניתנים
.וההרשאות
.בשוק המוצעים הפתרונות ואת התחום את לפעם מפעם בוחנים אלה ארגונים
השולחן סביב מהארגונים בחלק
נושא התעורר
האחרונות בשנים הזהויות ניהול
.
מדובר פעם לא
עם בארגונים
סביב
ות
הטרוגנית
הרשאות עם רבים ומשתמשים
-
על
.
הזהויות תחום מנוהל הקיים במצב
.בארגון שפותחו ""מקומיים ומנגנונים פתרונות בסיס על
התחזוקה סוגיית
ההרשאות מערך ותפעול המערכות תחזוקת נושא הוא המשתתפים רוב ידי על שהוזכרו הנושאים אחד
.בארגון
- 3. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
הארגונים אחד נציג
,
פרוייקט מכבר לא זה שהחלו
,
משרה באחוזי יהיה שדיי חשב הוא כי מספר
זניחים
המערכת את לתחזק כדי מעובדיו אחד של
שוטף באופן
כי התברר בפועל .
ה
באופן מרתק פרוייקט
כמ במשרה עובד יומיומי
.מלאה עט
סביב האדם כוח בתשומות עליה על במפורש סופר אחרים בארגונים
הזהו ניהול נושא
של והרחבה פיתוח הכוללים ,הפרוייקט של הראשוניים בשלבים במיוחד ,וההרשאות יות
למשימות עובדים וניוד האדם בכוח ירידה על דווח הפרוייקט של יותר מתקדמים בשלבים .הפרוייקט
.בארגון אחרות
בשם פיתרון המיישם ארגון
VELO
של (כלי
Redhat
ה
בעזרת הכלי את מתחזק )פתוח קוד מבוסס
שני
אחד ועובד פנימיים עובדים
משרה בחלקיות
ה מטעם
ספק
יש בפוטנציאל .
חמישה
שעוסקים עובדים
.לשניים יצטמצם המספר ובעתיד הארגון ברחבי בהרשאות
הוא עיניו לנגד רואה זה שארגון החיסכון
.לעבר יחסית מאוד גבוהים תגובה בזמני
.משני הוא אדם בכוח החיסכון נושא
הפרוי מי של
?בכלל הזה יקט
שעלתה נוספת נקודה
הקודם במפגש גם
פרוייקטי והתנעת האחריות תחום היא המשתתפים ידי על
IDM
האו"שי האופי למרות ,המידע אבטחת אנשי ידי על הפרוייקט נדחף מהארגונים ברבים .בארגונים
עדי מימש לא אשר מסויים בארגון .הזה מהסוג פרוייקט של המובהק
י
פרוייקט ן
ממשי
זהויות לניהול
זו מטלה .בארגון והאוכלוסיות התפקידים את למפות המידע אבטחת מנהל של עצמאית עבודה התבצעה
ה ניתח שנתיים במשך .בישראל מהארגונים בהרבה לוואקום בדומה המידע אבטחת מנהל על ""נפלה
CISO
הר בקשת תהליך .ההרשאות בקשת תהליך כל את ובדק בארגון המשרות את
לתפקידים שאות
.ואישור חתימות לצורך הרלוונטים המידע מנהלי כל אצל שעברו מיילים דרך היום עד נעשה בארגון
רב זמן במשך הטיפול התעכב ,)הרשאות כלל אין חותם לא שהאחרון (עד טורי בתהליך שמדובר מכיוון
את רושם עובד :הבאה בצורה הרשאה בקשת מהלך הוגדר התהליך בסיום .ומיותר
המבוקש התפקיד
;שצריך כמו לעבוד לו לאפשר שיכולו בסיסיות הרשאות סט מראש הוגדרו תפקיד לכל ;הארגוני בפורטל
תהליך נעשה ,נוספות בהרשאות צורך ויש במידה .ההרשאה את מקבל והוא זאת מאשרים המנהלים
ידנית בצורה הבקשה
ב הליך כל את מאוד מייעלת זו עבודה שיטת .כבעבר מיילים
ההרשאות קשת
.התמיכה מאנשי תקורות ומורידה בארגון
בחלק משבועיים מקוצר ההרשאות לקבלת ההמתנה זמן
יותר או פחות ,ליומיים מהמקרים
.
