Pro zarządzania cyklem życia użytkownika

Zarządzanie cyklem życia użytkownika (ULM) jest kluczowym elementem zarządzania i administrowania tożsamościami, skupiającym się na zarządzaniu całym cyklem życia tożsamości użytkowników w organizacji.

ULM obejmuje różne procesy i etapy, od wstępnego wdrożenia użytkownika do jego ostatecznego usunięcia lub wyrejestrowania. Głównym celem ULM jest zapewnienie, że zarówno użytkownicy wewnętrzni, jak i zewnętrzni posiadają odpowiednie prawa dostępu i uprawnienia niezbędne do pełnienia swoich ról w organizacji lub we współpracy z nią, przy jednoczesnym minimalizowaniu zagrożeń bezpieczeństwa.

Cykl życia użytkownika zazwyczaj składa się z następujących kroków:

• Wdrażanie: To początkowy etap, na którym nowy użytkownik dołącza do organizacji. Podczas wdrażania system zarządzania tożsamościami ( IGA ) tworzy tożsamość użytkownika, przypisuje niezbędne prawa dostępu i uprawnienia w oparciu o rolę i obowiązki użytkownika oraz konfiguruje dane uwierzytelniające (np. nazwy użytkowników, hasła lub inne metody uwierzytelniania).
• Użytkowanie i śledzenie: Śledzenie aktywności i dostępu użytkowników jest kluczowe dla wykrywania anomalii lub zagrożeń bezpieczeństwa. Systemy IGA mogą monitorować zachowania użytkowników, generować logi i dostarczać informacji o podejrzanych działaniach.
• Zarządzanie aktualizacjami użytkowników: Gdy użytkownicy zmieniają role, działy lub obowiązki w organizacji, ich prawa dostępu muszą zostać odpowiednio zaktualizowane. Ten etap obejmuje modyfikację uprawnień użytkowników, aby dostosować je do nowych wymagań, jednocześnie zapewniając, że niepotrzebne uprawnienia zostaną cofnięte.
• Offboarding: Gdy użytkownik opuszcza organizację lub nie potrzebuje już dostępu do określonych zasobów, inicjowany jest proces offboardingu. Obejmuje on cofnięcie uprawnień dostępu, zablokowanie kont i upewnienie się, że odchodzący użytkownik nie stanowi już zagrożenia dla bezpieczeństwa. Szybkie offboarding użytkowników jest kluczowe, aby zapobiec nieautoryzowanemu dostępowi.
• Archiwizacja i przechowywanie danych: W niektórych przypadkach organizacje mogą być zobowiązane do archiwizacji danych użytkowników i przechowywania ich ze względów prawnych lub zgodności z przepisami, nawet po opuszczeniu organizacji przez użytkownika. Ten etap obejmuje bezpieczne przechowywanie i zarządzanie zarchiwizowanymi danymi użytkowników.
• Raportowanie i zgodność: Przez cały cykl życia użytkownika organizacje muszą przechowywać rejestry dostępu i podjętych działań na potrzeby audytu i zgodności.

ULM pomaga organizacjom zapewnić bezpieczeństwo, zgodność z przepisami i wydajność operacyjną. Dzięki ULM dostęp użytkowników jest dostosowany do potrzeb biznesowych i zasad bezpieczeństwa na każdym etapie ich aktywności w organizacji. Zautomatyzowane ULM może usprawnić wiele z tych procesów, zwiększając ich wydajność i zmniejszając ryzyko błędów ludzkich.

Typowe wyzwania, z jakimi borykają się europejskie organizacje w kontekście ULM:

• Opóźnione wyłączenie: 90% organizacji podaje, że wyłączenie trwa kilka dni, co zwiększa ryzyko bezpieczeństwa.
• Ręczne tworzenie użytkowników: Tworzenie użytkowników często opiera się na pracy ręcznej lub niestandardowych skryptach w Active Directory , które nie obsługują aktualizacji. Takie podejście może prowadzić do zagrożeń bezpieczeństwa i niezgodności z nowymi przepisami UE.
• Częste aktualizacje użytkowników: Aktualizacje użytkowników, zwłaszcza w przypadku pracowników tymczasowych lub zmian w działach, muszą być przeprowadzane regularnie. Metody ręczne są zarówno kosztowne, jak i ryzykowne.
• Niespójna kontrola dostępu: Trudno jest zarządzać i egzekwować spójną politykę kontroli dostępu do zasobów organizacji przez cały cykl życia użytkownika.
• Ręczne zarządzanie kontami: Administratorzy IT często zarządzają kontami użytkowników ręcznie, co zwiększa koszty i ryzyko bezpieczeństwa.
• Identyfikacja niespójności: Administratorzy IT muszą ręcznie identyfikować niespójności między informacjami o użytkownikach z systemów kadrowych a informacjami o kontach w katalogach klientów. To zadanie jest trudne, kosztowne i często prowadzi do niezidentyfikowania nieużywanych lub porzuconych kont.
• Zarządzanie prawami dostępu w przypadku długotrwałych nieobecności: Ręczna obsługa praw dostępu w trakcie długotrwałych nieobecności, na przykład urlopu macierzyńskiego lub chorobowego, może stwarzać problemy bezpieczeństwa, jeśli dostęp nie zostanie odpowiednio wyłączony.

