K&H Központosított felhasználó adminisztráció gyakorlati megvalósítása
Döntés előtt Körülmények, amelyek alapján a döntés megszületett a Központi Felhasználó Adminisztráció (CUA) szükségességéről Informatikai biztonsági elvárás, az IT-rendszerek felhasználóiról a naprakész ismeret Felhasználóknak milyen alkalmazásokhoz, milyen érvényes hozzáférési jogosultságuk van Szükséges egy adatbázis, amelyben ezek rögzítésre kerülnek és visszamenőleg is követhetők Kulcsfontosságú feladat tehát a jogosultságok központi nyilvántartása, mely tartalmazza Felhasználói jogosultságokat Beérkezett és feldolgozott igényeket Az IT rendszerek jogosultsági adatbázisainak replikációit (Segítségükkel a nyilvántartás és beállítás egyezősége garantálható.) Az eredmény egy precíz, pontosan betartható és követhető rend Megmarad minden jogos hozzáférés, de mindnek kitörölhetetlen nyoma van Hatósági és belső auditálhatóság mindenkori biztosítása is megoldott 2
Kihívások Központi szervezet útján - levelező rendszeren keresztül - történt a jogosultságok igénylése Űrlap kitöltése időigényes (minden alkalommal sok adat kitöltése kell az egyértelmű azonosításhoz) Sok rendszer - kevés az adminisztrátor Központi adatbázis nem naprakész, nem pontos Hibázási lehetőség => szétcsúsznak az engedélyezett és ténylegesen beállított jogosultságok, ezeknek a rendszeres összefuttatása, kontrollja idő- és erőforrásigényes feladat Auditoknak való nem megfelelőség Körülményes visszakeresési lehetőség az archivált levelező adatbázisban Visszamenőleges időpontra vagy idősávra nehézkes vagy nem lehetséges megmondani, hogy kik voltak az adott rendszer felhasználói, milyen jogosultságokkal rendelkeztek és mikor adták ki az engedélyt rá Rendcsinálás a jogosultságok körül, adattisztítás Biztonsági szabályzatoknak megfelelő működés nincs informatikailag támogatva nincs bevezetett informatikai eszköz Központosított felhasználó adminisztráció gyakorlati megvalósítása szükséges 3
Célok Hatékony felhasználó- és hozzáférés kezelés néhány adminisztrátorral Naprakész jogosultság nyilvántartás, workflow-val támogatott igénylési folyamat A hozzáférési jogosultságok változásainak, státuszainak teljeskörű auditálhatósága (visszamenőleg is) A jóváhagyott és beállított jogosultságok egyezése Automatizált eszközzel, hatékony és jól kontrollált felhasználó adminisztráció 4
Megoldás Termék bevezetése erős rendszer integrátori támogatással Nincs polcról levehető, teljes funkcionaltást biztosító termék, ezért egy rugalmasan bővíthető keretrendszer a jó megoldás alapja A fő integrátorok BMC Control-SA alapú megoldást ajánlottak, melyet a Gartner Group is a legjobbak közé rangsorolt A szükséges fejlesztések bonyolultsága indokolttá teszi a feladatot jól megértő rendszerintegrátor bevonását Fő elemek Control-SA Enterprise Security System (Solaris szerver Windows kliens) Historikus adminisztrációs modul, visszamenőleges felhasználói adatokkal Igénylési WorkFlow (Lotus Notes szerver és kliens) Használatra kész agent-ek valamint agent API Megvalósítás fő lépései Folyamatok kialakítása Jogosultságigénylési workflow folyamatok, személyügyi folyamatok (összhang HR-SAP adminisztrációval, munkavállalók mozgása, be- ill. kilépése) Adminisztrációs és riporting funkciók (csoportmunka támogatás, lekérdezések, auditálhatóság megteremtése) Tulajdonosok és a hozzáférési szerepkörök meghatározása alkalmazásonként Adattisztítás (szerepkörökre, felhasználókra) Többféle rendszer integrációs lehetőség (agent, egyirányú kapcsolat, kapcsolat nélküli) 5