מנהל מצד ארגוניים תהליכים עם והכרות הרחבה הראייה חשובה כמה עד לראות ניתן זו בדוגמא גם
צריכה שהיוזמה מאוד יתכן ,שני מצד .המידע אבטחת
.בארגון אחרים מגורמים להגיע
:במפגש שהוצגו לפרוייקטים דוגמאות
בפרוייקטי יחסית רחב ניסיון שצברו מארגונים משתתפים מספר סיפרו המפגש במהלך
IDM
הנעשה על
.בארגונם
פיתרון הטמעת
IDM
מבוסס
CA
העסקי מהמגזר בארגון
.אצלם הפרוייקט על בהרחבה סיפרה ,עובדים אלפי כמה המונה ,העסקי מהמגזר הארגונים אחד נציגת
למודול הרחבה שהיתה זהויות לניהול מערכת בעבר הייתה בארגון
HR
ב
ERP
נוהלה הזו המערכת .
ידנית
( התמיכה גןף אנשי ידי על ידנית בצורה ניתנות היו וההרשאות
HD
.)
פרוי מאחורי הרעיון
ההרשאות .יותר ויעיל לאוטומטי העבודה תהליך את להפוך היה הזהויות ניהול יקט
.חריגים למקרים הרשאות ויש המשרה נתוני בסיס על ניתנות
ב
5002
חברת של פיתרון עם עצמו לפרוייקט נכנסו
CA
באוגוסט "לאוויר "עלתה המערכת .
5001
(
וחצי שנה אחרי ""עלה הפרוייקט
השנה בהמשך .)
(
5090
לגרסה המערכת תשודרג )
95
.
( הזהויות וניהול הקצאת נושא כל מנוהל כיום
provisioning
והצורך לו"ז בעיות בגלל .המערכת דרך )
ברגולציית לעמוד
SOX
המערכת את בנו ולכן מאפס תפקידים מאגר לבנות קשה שיהיה בארגון הובן ,
- 4. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
ב קיים מאגר סביב
ERP
ה מערכת .הארגוני
IDM
גוזרת
ההרשאות כל את
ה של
-
ERP
והבילינג
להוסיף הוחלט מהפרוייקט כחלק .זו ממערכת
AD
כ עם
500
כמו ( אבטחתיות הרשאה קבוצות
הרשאות למשל
GPO
ה במערכת וההתפקידים ההרשאות בין הקשר .)הלאה וכן אינטרנט הרשאות ,
HR
ה למערכת
IDM
טוב היה לא החדשה
ה מבחינת
-
AD
ע לבצע צורך והיה
ה מול מקיפה טיוב בודת
AD
ה במערכת מהמצוי ידנית בצורה נתונים לגזור היתה שנבחרה העבודה שיטת .
HR
את לנתח ,
זו במתודולוגיה המרכזי המוטיב .הרשאות וסט תפקידים לבנות מכן ולאחר שניתן כמה עד ולנקות המידע
ההרשאות את לאמץ (כלומר להגדילם לא ובטח הסיכונים את להקטין הוא
.)אותן ולטייב הקיימות
חודשים מספר ארך ההרשאות טיוב תהליך
וסט הצרכים כל מופו חיצונית ייעוץ חברת בעזרת .
ההרשאות
ה למערכות
-
ERP
והבילינג
מאגר הינו כשהבסיס ,בארגון משרה פרופיל לכל לספק שיש
המ לתהליך חיצוני פיתרון ייושם התהליך במהלך .הטיוב בתהליך שנבנה המשרות
יפוי
ל רק
-
AD
אך ,
לבד הטיוב את לבצע והוחלט ממשית תרומה התקבלה לא
ל רק
-
AD
עפ"י ההרשאות תצורת .
