Identity Management: semplificazione dei processi di provisioning
Transcript
Identity Management: semplificazione dei processi di provisioning
Identity Management: semplificazione dei processi di provisioning Il processo di provisioning: un’esigenza da non sottovalutare per essere efficienti ed efficaci. Il numero di applicazioni aziendali disponibili agli utenti aumenta in maniera esponenziale ogni anno e, per ognuna di queste, occorre definire regole chiare di accesso che spesso passano per processi di autorizzazione lunghi e, talvolta, strutturati su più livelli. Un processo di “provisioning”, cioè il processo che regola l’accesso di un utenza ad una specifica applicazione, è un tema che nessuna grande azienda strutturata può più ignorare perché ottimizzare questa area vuol dire risparmiare tempo e denaro, nonché rispondere con efficienza al bisogno degli utenti Esigenze In questo contesto, il nostro cliente ha espresso la necessità di avviare un progetto di “Identity Management” che avesse come obiettivi principali i seguenti punti: Creazione automatica degli utenti in Active Directory: sulla base delle informazioni inserite dall’ufficio del personale nel software gestionale, in automatico viene creata una utenza AD nella organizational unit specifica dell’area di competenza. L’oggetto appartiene ad un set standard di gruppi preimpostato per quel genere di profilo. Creazione casella di posta elettronica e profilo di instant messaging: grazie al fatto che questi servizi sono erogati da Exchange 2010 e Lync 2012, ogni utente viene automaticamente abilitato all’utilizzo dei servizi di messaggistica. Invio richiesta di abilitazione APP al manager: in base a liste di applicazioni predefinite e all’ufficio di appartenenza della persona, vengono inviate mail di “richiesta autorizzazione” per l’accesso a specifiche applicazioni. Il manager che riceve queste richieste può approvare o negare l’accesso. Creazione Utenze applicative: in caso di profilazione automatica o a seguito di autorizzazione da parte del manager, se necessario vengono automaticamente create le utenze sui sistemi target. Self Service reset Password: attraverso un portale appositamente creato, ogni utente è in grado di resettare la propria password sui differenti sistemi a fronte di un processo sicuro di identificazione. Abilitazione accesso file share: sulla base delle informazioni passate dal software gestionale HR, l’utente Active Directory viene inserito nei gruppi utilizzati per garantire l’accesso ai documenti salvati sui file server aziendali. Disabilitazione automatica per cessata attività: quando un collaboratore lascia l’azienda e l’ufficio del personale abilità l’opzione “cessato” sul gestionale, in automatico vengono disabilitate tutte le utenze sui sistemi garantendo il più alto livello di sicurezza per le informazioni aziendali. Soluzione Attraverso un’analisi dettagliata di tutte le applicazioni utilizzate e dei processi di abilitazione/disabilitazione delle utenze, è stato disegnato un work flow globale che rappresentasse il ciclo di vita delle identità digitali che ogni utente poteva avere in azienda. Una volta definita questa analisi attraverso un documento condiviso, sono state implementate tutte le logiche applicative attraverso lo sviluppo di specifici connettori integrati al prodotto Microsoft Forefront Identity Manager 2010. La fonte autoritativa dei dati è stata identificata nel software gestionale HR, vero entry point dell’informazione. I sistemi target gestiti, sono stati: Exchange 2010 per la creazione delle casella di posta elettronica; Lync 2012 per la messaggistica istantanea; SAP per la creazione dell’utente con ruolo standard; Zucchetti per il portale dei cedolini on line; Applicazioni Oracle; Applicazioni SQL; SharePoint. Vantaggi della soluzione La soluzione adottata dal cliente ha coinvolto la normale gestione informatica di 9.000 identità fisiche per un totale di 30.000 identità digitali. Nei primi mesi di utilizzo della soluzione sono diminuiti del 90% le richieste di reset password e del 80% le richieste di abilitazione di accesso alle applicazioni. Solo grazie a questo fattore, il ritorno dell’investimento è stato di due anni senza contare il fatto che il tempo necessario per rendere completamente operativo un nuovo assunto è passato da cinque giorni a un’ora. Dal punto di vista della sicurezza, il cliente ha la certezza di non avere utenze attive non utilizzate e il processo di abilitazione/ disabilitazione è completamente automatico, libero da possibili errori umani. Tecnologie: Windows Server 2012 R2 Forefront Identity Manager 2010 R2 Visual Studio e .Net Framework Lo sviluppo di un portale web integrato nella intranet aziendale, ha dato la possibilità a tutti gli utenti di resettare autonomamente la password dei sistemi utilizzati grazie ad un meccanismo di riconoscimento basato su domande precompilate. Infine, per preservare investimenti fatti precedentemente, sono stati integrati i flussi operativi con il sistema di ticketing in modo da aprire in maniera automatica i ticket indirizzati alle specifiche funzioni opartive. Sede Legale e Operativa: Via Dante, 6 - 21052 Busto Arsizio (VA) Tel.: +39.0331.357400 Fax: +39.0331622869 wwww.facebook.com/GruppoReti wwww.twitter.com/GruppoReti www.linkedin.com/company/gruppo-reti www.youtube.com/user/GruppoReti