Elvárások és megvalósítás HR események követése Integráció az SAP HR moduljával Új alkalmazottak automatikus CUA regisztrációja Jogosultság visszavonás az aznap kilépő dolgozókra Szervezeti változások kezelése jogosultság felülvizsgálat kérés az új vezetőtől Jól ellenőrizhető igénylési folyamat Kulcsrendszerek (50+) naprakész nyilvántartása Vezetők igényelnek a beosztottjaiknak SAP HR-n alapuló szervezeti hierarchia Speciális feltételek (pl.: sikeres vizsga) ellenőrzése (paraméterezhető) Másodlagos jóváhagyás (paraméterezhető) Igénylő követheti az igény útját (felhasználó, rendszer, dátum alapján) Hatékony adminisztráció Automatizált folyamatok Egyszerűbb, gyorsabb központi adminisztráció, csoportmunka támogatás, helyettesítés egyszerűen megoldható Hibalehetőségek csökkenése 6
Elvárások és megvalósítás 2 Letisztított, jóváhagyott aktuális hozzáférési jogosultságok Migrációt megelőző adattisztítás On-line kapcsolat: agent-alapú adminisztráció Egyirányú kapcsolat: napi adatexporton alapuló, automatikus jogosultság egyeztetés Kapcsolat nélkül: rendszeres, manuális jogosultság egyeztetés szükséges (kis felhasználó számú rendszerekre) Biztonság növekedése Jogosultságok naprakész, pontos, teljeskörű nyilvántartása a migrált kulcsrendszerekről (50+) Riportok és ad-hoc lekérdezések gyorsan, egyszerűen elkészíthetők Auditálhatóság, számonkérhetőség, nyomon követés biztosított Ellenőrzés hatékonyságának növekedése Rugalmasság Minősített, további rendszerek könnyen integrálhatók Anya- ill. leányvállalati rendszerek rugalmasan integrálhatók Nem szokványos jogosultságok integrációja (pl.: belépési jogosultság nyilvántartásánál a kártyaszám felel meg a felhasználói azonosítónak, zóna a szerepkörnek) Vezetői ellenőrzés támogatása (audit követelmény a beosztottak jogosultságainak kikényszerített és regisztrált, rendszeres vezetői felülvizsgálata, mely folyamat figyelmeztetésekkel való támogatása és a riport készítés könnyen megvalósítható volt) Nemcsak alkalmazás, hanem OS, DB szintű jogosultságok migrációja is lehetséges Tovább fejleszthető a tényleges munkakör alapú hozzáférés kiosztású modellé 7
Funkcionalitás Felhasználói szerepek a CUA alkalmazásban Végfelhasználók (Lotus Notes WF) Vezetők (Lotus Notes WF) Operátorok (Lotus Notes WF) CUA adminisztrátorok (Lotus Notes WF, ESS, HistADM) WF funkciók Új jogosultság igények rögzítése, meglévők módosítása, visszavonása, felfüggesztése, felfüggesztés feloldása (vezetők) Jogosultságok felülvizsgálata az adminisztrált alkalmazásokra (vezetők) Jelszó igények (minden felhasználó) HistADM funkciók (CUA adminisztrátorok) Beérkező igények adminisztrációja Keletkezett riasztások kivizsgálása, intézkedés az eredeti állapot visszaállítására Riport készítés a felhasználó jogosultságokról az adatbázisból ESS (CUA adminisztrátorok) Új rendszer és szerepköreinek rögzítése, paraméterezése Adminisztrált alkalmazások szerepköreinek karbantartása Felhasználói jogosultságok monitorozása 8
Logikai felépítés Control-SA Control-SA ESS fő adatbázis alkalmazottak alkalmazások felhasználók szerepkörök Interfészek Control-SA agent-ek Import modulok (SAP HR, napi user exportok) Adminisztráció (HistADM) Igény jóváhagyás, User és szerepkör adatbázis (múltbeliek is) Riasztás kezelés (változás előzetes igény nélkül) Jelentés készítés WorkFlow Igények Rendszer és/vagy szerepkör szintű jóváhagyások Vezetői ellenőrzés Operátorok és igénylő vezetők értesítése K&H részére fejlesztve 9
Logikai architektúra 10
K&H CUA WF: Munkakosár 11
K&H CUA WF: Futó igénylések 12
K&H CUA WF: Vezetői lekérdezés 13
K&H CUA WF: Vezetői ellenőrzés 14
K&H CUA WF: Vezetői ell. igazolások 15
K&H CUA WF: Rendszer paraméterezés 16
K&H CUA WF: Szerepkör paraméterezés 17
Control-SA ESS: Jogosultságok 18
HistAdmin modul: Adminisztrátor nézet 19
HistAdmin modul: Igény szűrés 20
HistAdmin modul: Múltbeli keresés szűrés 21
HistAdmin modul: Múltbeli jogosultság 22
Köszönöm m figyelmüket! K&H Bank Nyrt. 1051 Budapest, Vigadó tér 1. Honlap: http://www.kh.hu 23