משרות
הדרך בתחילת
ל כיסוי נתנה
-
46%
לכיסוי הביא טיוב תהליך ולאחר ,המשתמשים מהרשאות
מעל של
20%
האוכלוסיה מכלל
)בחריגות ניתן השאר (וכל
ה של לאויר העליה ביום .
הוחלט מערכת
ולא החדשה למערכת בהדרגה הארגון הרשאות את להסב
להעביר
אותן
לכלל אחת בבת
המשתמשים
.העסק בעבודת פגיעה ומנע עצמו את הוכיח זה מהלך .יום באותו בפועל
תפקיד שעובר העובד :)תפקיד שעובר עובד (עבור הבאה בצורה נעשה ההרשאות קבלת תהליך כיום
הסטו מכל ""מנוקה
על הממונה הביטחון מיחידת חדש הרשאות סט ומקבל בארגון שלו ההרשאות ריית
העובד אותן מקבל ,נוספות להרשאות צורך ויש במידה .הנושא
אוטומטית
ההרשאות דרך
.קודם שהוזכרו האפליקטיביות
טיפים
ועוד
:
הוא הזה במקרה גם ויושם המידע מערכות בעולם רבים בפרוייקטים עצמו על שחוזר חשוב טיפ
.הארגון שאר מול ממנו גב וקבלת בפרוייקט סמנכ"ל בדרגת מנהל של צמוד עירוב
ה מערכת של האוטומטית העבודה
-
(
IDM (Provisioning
אנשי של ידנית עבודה חסכה ,
( מערכות תמיכת
Help Desk
.)
וחריגי אישורים
הרשאות
-
צוות ע"י המתבצעת שוטפת פעילות
בביטחון
ה צוות עם ביחד
IT
.
ה צוות
-
IT
.ופיתוחים תחזוקות ,בתקלות כללי טיפול על גם אחראי
פיתרון הטמעת
IDM
מבוסס
Novell
הפיננסי מהמגזר בארגון
מ ארגון
המגז
כבר זהויות ניהול בפרוייקט נמצא הפיננסי ר
2
חברת של פיתרון עם שנים
Novell
.
אלפי מחוברים למערכת
כ ובסה"כ עסקיים שותפים ,ספקים ,עובדים
90,000
פעילים משתמשים
ה דרך שמנוהלים
directory
ה מערכת של
IDM
עסקיים בנתונים בו שצופים מיוחד פורטל להם יש .
המערכת דרך שונים
כמו מגוונות ממערכות מורכבת המיחשובית הסביבה .
AS400
לניהול מערכת ,
דרישות ניהול מערכת ,פרוייקטים לניהול מערכת ,לקוחות
כ .ועוד
500
מערכות
ארגוניות
דרך מנוהלות
ה
IDM
.
:לדוגמא מערכות
קופה,גביה מערכות
חשבונות הנהלת,
,פוליסות הפקת, השקעות ניהול,
ש, לקוחות שירות
מערכות ...וכו אופטי ארכיון,חכמים טפסים, דוחות ליפת
הייצור
מבוססות בארגון
בעיקר
AS400
,
דומינו
ו
IBM
Lotus
מיושם בארגון .
NETWARE
של
Novell
(ולא
AD
כמקובל
)אחרים רבים בארגונים
שא בתקופה .
זה רגון
לפרוייקט נכנס
היה לא
כ
מוצרי של היצע מעט
IDM
אחרים
בשוק
.
של מהכרות
הם
הפתרון של בחינה ולאחר נובל מוצרי עם
ה
חל
י
ט
ל ו
התניע
פרוייק
ט
ניהול
זהויות
גם שכלל
SSO
.
- 5. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
מיכנו היום עד
,כאמור ,
500
מערכות
ה דרך לעבודה שונות ארגוניות
IDM
וכל
RFP
חדש
יוצא
לספקים
השונים
ל התממשקות דרישת עם
IDM
,)למערכת לחיבור ווב שירות או (טבלה
הצורך נחסך כך
לטייב
ה דרך הרשאות לניהול וותיקה מערכת בהכנסת שנעשה כפי ,מחדש ההרשאות נתוני את
IDM
.
