Jak naplánovat a úspěšně migrovat Identity Manager

Dosluhuje Vám současný identity management software? Platíte velké sumy za licence nebo vám jednoduše stávající řešení nevyhovuje?

Často se setkáváme s požadavkem migrace z jiného SW Identity Manageru. V následujícím článku se dozvíte postřehy z reálných migrací identity management SW. Co je to identity Management najdete zde.

Zadáním je tedy migrovat, jednoduchý upgrade nedává smysl. Jedná se o migraci na kompletně jiné technologie. Často je potřeba změnit i stávající procesy, které Identity Manager podporuje. Systémy, které je třeba spravovat se mění – upgradují, nahrazují nebo je potřeba spravovat další.

Jak úspěšně zvládnout migraci IdM? (aktualizace článku z roku 2016)

Důvody k migraci

  • Cena licencí – současné řešení je velmi drahé pro placení produktových licencí: Typicky IBM nebo Oracle.
  • Produkt je funkčně nedostačující nebo nevyhovující: Například Microsoft Forefront ForeIdentity Manager (FIM) a jeho portálová obsluha pro uživatele. Migrovali jsme již několik případů.
  • Řešení je nasazeno nekvalitně, nedostatečně a zákazník ztratil důvěru, proto hledá jiného dodavatele a produkt. Setkáváme s tím, že je IdM nasazen jako “datová pumpa”. Což je naprosté nepochopení a degradace produktu.
  • Řešení si již odpracovalo své a je třeba generační obměny. Zákazník je otevřen i jiným produktům než je stávající.

Jaký produkt vybrat?

Vybírejte tým implementátorů ne produkt, na který migrovat. Kvalitní tým dokáže s různými produkty IdM podobnou muziku, naopak to ovšem neplatí. Při výběru týmu si nechte navrhnout řešení, nechte si ukázat zákaznická nasazení, raději několik. Ukázka funkcí produktu pro správný výběr dodavatele naprosto nestačí!

Vybral jsem tedy tým a produkt, co dál? Je třeba si nadefinovat parametry migračního projektu. Co je klíčovým parametrem? Čas nebo migrace historických metadat schválených přístupů?

Checklist při migraci

1) Jak rychle je třeba odmigrovat?

Časový tlak (například končící licence stávajícího řešení) může migraci zkomplikovat a výrazně prodražit. Je velký rozdíl, zda máte jeden velký projekt, nebo několik malých, které se mnohem snadněji řídí.

Doporučuji nenechat se zatlačit do časové urgence. Doba na migraci je zásadním vstupem do rozhodování. Implementační tým má tu obrovskou výhodu, že má dostatek prostoru migrovat “velkým třeskem” nebo řešení postupně nahrazovat.

2) Je nutné zachovat shodné GUI pro uživatele?

Nové kvalitnější uživatelské rozhraní musí být kvalitativním posunem kupředu. Současným trendem je usnadnění a zjednodušování funkcí. Uživatelé již nechtějí čekat na odezvu, číst návody. Jsou negativní ke změnám, což vyřeší proškolení a srozumitelné uživatelské rozhraní.

3) Jsou možné odstávky IdM při migraci?

Identity Manager odmigrovat bez odstávky lze. Ovšem chce to čas na důkladnou přípravu dat a odborníka.  Bezvýpadková migrace nemusí být nutně dražší.

4) Je nutné migrovat vše najednou tzv. velký třesk? 

Hodně záleží na míře integrace se systémy. U jednodušších integrací (pozor neznamená nutně malé řešení) je vhodný velký třesk. U složitější míry integrace se nám osvědčuje migrovat postupně, po jednotlivých systémech a typech identit. Menší celky lze lépe naplánovat, otestovat a rychleji odmigrovat. Zamezit tím chybám, rychle doručovat funkční řešen. Je výhodnější míti minimální, ale plně funkční řešení, které lze zlepšovat, než mít staré nebo nemít žádné.

