Identity Management: semplificazione dei processi di provisioning

Identity Management:
semplificazione dei processi
di provisioning
Il processo di provisioning: un’esigenza da non
sottovalutare per essere efficienti ed efficaci.
Il numero di applicazioni aziendali disponibili agli
utenti aumenta in maniera esponenziale ogni
anno e, per ognuna di queste, occorre definire
regole chiare di accesso che spesso passano per
processi di autorizzazione lunghi e, talvolta,
strutturati su più livelli.
Un processo di “provisioning”, cioè il processo
che regola l’accesso di un utenza ad una
specifica applicazione, è un tema che nessuna
grande azienda strutturata può più ignorare
perché ottimizzare questa area vuol dire
risparmiare tempo e denaro, nonché rispondere
con efficienza al bisogno degli utenti
Esigenze



In questo contesto, il nostro cliente ha espresso
la necessità di avviare un progetto di “Identity
Management” che avesse come obiettivi
principali i seguenti punti:




Creazione automatica degli utenti in
Active
Directory:
sulla base delle
informazioni
inserite
dall’ufficio
del
personale nel software gestionale, in
automatico viene creata una utenza AD
nella organizational unit specifica dell’area
di competenza. L’oggetto appartiene ad un
set standard di gruppi preimpostato per
quel genere di profilo.
Creazione casella di posta elettronica
e profilo di instant messaging: grazie al
fatto che questi servizi sono erogati da
Exchange 2010 e Lync 2012, ogni utente
viene automaticamente abilitato all’utilizzo
dei servizi di messaggistica.
Invio richiesta di abilitazione APP al
manager: in base a liste di applicazioni
predefinite e all’ufficio di appartenenza
della persona, vengono inviate mail di
“richiesta autorizzazione” per l’accesso a
specifiche applicazioni. Il manager che
riceve queste richieste può approvare o
negare l’accesso.
Creazione Utenze applicative: in caso di
profilazione automatica o a seguito di
autorizzazione da parte del manager, se
necessario
vengono
automaticamente
create le utenze sui sistemi target.
Self Service reset Password: attraverso
un portale appositamente creato, ogni
utente è in grado di resettare la propria
password sui differenti sistemi a fronte di
un processo sicuro di identificazione.
Abilitazione accesso file share: sulla
base delle informazioni passate dal
software gestionale HR, l’utente Active
Directory viene inserito nei gruppi utilizzati
per garantire l’accesso ai documenti salvati
sui file server aziendali.
Disabilitazione automatica per cessata
attività: quando un collaboratore lascia
l’azienda e l’ufficio del personale abilità
l’opzione “cessato” sul gestionale, in
automatico vengono disabilitate tutte le
utenze sui sistemi garantendo il più alto
livello di sicurezza per le informazioni
aziendali.
Soluzione
Attraverso un’analisi dettagliata di tutte le
applicazioni utilizzate e dei processi di
abilitazione/disabilitazione delle utenze, è stato
disegnato
un
work
flow
globale
che
rappresentasse il ciclo di vita delle identità
digitali che ogni utente poteva avere in azienda.
Una volta definita questa analisi attraverso un
documento condiviso, sono state implementate
tutte le logiche applicative attraverso lo sviluppo
di specifici connettori integrati al prodotto
Microsoft Forefront Identity Manager 2010. La
fonte autoritativa dei dati è stata identificata nel
software gestionale HR, vero entry point
dell’informazione. I sistemi target gestiti, sono
stati:







Exchange 2010 per la creazione delle
casella di posta elettronica;
Lync 2012 per la messaggistica istantanea;
SAP per la creazione dell’utente con ruolo
standard;
Zucchetti per il portale dei cedolini on line;
Applicazioni Oracle;
Applicazioni SQL;
SharePoint.
Vantaggi della soluzione
La soluzione adottata dal cliente ha coinvolto la
normale gestione informatica di 9.000 identità
fisiche per un totale di 30.000 identità digitali.
Nei primi mesi di utilizzo della soluzione sono
diminuiti del 90% le richieste di reset password
e del 80% le richieste di abilitazione di accesso
alle applicazioni. Solo grazie a questo fattore, il
ritorno dell’investimento è stato di due anni
senza contare il fatto che il tempo necessario
per rendere completamente operativo un nuovo
assunto è passato da cinque giorni a un’ora.
Dal punto di vista della sicurezza, il cliente ha la
certezza di non avere utenze attive non
utilizzate
e
il
processo
di
abilitazione/
disabilitazione è completamente automatico,
libero da possibili errori umani.
Tecnologie:



Windows Server 2012 R2
Forefront Identity Manager 2010 R2
Visual Studio e .Net Framework
Lo sviluppo di un portale web integrato nella
intranet aziendale, ha dato la possibilità a tutti
gli utenti di resettare autonomamente la
password dei sistemi utilizzati grazie ad un
meccanismo di riconoscimento basato su
domande precompilate.
Infine,
per
preservare
investimenti
fatti
precedentemente, sono stati integrati i flussi
operativi con il sistema di ticketing in modo da
aprire in maniera automatica i ticket indirizzati
alle specifiche funzioni opartive.
Sede Legale e Operativa:
Via Dante, 6 - 21052 Busto Arsizio (VA)
Tel.: +39.0331.357400
Fax: +39.0331622869
wwww.facebook.com/GruppoReti
wwww.twitter.com/GruppoReti
www.linkedin.com/company/gruppo-reti
www.youtube.com/user/GruppoReti