ותיקות מערכות כמה יש
לחיבור ובעייתיות
(
הקוד בתוך ממש נמצאות ההרשאות
)
.
הוחלט בארגון
למכן
"
הכבד אל מהקל
."
,זאת למרות
במשך אותם שמיכנו מסובכות מערכות הרבה יש
הזמן
.
כל להיום נכון
ה דרך מנוהלות המערכות
IDM
.
רובן
ב
של התערבות שצריך השלב עד חלקי ניהול וחלקן מלא ניהול
ה על מבוססת זו גישה .הידע בעל
ש עובדה
ה ממערכות חלק
legacy
טעם אין ולכן בחדשות יוחלפו
עבודה בהן להשקיע
ל לחברן כדי
IDM
.
חשבו פותחים ?חדשה זהות נפתחת איך
מה ן
-
IDM
יש למערכת .המבוקשת התפקיד הגדרת עם
עם התממשקות
HR
הכרטיס מכן לאחר .צריך שהעובד בסיסית מערכת וכל לפורטל ,לדואר חיבור ,
ל מגיע העובד של החדש
CRM
.הקליטה בתהליך טיפול להמשך
ב פיתחו המערכת מפתחי .עובדים של גבוהה בתחלופה המאופיינים תפקידים ישנם בארגון
הרשאות נק
חד באופן בעצמו בונה הרלוונטי שהמנהל ""פרופילים מעין עם
-
תהליך את לקדם יהיה שאפשר כדי פעמי
לאוכלוסיות גם ""דקות תוך הרשאות ומתן במערכת לקליטה מביאה זו עבודה צורת .יותר מהר הקליטה
למערכות מאוד מאתגר לגורם הנחשבות ,זמניות
IDM
.
ה מפרוייקטי בחלק
IDM
ה
בצורה המערכת הגדרות את לשמר מאוד גדול אתגר קיים בשוק מוכרים
,ועוקפים מקומיים מערכת מנהלי ידי על שנעשים הרשאות עדכוני עם טובה בצורה ולהתמודד מרכזית
ה מערכת את ,למעשה
IDM
ל המחוברת ארגונית במערכת מקומי עדכון כל זה בארגון .המרכזית
IDM
ה את ""מעיר
-
IDM
שעליו מרכזי מאגר יש במערכת .האחרות המערכות כל את לעדכן דואג והאחרון
ה יושב
IDM
עדכון כל .ארגוניות בזהויות סתירה או כפילות על בהחלטה דומיננטי גורם מהווה והוא
פתיחת ,למעלה שהוזכר למה בדומה .ההיפך ולא למערכות מהמרכז מופצת חדשה הרשאה או זהוות
נעשי במערכת הרשאה
למתן חדשה בקשה פותח הרלוונטי המנהל :הארגוני בפורטל מיוחד דף דרך ת
בכניסה שהוגדר העובד לפרופיל זמינות מערכות רשימת פי על ההרשאות את בוחר הוא .הרשאות
(מנהל זו למערכת הרלוונטים לגורמים פניה נעשית ,חריגות בהרשאות מעוניין והמנהל במידה .למערכת
אבטחת מנהל ,המערכת
.החריגה ההרשאה אישור של תהליך ומתחיל )העובד של ומנהלו מידע
תוחלף זו ומערכת יתכן .בארגון עצמי פיתוח פרי מערכת היא ופתיחתן ההרשאות לניהול המערכת
בפיתרון
מבוסס
Role Managment
רכיב עם
workflow
של
Novell
.
פיתרון הטמעת
IDM
מבוסס
IBM
ה מהמגזר בארגון
בנקאי
ארגו
ן
בנקאי
כבר נמצא ומוכר גדול
2
פרוייקט בתוך שנים
IDM
של הוא בארגון הפיתרון .
IBM
למערכת .
