Программное обеспечение для синхронизации пользователей - User provisioning software

Программное обеспечение для синхронизации пользователей это программное обеспечение, предназначенное для помощи организациям в более быстром, дешевом, надежном и безопасном управлении информацией о пользователях в различных системах и приложениях.

Справочная информация: системы, приложения и пользователи

Люди представлены пользовательскими объектами или учетные записи входа в разных системах и приложениях.

Примеры систем и приложений включают:

Пользовательские объекты обычно состоят из:

  • Уникальный идентификатор.
  • Описание человека, которому был назначен объект пользователя, в основном его имя.
  • Контактная информация этого человека, такая как адрес электронной почты, номера телефонов, почтовый адрес и т. Д.
  • Организационная информация об этом человеке, такая как идентификатор его руководителя, его отдел или их местонахождение.
  • Пароль и / или другие факторы аутентификации.

Обратите внимание, что пользователям не обязательно иметь возможность войти в система или приложение. Пользовательский объект может быть записью в приложении HR или записью в системе телефонной книги, в которую пользователь не может войти, но которая тем не менее представляет пользователя.

Пользовательские объекты обычно подключаются к другим частям системы или приложениям через права безопасности. В большинстве систем это делается путем помещения пользователя в одну или несколько групп безопасности, где пользователям каждой группы предоставляются определенные права безопасности.

Процессы жизненного цикла пользователя

Организации реализуют бизнес-процессы для создания, управления и удаления пользовательских объектов в своих системах и приложениях:

  • Посадка:
    • Представляет действия, предпринимаемые при приеме на работу нового сотрудника, начале работы подрядчика или предоставлении клиенту или партнеру доступа к системам.
    • Этот термин относится к процессу загрузки пассажиров на коммерческий авиалайнер.
  • Управление:
    • Пользователи динамичны - они меняют имена, адреса, обязанности и многое другое.
    • Изменения, которые испытывают пользователи в физическом мире, должны отражаться пользовательскими объектами в системах и приложениях.
  • Поддерживать:
    • Иногда у пользователей возникают проблемы с системами и приложениями. Они могут забыть свой пароль или, например, потребовать новые права безопасности.
    • Поддержка пользователей означает изменение данных о пользователях в системах и приложениях, сброс паролей пользователей и т. Д. Для решения проблем пользователей.
  • Деактивация:
    • Пользователи имеют ограниченный срок жизни и, как правило, еще более короткие отношения с организацией, в которой осуществляется управление системой или приложением.
    • Когда пользователи уходят - увольнение, увольнение, выход на пенсию, окончание контракта, прекращение отношений с клиентами и т. Д. - их доступ к системам и приложениям также должен быть деактивирован.

Между прочим, термин «жизненный цикл» не означает, что пользователи, которые были деактивированы, не обязательно будут снова подключены. Однако это действительно происходит. Например, сотрудники могут покинуть компанию и быть наняты позже, или подрядчики могут расторгнуть свой контракт только для того, чтобы их наняли в качестве сотрудников.

Системы инициализации пользователей

Системы инициализации пользователей предназначены для того, чтобы помочь организациям упростить процессы жизненного цикла пользователей, чтобы можно было выполнять обновления пользовательских объектов в их системах и приложениях:

  • Быстрее - пользователям не нужно ждать изменений.
  • Более эффективно - снизить затраты на управление системами и приложениями в ответ на события жизненного цикла пользователей.
  • Более безопасно - для снижения риска компрометации системы из-за того, что пользовательские объекты утратили свою полезность, из-за несоответствующих прав безопасности и из-за легко угадываемых или иным образом взломанных паролей.

Процессы инициализации пользователей

Система инициализации пользователей может реализовывать один или несколько процессов для достижения вышеупомянутых целей. Эти процессы могут включать:

  • Автоматическая подготовка. Например:
    • Отслеживайте приложение HR и автоматически создавайте новых пользователей в других системах и приложениях, когда в базе данных HR появляются новые записи о сотрудниках.
  • Авто-деактивация. Например:
    • Отслеживайте приложение HR и автоматически деактивируйте объекты пользователей в других системах и приложениях, когда записи о сотруднике либо исчезают, либо помечаются как неактивные в базе данных HR.
    • Автоматически деактивировать пользовательские объекты для пользователей, таких как подрядчики, чья запланированная дата увольнения прошла.
  • Синхронизация личности. Например:
    • Когда в почтовой системе обнаруживаются изменения в адресе электронной почты пользователя, автоматически обновляйте адрес электронной почты того же пользователя в других системах.
    • Когда в системе управления персоналом обнаруживаются изменения имени, номера телефона или почтового адреса пользователя, автоматически обновляйте адрес электронной почты того же пользователя в других системах.
  • Изменения профиля самообслуживания. Например:
    • Разрешить пользователям обновлять свою контактную информацию.
  • Запросы на доступ к самообслуживанию. Например:
    • Разрешить пользователям запрашивать доступ к системам и приложениям.
  • Запросы делегированного доступа. Например:
    • Разрешить менеджерам запрашивать доступ к системам и приложениям от имени своих непосредственных подчиненных.
  • Рабочий процесс авторизации. Например:
    • Попросите заинтересованных лиц просмотреть и утвердить или отклонить предлагаемые изменения в профилях пользователей или правах доступа.
  • Сертификация доступа. Например:
    • Периодически просите руководителей проверять, что список их прямых подчиненных (а) по-прежнему работает в организации и (б) по-прежнему отчитывается перед ними.
    • Периодически владельцы данных или приложений проверяют список пользователей, имеющих доступ к их данным или приложению.

Компоненты системы синхронизации пользователей

Система инициализации пользователей, как правило, должна включать некоторые или все из следующих компонентов:

  • Соединители, чтобы читать информацию о пользователях из интегрированных систем и приложений и отправлять обновления (например, создавать нового пользователя, удалять пользователя, изменять информацию о пользователе) обратно в эти системы и приложения.
  • Внутренняя база данных, которая отслеживает объекты пользователей и другие данные из интегрированных систем и приложений.
  • Система автоматического обнаружения, которая заполняет внутреннюю базу данных с помощью коннекторов.
  • Пользовательский интерфейс, в котором пользователи могут просматривать содержимое внутренней базы данных, делать запросы на изменения, утверждать или отклонять предлагаемые изменения и т. Д.
  • Механизм рабочего процесса, используемый в основном для приглашения пользователей просмотреть и утвердить или отклонить изменения.
  • Механизм политики, который оценивает как текущую информацию о пользователях, так и предлагаемые изменения, чтобы определить, соответствуют ли они корпоративным правилам и нормам.
  • Механизм отчетности, который помогает организациям извлекать информацию из внутренней базы данных.

Рекомендации

  • Касасса Монт, Марко; Болдуин, Адриан; Шиу, Саймон (2009), Identity Analytics - Пример использования "User Provisioning": использование моделирования и симуляции для поддержки принятия политических решений, п. 49
  • Хоммель, Вольфганг; Шифферс, Майкл (2005), Поддержка управления жизненным циклом виртуальной организации за счет динамической интеграции пользователей, п. 12, CiteSeerX  10.1.1.84.6068
  • Беккер, М; Дрю, М. (2005 г.), «Преодоление проблем при развертывании магистрали управления доступом пользователей / идентификационного доступа», Журнал BT Technology, BT Technology Journal (опубликовано в 2006 г.), 23 (4): 71–79, Дои:10.1007 / s10550-006-0009-x
  • Витти, Роберта Дж (2003), Рыночный ландшафт управления идентификацией и доступом (PDF), п. 11