Správa identit z personálního systému a časové řezy
Autoritativním zdrojem informací o zaměstnancích bývá pro Identity management personální (HR) systém. Například pokud člověk nastupuje v určitý den dle personálního systému, tak od toho dne IdM založí účty do Windows a dalších vašich aplikací.
Cílem tohoto článku je popsat výhody integrace HR systému s Identity managementem.
Dozvědět se více o Identity Mangementu.
O HR systémech
HR systém neboli personální systém slouží ke správě zaměstnanců z hlediska jejich pracovních smluv, dovolených a osobních údajů. Existuje mnoho českých a mezinárodních systémů. Naši klienti používají například tyto HR systémy:
- VEMA
- OKbase
- Helios Green
- SAP HR
- Navision
Změny v HR a součinnost IT oddělení s nastavením přístupů
Popíši zde dva reálné příklady, u kterých je správné načasování přístupů důležité pro efektivitu práce a bezpečnost. U těchto příkladů se využívá interní funkce IdMka (aplikace Identity Managementu) “časové řezy“, kterou vysvětlím na konci.
Příklady situací a jejich řešení:
1. Příklad na efektivitu práce a bezpečnost. Zaměstnanec mění pozici.
Ve firmě máte nadaného člověka, pro příklad vyberme Martina, s kterým jste se dohodli na změně pozice. Martin u vás pracuje pár let v obchodním oddělení. Teď přechází do Marketingu od následujícího měsíce.
Dle smlouvy se zadá do systému od 1.6.2020 Martin mění pozici. Pro IT Administrátora to znamená, že 1.6. přidá nová oprávnění, vytvoří účty a předá je Martinovi. Toto zní velice jednoduše a většinou se to obejde bez problémů. Ale co se stane, když váš Administrátor je nemocný nebo řeší urgentní výpadek serveru? Navíc tento úkol je pro vašeho IT experta jen administrativní, není náročný na přemýšlení a lze automatizovat. Na Martina i vaší firmu to má také negativní dopady – efektivita práce a jeho čas strávený čekáním.
Poznámka: Tento příklad končí dobře. Existují i negativní scénáře ukradených dat. Situace mohou vzniknout špatným předáním informací ohledně deaktivace účtu či stresová situace vašich lidí. Stroje běží pořád a nezapomínají.
Co se dá v tomto procesu vylepšit?
Administrátor může přístupy nastavit dříve, ale tím dochází k auditní chybě (Martin má mít přístup přesně od 1.6.2020).
Nejlepší možností je využití IdM, automaticky založí nové přístupy a účty od 1.6.2020. V den změny Martin také obdrží smsku nebo email s vygenerovaným heslem. Toto je výhoda automatizace, efektivity a bezpečnosti nastaveného IdM systému.
2. Příklad souvisí s bezpečností (de-aktivace účtů) na mateřské a rodičovské dovolené
Kateřina, manželka Martina, pracuje ve finančním oddělení a odchází 31.7.2020 na mateřskou dovolenou. Pracovní smlouvu má na dobu neurčitou. HR oddělení zadalo informace do jejich personálního systému. Následně by jí měl IT administrátor de-aktivovat účty do doby než nastoupí zpět za domluvený 1 rok.
Proces deaktivace účtů je většinou jednodušší než zakládání nových účtů. Zároveň má vyšší bezpečnostní riziko, a proto by se neměl proces opomíjet. Platí podobné požadavky na IT administrátora jako v předchozím příkladu – admin musí najít čas a účty zablokovat v ten určitý den. Pokud se mu dostane informace, že má účty jen blokovat a nemazat, tak zůstanou bez změn neaktivní.
Základní výhoda IdM je automatizace i auditní stopa. Uživatelce se synchronizují začátky, konce a přerušení smluv z HR (i informace o mateřské dovolené). Procesy nastavíme jednou. To vede k vyšší bezpečnosti a auditu. IdM zneaktivní účty a role dle našich nastavených pravidel. Jakmile Kateřina nastoupí zpět, tak se jí automaticky nastaví přístupy a zaktivní účty. Součástí IdM bývá i notifikace pro IT oddělení o tom, že přichází noví zaměstnanci a je pro ně potřeba připravit techniku.
Co to jsou časové řezy a jaká je jejich výhoda?
Časové řezy využívají HR systémy. Jsou to záznamy o jednotlivých uživatelích a jejich smlouvách a pracovním nasazení s časovým razítkem (datum). Takové zjednodušené zobrazení časových řezů si ukážeme na tabulce s uživatelkou Kateřinou. Časový řez = změna u uživatele k určitému dni.
Datum změny
Uživatel
Pozice
Status
1.3.2015
Kateřina
Finanční účetní – nástup
Aktivní
1.5.2018
Kateřina
Finanční ředitelka
Aktivní
31.7.2020
Kateřina
–Mateřská dovolená–
Neaktivní
1.8.2021
Kateřina
–Návrat z mateřské dovolené na pozici Finanční ředitelka–
Aktivní
Po objasnění časových řezů se pojďme podívat na jejich hlavní výhodu. To k čemu slouží je asi jasné – lze modelovat i budoucí stavy pracovních úvazků a organizační struktury a na tyto budoucí (i minulé) změny ihned reagovat v dalších systémech.
Ve většině firem se synchronizace dat provádí přes noc. U menších firem s několika desítky či stovky uživatelů se může dělat rekonciliace dat neboli synchronizovat všechny uživatele denně. U větších firem s několika tisíci či desetitisíci uživateli se většinou synchronizují pouze aktuální změny. Proto nelze reagovat na budoucí změnu org. struktury nebo vzniku úvazku. Ne tak s IdM, příklady:
11.5. HR zadá změnu -> IdM synchronizuje do své databáze info o změně a zakládá účty, byť obvykle zadeaktivované. Na tyto účty lze již schvalovat role-práva s účinnosti dne aktivace pracovního úvazku.
31.7. HR nedělá nic -> IdM aktivuje účet, který již má proschválená práva. Zaměstnanec má veškeré potřebné přístupy a může začít pracovat.
Závěrem
Na začátku článku jsem popsal součinnost HR systému s IdM. Ukazál jsem dva příklady jak lze pracovat s daty z personálního oddělení a jak zachovat správnost dat (založení/zablokování účtů). Automatizace pomáhá s bezpečností a efektivitou práce. A nakonec jsem popsal interní funkci časových řezů, která vytváří logiku smluv z HR systémů.
Pokud se chcete zeptat na něco ohledně napojení systémů, časových řezů či ostatních témat, napište mi email nebo do komentáře pod článkem a já Vám rád odpovím.