כמו וישנות חדשות ,ארגוניות מערכות מגוון מחוברות
AD
,
Exchange
,
DB
המערכת .ועוד למיניהם
.זמניות ואכלוסיות מיוחדות אוכלוסיות לרבות ,הארגון עובדי בכלל תומכת
שינה הפרוייקט
פרוייקט הוא זהויות ניהול .בארגון מעמדו את מאוד וחיזק מובנים בהרבה או"ש את להם
.מובהק או"שי
גוף של )רפרנט (מעין "ביצוע "בסיס קיים עסקית יחידה בכל :הבא המודל על מבוסס ההרשאות מתן
ה גוף בתוך .זו עסקית ליחידה הקשורות בהרשאות ,השאר בין ,מטפל והוא המידע מערכות
IT
גוף קיים
.השונות העסקיות היחידות מול וריכוזן בארגון ההרשאות ניהול על המופקד מרכזי
ה דרך לניהול ארגוניות מערכות כמה להכניס הוחלט הפרוייקט בתחילת
IDM
הגישה .רולים להכניס וכן
בתחיל משחשבו יותר בעייתי כמהלך התברר וזה ארגוני וכלל מהיר פרוייקט לבצע הייתה בזמנו
.ה
- 6. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
מיותרות הרשאות שיותר כמה לנקות כשמנסים ,ההרשאות ברמת חדשה יחידה כל מוגדרת כיום
עודפות
שמיפוי הוא למד זה שארגון הלקחים אחד .והמיפוי ההגדרה במהלך
הרשאות
הרולים ניתוח עם במקביל
-
.קשה מאוד זה
והג בניית
ד
של מערכת עם נעשתה הרולים רת
CA
(
הוא התהליך .)לשעבר יוריקיפיי
bottom-up
כלומר ,
הנ את לוקחים
אות לטייב ומנסים שהם כמות תונים
ם
.ההרשאות בגוף
תפקידים של ""שכבות שתי ייוצרו ההרשאות מתן על להקל כדי
–
אחוז מכסים (אשר ארגוניים תפקידים
אפליקטיי רולים וכן )בארגון האוכלוסיות רוב של מהצרכים מאוד גדול
שנועדה הרשאות (שכבת ם
בהשלמת צורך ללא לעובד תפקיד הרשאת קיימת האופטימלי במצב .)שצריך למי ההרשאות להשלמת
ב שנפתחות חדשות שהרשאות פעם לא קרה בארגון שנוצרה במציאות .מקומיות אפליקטיביות הרשאות
HR
הי זה במקרה המערכת מטרת .הרשאות לניהול במערכת מעשה לאחר ""הולבנו
הסדר את להפוך א
לכלל מופצת מכן ולאחר ההרשאות מערכת דרך עוברת בארגון חדשה הרשאה שכל למצב ולהביא
.הארגון
זה בארגון .הארגוני העץ סוגיית היא אחרים משתתפים ידי על הוזכרה שלא בעייתית מאוד נקודה
אין המקרים ברוב .שונים ארגוניים עצים חמישה קיימים כי והתגלה ההרשאות צוות של בדיקה נעשתה
ה זהויות ניהול פרוייקט להצלחת הבסיסיים מהגורמים אחד .למשנהו אחד עץ בין טובה קורלציה
וא
בהעדר ונתקלו לכך להגיע הצליחו לא עדיין הם .ארגוני עץ של ,זמן לאורך ,ואמינה מדוייקת הגדרה
ה אנשי למשל כמו ,העניין להצלחת קריטיים גורמים מצד פעולה שיתוף
HR
.בארגון
שמוגדרות לנקודות להגיע מאוד קשה ,ישנות מערכות עם שעובדים ,וותיקים מורכבים בארגונים
כ
הכרחיות
פרוייקטי של בפרקטיקה
IDM
דוגמא .לכך אחת דוגמא הוא האחיד הארגוני העץ נושא .
ישימה לא זו נקודה גם .ארגוני משתמש לכל אחיד משתמש שם מוגדר שבו למצב הגעה היא אחרת
פרוייקט בתוך כבר שנמצאים מהארגונים בחלק
IDM
.
