Jak identifikovat nadřízeného z personalistiky pomocí Identity Manageru?

V předchozích článcích jsme si představili, co je identity management a v čem může IdM pomoci IT pracovníkům.  IdM SW má však širší spektrum použití než jen automatizaci a konzoli pro administrátory. Řeší delegace úkolů a odpovědnosti na business vlastníky procesů nebo vedoucí pracovníky. Důležité je i přesunout pravomoci schvalování přístupů z administrátorů na vedoucí pracovníky –   jde o IT manažery, vedoucí oddělení nebo projektů. Na příkladech tří personálních systémů si ukážeme, jak vedoucí pracovníci mohou využívat IdM. Ukážeme si algoritmy jak dokáže IdM vedoucího z personalistiky identifikovat.

Co můžou vedoucí pracovníci dělat v IdM?

Vedoucí pracovník je především odpovědný za své podřízené. Typická agenda podřízenému:

  • požádat podřízenému o účet či oprávnění v napojených systémech,
  • zrušit mu přístupy nebo jej zablokovat,
  • resetovat mu heslo,
  • žádat mu o VPN přístup nebo certifikát.

Nadřízení typicky chtějí mít také přehled o svých podřízených:

  • kam mají přístup, jaká mají práva,
  • kdy jim začíná či končí úvazek,
  • jaké mají certifikáty a vpn přístupy, kdy jim končí,
  • na jakých projektech pracují.

Vedoucí pracovníci s výhodou použijí grafické rozhraní identity manageru, aby mohli výše uvedené situace rychle řešit sami.

Jak IdM “pozná” vedoucího?

HR systém musí IDM poskytovat určité indicie. Ty mohou být samozřejmě různé a každý HR systém to dělá trošku jinak, podle toho, jak sám data interně reprezentuje. Způsoby identifikace vedoucího z HR systému:

  • Přímo – HR předá do IdM ke každému uživateli identifikátor jeho vedoucího – nejčastěji osobní číslo nebo login. Jde o nejjednodušší způsob, kdy IdM nemusí tuto informaci dopočítávat dynamicky, pouze ji přebere a uloží k identitě (často jde o ad-hoc vyvíjené HR systémy)
  • Odkazem – HR předává referenci na organizaci nebo pracovní místo (židlička), kde sedí nadřízený. IdM pak musí dynamicky nadřízeného dopočítat buď při načítání dat, nebo až ve chvíli, kdy nadřízený provádí nějakou operaci a IdM hodnotí, zda na to má právo. (většina komerčních HR systémů – VEMA, SAP HR, OK Base…)
  • Příznakem u identity – HR označí člověka jako vedoucího. Takový člověk je v oddělení pouze jeden. IdM počítá dynamicky vedoucího podobně jako v předchozím případě. (vybrané HR systémy – některé verze VEMA)

Jak různé HR systémy evidují nadřízené?

1. Struktura pracovních pozic

Toto je nejjednodušší případ z hlediska dynamického výpočtu nadřízeného. Organizační struktura v HR obsahuje strom pracovních pozic (židliček) a ta je předávána do identity manageru. Vazby mezi židličkami přímo znázorňují podřízenost lidí v organizaci. Taková struktura typicky začíná ředitelem celé organizace (kořen org. struktury) a postupuje přes jeho podřízené jako jsou vedoucí oddělení až po “pěšáky” jako je třeba asistentka.

Organizační struktura a navázané identity v IdM:

Výhody:

  • Jednoduchý výpočet nadřízeného.
  • Výhodné, pokud uživatelé v organizaci jsou zvyklí procházet strukturu po pracovních pozicích (přes židličky), nikoli po org. útvarech.
  • Jednoduchá synchronizace dat z HR.

Nevýhody:

  • V IdM není struktura útvarů – například firma → oddělení → úsek, nemusí to být uživatelsky moc intuitivní.
  • Nelze přidělovat aut. role přes útvary, pouze přes pracovní pozice.

typický zástupce personalistik: SAP HR

2. Plná org. struktura a reference na nadřízeného u pracovní pozice

Struktura organizace je kompletní, tzn. Začíná útvary (oddělení, úseky) a listy struktury tvoří pracovní pozice (rada). Každá pracovní pozice odkazuje na nadřízenou pracovní pozici (na ní sedí manager uživatele).

Organizační struktura a navázané identity v IdM:

Výhody

  • V IdM je kompletní org. struktura (útvary i pozice) – přehledné a dobře se s tím pracuje.
  • IdM nativně podporuje výpočet nadřízeného bez implementačních změn.
  • Lze definovat automatické role na útvary i pozice,

Nevýhody

  • Pomalejší výpočet nadřízeného než v 1).
  • Složitější synchronizace dat z HR.
  • Málokdy HR tento stav podporuje nativně – často je třeba úprava na úrovni zdroje dat (CSV, View)..

typický zástupce personalistik: OK Base

3. Vedoucí pro útvar jsou označeni příznakem u identity

Struktura organizace je reprezentována útvary. Lidé jsou zařazováni do útvarů (bez. pracovních pozic) a jeden z lidí v útvaru je označen jako vedoucí.

Organizační struktura a navázané identity v IdM:

Výhody

  • Jednoduchá struktura, přehledné.
  • Jednoduchá synchronizace z HR.

Nevýhody

  • Poměrně pomalý výpočet nadřízeného – je třeba procházet lidi na oddělení a jejich příznaky

typický zástupce personalistik: VEMA

Shrnutí

Ve článku jsme si představili některé možnosti struktury dat v HR systému a tedy přeneseně i v identity manageru. Další reprezentace dat jsou pochopitelně možné, často se však jedná o modifikaci výše uvedených případů. Moderní identity managery nativně podporují různé způsoby reprezentace organizační struktury a výpočtu nadřízených pracovníků. Případně dovolují doplnit novou implementaci výpočtu nadřízených a podřízených.

V případě dotazů mne neváhejte kontaktovat: marcel.poul@bcvsolutions.eu.

Použité zdroje a zajímavé odkazy:
  1. co je identity management
  2. Jak vybrat IDM.
  3. napojení VEMA a IDM
  4. Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu
  5. Jak zabránit vendor lock-in u Identity Managementu?
  6. Jak naplánovat a úspěšně migrovat IDM?

About Marcel Poul

Vedoucí realizace IdM projektů, BCV solutions. Problematice správy identit se věnuje více než 8 let. Dodává projekty IdM pro zákazníky ve státní správě, soukromé firmy i velké nadnárodní korporace. V BCV solutions se také věnuje analýze potřeb zákazníků a rozvoji SW produktu CzechIdM.

Leave a Reply