Jak identifikovat nadřízeného z personalistiky pomocí Identity Manageru?
V předchozích článcích jsme si představili, co je identity management a v čem může IdM pomoci IT pracovníkům. IdM SW má však širší spektrum použití než jen automatizaci a konzoli pro administrátory. Řeší delegace úkolů a odpovědnosti na business vlastníky procesů nebo vedoucí pracovníky. Důležité je i přesunout pravomoci schvalování přístupů z administrátorů na vedoucí pracovníky – jde o IT manažery, vedoucí oddělení nebo projektů. Na příkladech tří personálních systémů si ukážeme, jak vedoucí pracovníci mohou využívat IdM. Ukážeme si algoritmy jak dokáže IdM vedoucího z personalistiky identifikovat.
Co můžou vedoucí pracovníci dělat v IdM?
Vedoucí pracovník je především odpovědný za své podřízené. Typická agenda podřízenému:
- požádat podřízenému o účet či oprávnění v napojených systémech,
- zrušit mu přístupy nebo jej zablokovat,
- resetovat mu heslo,
- žádat mu o VPN přístup nebo certifikát.
Nadřízení typicky chtějí mít také přehled o svých podřízených:
- kam mají přístup, jaká mají práva,
- kdy jim začíná či končí úvazek,
- jaké mají certifikáty a vpn přístupy, kdy jim končí,
- na jakých projektech pracují.
Vedoucí pracovníci s výhodou použijí grafické rozhraní identity manageru, aby mohli výše uvedené situace rychle řešit sami.
Jak IdM “pozná” vedoucího?
HR systém musí IDM poskytovat určité indicie. Ty mohou být samozřejmě různé a každý HR systém to dělá trošku jinak, podle toho, jak sám data interně reprezentuje. Způsoby identifikace vedoucího z HR systému:
- Přímo – HR předá do IdM ke každému uživateli identifikátor jeho vedoucího – nejčastěji osobní číslo nebo login. Jde o nejjednodušší způsob, kdy IdM nemusí tuto informaci dopočítávat dynamicky, pouze ji přebere a uloží k identitě (často jde o ad-hoc vyvíjené HR systémy)
- Odkazem – HR předává referenci na organizaci nebo pracovní místo (židlička), kde sedí nadřízený. IdM pak musí dynamicky nadřízeného dopočítat buď při načítání dat, nebo až ve chvíli, kdy nadřízený provádí nějakou operaci a IdM hodnotí, zda na to má právo. (většina komerčních HR systémů – VEMA, SAP HR, OK Base…)
- Příznakem u identity – HR označí člověka jako vedoucího. Takový člověk je v oddělení pouze jeden. IdM počítá dynamicky vedoucího podobně jako v předchozím případě. (vybrané HR systémy – některé verze VEMA)
Jak různé HR systémy evidují nadřízené?
1. Struktura pracovních pozic
Toto je nejjednodušší případ z hlediska dynamického výpočtu nadřízeného. Organizační struktura v HR obsahuje strom pracovních pozic (židliček) a ta je předávána do identity manageru. Vazby mezi židličkami přímo znázorňují podřízenost lidí v organizaci. Taková struktura typicky začíná ředitelem celé organizace (kořen org. struktury) a postupuje přes jeho podřízené jako jsou vedoucí oddělení až po “pěšáky” jako je třeba asistentka.
Organizační struktura a navázané identity v IdM:
Výhody:
- Jednoduchý výpočet nadřízeného.
- Výhodné, pokud uživatelé v organizaci jsou zvyklí procházet strukturu po pracovních pozicích (přes židličky), nikoli po org. útvarech.
- Jednoduchá synchronizace dat z HR.
Nevýhody:
- V IdM není struktura útvarů – například firma → oddělení → úsek, nemusí to být uživatelsky moc intuitivní.
- Nelze přidělovat aut. role přes útvary, pouze přes pracovní pozice.
typický zástupce personalistik: SAP HR
2. Plná org. struktura a reference na nadřízeného u pracovní pozice
Struktura organizace je kompletní, tzn. Začíná útvary (oddělení, úseky) a listy struktury tvoří pracovní pozice (rada). Každá pracovní pozice odkazuje na nadřízenou pracovní pozici (na ní sedí manager uživatele).
Organizační struktura a navázané identity v IdM:
Výhody
-
V IdM je kompletní org. struktura (útvary i pozice) – přehledné a dobře se s tím pracuje.
-
IdM nativně podporuje výpočet nadřízeného bez implementačních změn.
- Lze definovat automatické role na útvary i pozice,
Nevýhody
-
Pomalejší výpočet nadřízeného než v 1).
- Složitější synchronizace dat z HR.
-
Málokdy HR tento stav podporuje nativně – často je třeba úprava na úrovni zdroje dat (CSV, View)..
typický zástupce personalistik: OK Base
3. Vedoucí pro útvar jsou označeni příznakem u identity
Struktura organizace je reprezentována útvary. Lidé jsou zařazováni do útvarů (bez. pracovních pozic) a jeden z lidí v útvaru je označen jako vedoucí.
Organizační struktura a navázané identity v IdM:
Výhody
- Jednoduchá struktura, přehledné.
- Jednoduchá synchronizace z HR.
Nevýhody
- Poměrně pomalý výpočet nadřízeného – je třeba procházet lidi na oddělení a jejich příznaky
typický zástupce personalistik: VEMA
Shrnutí
Ve článku jsme si představili některé možnosti struktury dat v HR systému a tedy přeneseně i v identity manageru. Další reprezentace dat jsou pochopitelně možné, často se však jedná o modifikaci výše uvedených případů. Moderní identity managery nativně podporují různé způsoby reprezentace organizační struktury a výpočtu nadřízených pracovníků. Případně dovolují doplnit novou implementaci výpočtu nadřízených a podřízených.
V případě dotazů mne neváhejte kontaktovat: marcel.poul@bcvsolutions.eu.
Použité zdroje a zajímavé odkazy:
- co je identity management
- Jak vybrat IDM.
- napojení VEMA a IDM
- Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu
- API pro připojení do Identity Managementu.
- Jak zabránit vendor lock-in u Identity Managementu?
- Jak naplánovat a úspěšně migrovat IDM?