שכב בגרסה נמצא הארגון .אצלם מאוד כבד נושא :גרסה שידרוג
לגרסה ששידרוג מכיוון תמיכה לה אין ר
במערכת חדשה
IDM
ה ,
ב פרושה
10%
הארגון ממערכות
,
.מאוד ויקר מסובך עניין הוא
של לניוד גרמו אך ,אדם בכוח ממשי לחיסכון הביאו לא והפרוייקט המערכת הטמעת :אדם בכוח חיסכון
.אחרות למשימות הרשאות במתן שהתעסקו מהעובדים חלק
פית הטמעת
רון
IDM
מבוסס
CA
מ בארגון
ה מגזר
תקשורת
שימוש עושה התקשורת מתחום ומוכר גדול ארגון
ב
.הסטורי באופן תשתיתיות זהויות שניהלה מערכת
ב נוהלה המערכת
ב עבר
MF
והיתה
של באחריות
אנשי
ו תשתיות
DBAs
.
בארגון
הוחלט
על
פרויקט
חדש
הן
בשל
הצורך
בירידה
מה
MF
ובשל
חוסר
יכולת
להפוך
את
המערכת
הקיימת
למודרנית
מבוססת
.רולים
ההנהלה
בארגון
העלות ואת הפרוייקט את אהבה לא
את למנהלים להסביר מאמצים הרבה ונדרשו
אליו הנלווים ובמשאבים בפרוייקט הצורך
.
מסויים בשלב
מצב נוצר
ש
חברת
CA
פיתרון את להם הציעה
ה
IDM
אחרת מערכת של תחזוקה במקום
טובה הזדמנות היוותה זו והצעה בארגון קיימת שהיתה
הביטחון מחלקת בשילוב הסיסטם לצוות
התגברות תוך הנושא את לדחוף
מסויימת
העלות סוגיית על
.
השיקול
הפרוייקט במהלך המרכזי
שמחוברות שמערכות היה
" הקיימת למערכת כבר
ירגישו לא
"
את
הפרוייקט
המע של העבודה ברציפות פגיעה .
לאור במיוחד ,הדעת על מתקבלת בלתי נקודה היא רכות
הזה הספציפי לפרוייקט הרקע
.
בעזרת זה בארגון ביצעו הפרוייקט את
של צוות
CA
.הארגון של ואנשים
מ למעלה מחוברות כיום :שנתיים מעל רץ הפרוייקט
00
מערכות
ייצור
ל
IDM
.
מערכות עם בשילוב
ל היישום היקף מגיע )ובדיקה פיתוח (סביבות אלה למערכות תומכות
10
ב מערכות
.סה"כ
בוצע החדשה למערכת המעבר
:בהדרגה
בהתחלה
ה מערכת
Active Directory
ו
Exchange
ולאחר
העיקריות המערכות מכן
האחרות
.
.הביטחון מחלקת ידי על ניתנות השונות ההרשאות
במי
פוי
הפרופילים
שלפיו למצב הגיעו בארגון רולים
יש
כ
500
משמעותיים
,
ה
עד כוללים
90
עובדים
פרופיל לכל
ועוד
000
מזה למטה
.
חשובה אוכלוסייה
- 7. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
גבוהה ותחלופה יחסית זמניים (עובדים הלקוחות שירות נציגי אוכלוסיית היא בארגון יחסית ובעייתית
:)מאוד
20%
מההרשאות
זו אוכלוסיה עבור
משך את מאוד ומקצרים במערכת אוטומטית בצורה ניתנים
בכניסה הטיפול
מעבר
זו באוכלוסיה עובדים של יציאה
.
המרכזיות המערכות באחת
,למשל ,
מ ירדו
200
ל הרשאות
20
.
הפרוייקט
:היבטים במספר העבודה תהליכי את וייעל תרם
קל שינוי
יותר
ה של
AD
,
סיסמא איפוס
נעילה ושחרור
,יותר פשוטה בצורה
ב עובד של סטאטוס שינוי
ERP
(ש
ב עובר
IDM
,)
תפקיד מעבר
ו
הרשאות מחיקת
קודמות
.