Efecte IGA zapewnia przypadki użycia i możliwości, które odpowiadają na wcześniej wspomniane wyzwania:

Łatwe wdrażanie: Wdrażaniem można łatwo zarządzać za pośrednictwem usługi samoobsługowej Efecte IGA , korzystając z przypadku użycia „ Utwórz nowego użytkownika ”.
Alternatywnie, w pełni zautomatyzowany proces wdrażania jest możliwy po wdrożeniu integracji z systemami HR, wykorzystującej przypadek użycia zarządzania cyklem życia użytkownika .

Łatwe aktualizacje: Aktualizacją można zarządzać za pośrednictwem usługi Efecte Self-Service, korzystając z przypadku użycia „ Aktualizuj informacje o użytkowniku ”.
W pełni zautomatyzowane aktualizacje są również dostępne po zintegrowaniu z systemami HR, wykorzystując przypadki użycia Zarządzania cyklem życia użytkownika .
Aktualizacje te mogą obejmować dane osobowe, takie jak zmiana imienia lub nazwiska, w przypadku których rozwiązanie IGA generuje nowe atrybuty katalogowe dla użytkownika. W przypadku aktualizacji informacji o zatrudnieniu, takich jak zmiana tytułu, rozwiązanie IGA weryfikuje i aktualizuje katalogi oraz dostosowuje prawa dostępu (uprawnienia) użytkownika, jeśli wdrożone są automatyczne reguły.

Łatwe odłączanie: Odłączanie można obsługiwać za pośrednictwem usługi Efecte Self-Service, korzystając z przypadku użycia „ Aktualizacja informacji o odchodzącym użytkowniku ”.
Całkowicie zautomatyzowany proces offboardingu jest również możliwy po zintegrowaniu z systemami HR, ponownie wykorzystując przypadek użycia User Lifecycle Management .

• Proces offboardingu zazwyczaj obejmuje zakończenie okresu(ów) pracy użytkownika, dezaktywację powiązanego(ych) konta(ów) w katalogu oraz cofnięcie uprawnień dostępu. Proces ten rozpoczyna się od ustawienia daty zakończenia zatrudnienia dla danego okresu pracy.
  • Jeżeli dostęp fizyczny jest zarządzany poprzez rozwiązanie IGA , zwolnienie obejmuje również zwrot kluczy, identyfikatorów itp.
  • Offboarding można rozszerzyć o przypadki użycia ITSM/ESM (Enterprise Service Management), takie jak zwrot urządzeń, odzieży roboczej itp.

Zarządzanie okresami pracy : Klienci mogą definiować działania związane z informacjami otrzymanymi przez rozwiązanie IGA , w tym obsługę użytkowników z wieloma aktywnymi okresami pracy.

Zarządzanie kontem : Definiuje, jakie informacje są dostarczane i do którego/których katalogu/katalogów klienta.

Zautomatyzowane reguły : Rozwiązanie Efecte IGA umożliwia administratorom definiowanie zautomatyzowanych reguł w oparciu o informacje dotyczące jednostek organizacyjnych, centrów kosztów i stanowisk. Zakres obejmuje kontrolę dostępu opartą na atrybutach (ABAC), kontrolę dostępu opartą na rolach (RBAC) oraz kontrolę dostępu opartą na organizacji (OrBAC).

Raportowanie i działania administratora: Raportowanie administratora IGA i inne niezbędne działania są szczegółowo opisane w przypadkach użycia zarządzania cyklem życia użytkownika (patrz rozdział Przypadki użycia dla administratorów IGA ).

Informacje osobiste i dotyczące zatrudnienia użytkownika można uzyskać z poziomu Self-Service (na przykład w przypadku użytkowników zewnętrznych) lub z rozwiązania HR za pośrednictwem gotowego łącznika , usługi Efecte Integration Service lub integracji Open API .

Poniższy rysunek ilustruje przypadki użycia specyficzne dla procesu ULM w Efecte IGA . ULM bazuje na przypadkach użycia i możliwościach ARM, w tym raportowaniu na potrzeby zgodności z ULM.