Luego de explicar muy generalmente lo que puede hacer IDM por su empresa, quisiera comenzar ahora un conjunto de artículos que expliquen la necesidad de aprovechar el potencial de IDM en cualquier organización. De los elementos a explicar, el principal y base de una estrategia de IDM es el directorio, o, los servicios de directorio hablando en idioma SOA actual.
Incluso antes de pensar en un servicio de directorio y explicar en qué consiste para resolver la historia del primer post, (Puede leerlo aquí), me permito aclarar que debe conocerse el estado actual de su organización. Preguntas como:
- ¿Cuál es el proceso de nuevos ingresos y de egresos?
- ¿Cuál es la fuente confiable 100% donde puedo saber quién es empleado o no?
- ¿Cuál es el proceso cuando un empleado es ascendido o se cambia de departamento?
- ¿Sabemos qué accesos, a cuáles sistemas, y a qué nivel corresponden a cada cargo de nuestra organización?
- ¿Tenemos reglas de acceso basadas en temporada, horario, o nivel de empleado?
En fin, tener información documentada de los procesos relacionados con el recurso humano y más importante aún, que esta infomación no sea levantada por personal técnico sino por personal funcional que esté familiarizado con dichas tareas.
Dicho esto, hablemos de la estrategia de directorios. Un directorio, en lo que a IDM se refiere, es una fuente única de información de objetos (personas, sistemas, equipos, etc) que interactúan en la infraestructura tecnológica de una organización para efectos de control de acceso, autenticación y autorización; si no está en nuestro directorio, no existe en nuestra organización, por ende, no accede a nuestros recursos. Para implementar esta fase de una estrategia de IDM se usa un directorio LDAP Lightweight Directory Access Protocol (en español Protocolo Ligero de Acceso a Directorios). Un directorio LDAP es un protocolo estándar, por ende, cualquier producto adquirido y que cumpla con este estándar se comunica con el mismo idioma y de la misma manera, adicionalmente pueden tener funciones de valor agregado integradas por cada fabricante pero siempre cumpliendo con el protocolo LDAP.
En el directorio se registra la información de manera jerárquica, incluso se registran políticas de seguridad. La idea es que este directorio sirva no sólo como repositorio de información matriz como empleados y servidores, sino también como punto de consulta de los sistemas de control de acceso, SSO y seguridad; de manera que un cambio en las políticas de seguridad de la empresa -cosa bastante común- no implique un cambio en los sistemas que aplican estas políticas.
El estado ideal de un directorio es que no sea manipulado por el personal de TI más allá de la configuración inicial y alguna modificación de fondo. Los sistemas que apoyan los procesos de identidad son los que modifican las propiedades de los objetos registrados. RRHH usará esta información para sus labores con los empleados, IT la usará para sus labores de acceso y cada empleado tendrá su identidad registrada y la permisología que tenga en este directorio. Se centraliza la información en vez de tener varias fuentes de información desactualizadas y a veces con información antagónica.
Esta fase de la estrategia de IDM es muy importante. Mientras más detallado sea el trabajo de levantamiento de información, configuración del directorio y el diseño de los procesos para mantenerlo actualizado, más rápido serán las fases de implementación de los demás componentes de la estrategia de IDM (SSO, Control de acceso, Aprovisionamiento y aplicaciones analíticas).
Los comentarios son bienvenidos y para un contacto más directo puede hacerlo a través de Twitter
No hay comentarios:
Publicar un comentario