בניית הוא הארגון של הבאים הכיוונים אחד
workflow
כזה שלב יישום לפני .הרשאות בקשת לתהליך
ל רשאי מי :היום עד הארגונית ברמה תשובה עליה ניתן שלא חשובה או"שית שאלה יש
?הרשאות אשר
משת :מענה ללא נוספת בעייתית נקודה
מ
ש
הדרכה י
–
ההרשאות את קורס לכל מאפסים איך
מדובר ?
יחסית רחבות להרשאות שזקוקות דינמיות באוכלוסיות
.
המערכת :בארגון המערכת קבלת
לא
התקבלה
ברצון
(
הביאה
נוסף לעומס
)
אולם
,עכשיו
משהיא
,קיימת
יש
הכרה
בחשיבותה
,
בייחוד
לאור
רגולציות
שונות
.
:בעיות
מאיטיות סובלת המערכת
מסויימת
עד (
96
שניות
תגובה
)
חיבור עם מחכים ולכן
ממערכות חלק
.הייצור
בגרסה נמצאים הם
2
לגרסה השידרוג עם ומחכים
95
מסיבות
.פנימיות
בגרסה
זו
יש
תמיכה
בתכונות
נדרשות
רבות
כגון
ie8, exchange 2010, windows 2008 R2
.ועוד
:להמשך תוכניות
כ יכניסו שנה תוך
60
.קטנות חדשות מערכות
ניקוי אחרי מוכנסות החדשות המערכות
.בארגון שהיתה ההסטורית המערכת כמו שלא מסויים וטיוב
תחזוקת
המערכת
:
מנהל
פרויקט
(שבעיקר
מנהל
את
סדר
הפעילות
והפיתוח
,
ניהול
ארועי
תקלה
ואיפיון
מערכות
)חדשות
,
איש
תפעול
שעוסק
במערכת
בחצי
משרה
לטיפול
בהוספת
מערכות
חדשות
,
חריגים
וטיפול
בתקלות
,
מפתח
מומחה
למימוש
חיבור
לעוד
מערכות
ועוד
אחד
במשרה
חלקית
.
מי
שאחראי
על
מיפוי
ההרשאות
הינו
אגף
הלוגיסטיקה
.
""מורשים רפרנטים אלה הרשאות מתן על שהאחראי מי
ל קשר ללא השונות הארגוניות ביחידות
IT
.
לפני
הפרויקט
היה
מפתח
ומנהל
מערכת
במשרה
,חלקית
כך
הוסיפה שהמערכת
אנשים
בעיקר
בשל
המאמץ
הפיתוחי
.
יתייצב המשרות שמספר היא ההנחה
על
מנהל
מערכת
במשרה
חלקית
,
מפתח
במשרה
מלאה
ואיש
תפעול
במשרה
חלקית
.
.בסה"כ משרות משתי יותר לא
טיפים
:אחרים לארגונים
ה לנושא להערך
role mining
הרשאות עם גופים הרבה בין תיאום של בעיה היתה להם .
מה ידעו שלא הסטוריות
המקור
.שלהן
טוב אותה להכיר וצריך מאוד ומורכבת גמישה המערכת
.
לא לוקח כזו מערכת ללמוד
.זמן מעט
ב
ה
נה
רצו לה
ב הפרוייקט את לסיים
1
.חודשים
ב
CA
אמרו
0
שהיה מה וזה שנים
..
.
פיתרון הטמעת
IDM
מבוסס
IBM
ממשלתי בארגון
גדול ממשלתי גוף נציג
פיתרון הטמעת על סיפר
IDM
חברת של
IBM
תחילת טרם הרבים הקשיים ועל
הפרוייקט
.