5) Přidat další systémy do správy?

Nejdříve migrovat, ověřit správnou funkčnost, používat. Pak přidávat další systémy.

6) Je vhodné při migraci přidávat funkce a měnit procesy?

Měnit procesy doporučujeme! Je třeba postupovat s rozmyslem. Migrace na jiný produkt znamená vždy tvorbu procesů znova. Pak je lepší změnit a vylepšit i procesy a napojení systémů…

Ovšem neosvědčilo se zvětšovat a nafukovat projekt o další procesy nebo systémy.

Jak migrovat?

Obrovskou výhodou migrace je, že nevýmýšlíte kolo. Využijete vymyšlené postupy IDM, které již organizace přijala.  U prvních projektů IDM je právě vymyšlení těchto procesů a prosazení v organizaci tou nejnáročnější aktivitou. O to je projekt migrace výrazně jednodušeny.

Co se recyklujete z minulého řešení IDM:

  1. Procesy. Procesy musíte zcela znova vyvinout, ALE máte jasné zadání, které již organizace přijala za své. Tyto procesy lze zlepšit, což je obvykle levnější než start na “zelené louce”.
  2. Napojení systémů. Konektory lze někdy znovu využít. Hlavní je, že koncové systémy mají api, známe jejich data, která jsou připravena. Což je výrazné usnadnění.
  3. Funkce IDM. Z používaného stávajícího řešení víte, které funkce skutečně používáte. Ty stojí za to migrovat. Ty nepoužívané není třeba migrovat. Další funkce opatrně přidat. Příklady funkcí: reset hesla, životní cyklus rolí, reporty, automatické procesy, kola schvalování apod.

Jsou dva základní přístupy migrace: “velký třesk” nebo postupná migrace bez výpadku. Každé řešení je vhodné na jinou situaci stávajícího řešení..

U rozsáhlých nasazení lze Identity Managery postavit vedle sebe. Vzájemně integrovat nejdříve IdM jako podvěšený systém.  A postupně přepojovat spravované systémy na nový Identity Manager. Vše řádně otestovat bez stresu a nasazovat do produkce. Staré řešení IDM postupně ukončit.  Zároveň postupné přepojování umožňuje reagovat pružněji na změnové požadavky automatizovaných procesů a dalších funkcí. Nevýhodou může být potřeba dočasně servisovat staré i nové řešení IDM.

Rozhodnutí zda migrovat najednou nebo postupně konzultujte s expertem, který má za sebou mnoho projektů IdM. Expert se zkušenostmi z migrací je schopen najít vhodnější cestu, kde ji ostatní nevidí.

Dokončení…

Nebojte se migrace. Když se správně pojme, bude úspěšná. :-)

Věnuji se projektům Identity Managementu – centralizované správy identit již 14 let. Jeden z typů projektů, které s týmem děláme jsou migrace z jiných řešení/produktů na náš CzechIdM. Máme za sebou migrace z řešení Microsoftu, IBM, Oracle, Sun i Novell. Migrační projekty bývají z těch náročnějších a díky tomu i nejzajímavějších.

Máte dotazy? Máte zájem o případovou studii postupné migrace? Kontaktujte mne mailem: lukas.cirkva@bcvsolutions.eu.

Zajímavé odkazy

  1. Co je to Identity Management.
  2. Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu
  3. Jak vybrat IDM.
  4. Jak identifikovat nadřízeného z personalistiky pomocí Identity Manageru?
  5. Jak zabránit vendor lock-in u Identity Managementu?
  6. Případová studie: Průběžná migrace z Oracle IdM Waveset na CzechIdM

About Lukáš Cirkva

CEO, Identity Management consultant with 10+ years of experience. I have also played a leadership role in the development of our company's own SW tool - CzechIdM. We also service our delivered solutions. Please see www.CzechIdM.com and linkedin for more info: www.linkedin.com/in/lukascirkva/

Leave a Reply

Your email address will not be published. Required fields are marked *