חד זיהוי העדר היא בה שנתקלו המוקדמות הבעיות אחת
-
.בארגון משתמש לכל ערכי חד
זה לארגון
"יצאו ממש לא מהגופים חלק .נוספים ובגופים הממשלה בתוך חיצוניים גופים עם רבים ממשקים
.הגוף מערכות מול נוחה בהתממשקות לסייע כדי "מגדרם
בו הארגוני העץ חייב ,)(נש"ם המדינה שירות נציבות לפיקוח הנתון במשרד שמדובר מכיוון :ארגוני עץ
ב המוכר הארגוני המבנה את גם לשקף צריך זה עץ .נש"ם להוראות להתאים
HR
וב
IT
עצים (שני
.פשוט לא או"שי באתגר מדובר .)...שונים
הפרוייק תחילת טרם בו עמד שהארגון נוסף קושי
ובגופים ממשלה במשרדי :האדם כוח תקני נושא הוא ט
מיחידה תקן על ,מתאים תקן עבורם שאין ,עובדים לשבץ נהוג רבים ממשלתיים
אשר עד ,אחרת מחלקה
- 8. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
ארגוניים פרופילים להתאים בניסיון מאוד גדול ארגוני קושי מהווה זו מציאות .מתפנה המקורי התקן
.הרלוונטים למשתמשים
ב הרשאות מתן
הוקם :ארגון
ייעודי הרשאות צוות
–
נאמן
שלא העובדים בכל שמטפל אגף בכל אחד
עוברים
ב
HR
.
כי הוחלט לכך בנוסף
ה
HR
הקובע הגורם הוא
ה כל מתחילים וממנו
workflows
הוא בארגון המרכזי הזהויות מאגר .זהויות לניהול הרלוונטים
ה
AD
וה
IDM
סמכות ומהווה מולו עובד
בתחום עליונה
.בארגון הזהויות
,לגמרי מנותקות חלקן ,בארגון תקשורת רשתות מספר המצאות למרות
אחד כלי דרך בארגון הזהויות כל את לנהל צורך עלה
.
המערכת חיבור של בחינה במהלך הם כיום
של מאובטח פיתרון דרך הרשתות לכל וסינכרונה
Waterfall
.
ה מערכות גוף ידי על חזק נדחף עצמו הפרוייקט
ובסיוע בארגון מידע
חיצוני רגולטור
.
ה ממערכת סוכן אליהן שמחובר במערכות :ותפעול תחזוקה
IDM
וההרשאות הזהויות ניהול תהליך ,
לחלוטין ממוכן
המערכות בשאר .
–
מכניזם בונים
כשה ,ודיווח התאמה
IDM
כחותמת משמש
בקרה
.
הוא בפיתרון בולט חיסרון
ש
מקומית הרשאה שכותבים מצב יש אם
–
ה תמיד לא
IDM
.זה על יודע
אחד בצוות מרוכזות ההרשאות כל כיום
של
מלאה במשרה עובדים שלושה
.
בעבר
היו
1
מיני מכל אנשים
צוותים
הנושא סביב שפעלו
.
.כשבועיים על עתה עומד והוא מאוד התקצר זמניות הרשאות עם לאוכלוסיות הרשאות מתן
Role mining
ההרשאות מנותחות זה במקום .שונים קשיים בגלל זה בארגון שנזנח עניין הוא
ה דרך
SAP
במודול
R3
המערכת של
.
( שהמחבר אומר זה ארגון נציג
connector
)
ה בין
TIM
ל
R3
נרכש לא
שונות מסיבות
.
ה ממיכון כתוצאה קוצרו הסיסטם צוות של התגובה מזמני הרבה ,לסיכום
IDM
לא לוקח עדיין שני מצד .
של אופציות .במערכת חדש משתמש להגדיר זמן מעט
עצמי שירות
זה בשלב קיימות אינן
.
בכל הרפרנט
ההרשאות ברמת מענה נותן אגף
המערכת דרך יחידה אותה לעובדי
.
:אחרים לארגונים טיפים
המטריה את לגייס חייבים
הניהולית
גבוהה הכי
הפרוייקט טרם
.
פרוייקט
IDM
מאוד חשוב הוא
–
בין
אם
לבד נעשה הוא
כלי עם או
חיצוני
.
או הוא הפרוייקט
"
ולא שי
פרוייקט
IT
.