Software de aprovisionamiento de usuarios

Software de computadora

El software de aprovisionamiento de usuarios es un software diseñado para ayudar a las organizaciones a administrar de forma más rápida, económica, confiable y segura la información sobre los usuarios en múltiples sistemas y aplicaciones.

Antecedentes: sistemas, aplicaciones y usuarios

Las personas están representadas por objetos de usuario o cuentas de inicio de sesión en diferentes sistemas y aplicaciones.

Algunos ejemplos de sistemas y aplicaciones incluyen:

• Directorios LDAP .
• Microsoft Active Directory y Novell eDirectory .
• Sistemas operativos como Linux , Unix , Solaris , AIX , HP-UX y Windows Server .
• Productos de seguridad de mainframe como RAC/F , CA ACF/2 y CA TopSecret.
• Aplicaciones ERP como SAP R/3 , PeopleSoft , JD Edwards , Lawson Financials y Oracle eBusiness Suite.
• Sistemas de correo electrónico como Microsoft Exchange y Lotus Notes .
• Bases de datos como Oracle, Microsoft SQL Server, IBM DB2 y MySQL.
• Una variedad de otros sistemas y aplicaciones personalizados o de mercado vertical.

Los objetos de usuario generalmente consisten en:

• Un identificador único.
• Una descripción de la persona a la que se le ha asignado el objeto de usuario, principalmente su nombre.
• Información de contacto de esa persona, como su dirección de correo electrónico, números de teléfono, dirección postal, etc.
• Información organizativa sobre esa persona, como el ID de su gerente, su departamento o su ubicación.
• Una contraseña y/u otros factores de autenticación.

Tenga en cuenta que los usuarios no necesitan poder iniciar sesión en un sistema o aplicación. El objeto de usuario puede ser un registro en una aplicación de recursos humanos o una entrada en un sistema de guía telefónica, en el que el usuario no puede iniciar sesión pero que, no obstante, lo representa.

Los objetos de usuario generalmente están conectados a otras partes de un sistema o aplicación a través de derechos de seguridad. En la mayoría de los sistemas, esto se hace colocando a un usuario en uno o más grupos de seguridad, donde a los usuarios de cada grupo se les otorgan ciertos derechos de seguridad.

Procesos del ciclo de vida del usuario

Las organizaciones implementan procesos comerciales para crear, administrar y eliminar objetos de usuario en sus sistemas y aplicaciones:

• Incorporación:
  • Representa los pasos que se toman cuando se contrata a un nuevo empleado, un contratista comienza a trabajar o se le concede acceso a los sistemas a un cliente o socio.
  • Este término alude al proceso de cargar pasajeros en un avión comercial.
• Gestión:
  • Los usuarios son dinámicos: cambian nombres, direcciones, responsabilidades y más.
  • Los cambios que experimentan los usuarios en el mundo físico deben reflejarse en los objetos del usuario en los sistemas y aplicaciones.
• Apoyo:
  • A veces, los usuarios experimentan problemas con los sistemas y las aplicaciones. Por ejemplo, pueden olvidar su contraseña o necesitar nuevos derechos de seguridad.
  • El soporte al usuario significa cambiar datos sobre los usuarios en sistemas y aplicaciones, restablecer contraseñas de usuarios, etc., para resolver problemas de los usuarios.
• Desactivación:
  • Los usuarios tienen una vida útil finita y normalmente una relación aún más corta con una organización donde se administra un sistema o una aplicación.
  • Cuando los usuarios se van (terminación, renuncia, jubilación, fin de contrato, fin de relación con el cliente, etc.) su acceso a los sistemas y aplicaciones también debe desactivarse.

Por cierto, el término ciclo de vida no implica necesariamente que los usuarios que han sido desactivados no vuelvan a ser incorporados. Sin embargo, esto puede ocurrir. Por ejemplo, los empleados pueden dejar una empresa y ser recontratados más tarde, o los contratistas pueden finalizar su contrato solo para ser contratados como empleados.

Sistemas de aprovisionamiento de usuarios

Los sistemas de aprovisionamiento de usuarios están destinados a ayudar a las organizaciones a optimizar los procesos del ciclo de vida del usuario para que se puedan realizar actualizaciones de los objetos de usuario en sus sistemas y aplicaciones:

• Más rápidamente, para que los usuarios no tengan que esperar los cambios.
• De manera más eficiente: para reducir el costo de administrar sistemas y aplicaciones en respuesta a eventos del ciclo de vida del usuario.
• De manera más segura: para reducir el riesgo de que el sistema se vea comprometido debido a objetos de usuario que han dejado de ser útiles, a derechos de seguridad inadecuados y a contraseñas que se adivinan fácilmente o que están comprometidas de algún otro modo.

Procesos de aprovisionamiento de usuarios

Un sistema de aprovisionamiento de usuarios puede implementar uno o más procesos para lograr los objetivos antes mencionados. Estos procesos pueden incluir:

• Aprovisionamiento automático. Por ejemplo:
  • Supervise una aplicación de RR.HH. y cree automáticamente nuevos usuarios en otros sistemas y aplicaciones cuando aparezcan nuevos registros de empleados en la base de datos de RR.HH.
• Desactivación automática. Por ejemplo:
  • Supervise una aplicación de RR.HH. y desactive automáticamente los objetos de los usuarios en otros sistemas y aplicaciones cuando los registros de un empleado desaparecen o se marcan como inactivos en la base de datos de RR.HH.
  • Desactivar automáticamente los objetos de usuario para los usuarios, como los contratistas, cuya fecha de finalización programada haya pasado.
• Sincronización de identidad. Por ejemplo:
  • Cuando se detectan cambios en la dirección de correo electrónico de un usuario en un sistema de correo, se actualiza automáticamente la dirección de correo electrónico del mismo usuario en otros sistemas.
  • Cuando se detectan cambios en el nombre, número de teléfono o dirección postal de un usuario en un sistema de RRHH, se actualiza automáticamente la dirección de correo electrónico del mismo usuario en otros sistemas.
• Cambios en el perfil de autoservicio. Por ejemplo:
  • Permitir a los usuarios actualizar su propia información de contacto.
• Solicitudes de acceso de autoservicio. Por ejemplo:
  • Permitir a los usuarios solicitar acceso a sistemas y aplicaciones.
• Solicitudes de acceso delegado. Por ejemplo:
  • Permitir que los gerentes soliciten acceso a sistemas y aplicaciones en nombre de sus subordinados directos.
• Flujo de trabajo de autorización. Por ejemplo:
  • Pedir a las partes interesadas del negocio que revisen y aprueben o rechacen los cambios propuestos en los perfiles de usuario o los derechos de acceso.
• Certificación de acceso. Por ejemplo:
  • Pida periódicamente a los gerentes que verifiquen que la lista de sus subordinados directos (a) todavía están empleados en la organización y (b) todavía reportan ante ellos.
  • Periódicamente, los propietarios de datos o aplicaciones verifican una lista de usuarios con acceso a sus datos o aplicaciones.

Componentes del sistema de aprovisionamiento de usuarios

Un sistema de aprovisionamiento de usuarios debe, en general, incluir algunos o todos los siguientes componentes:

• Conectores, para leer información sobre los usuarios desde sistemas y aplicaciones integrados y para enviar actualizaciones (por ejemplo, crear un nuevo usuario, eliminar un usuario, modificar la información del usuario) a esos sistemas y aplicaciones.
• Una base de datos interna que rastrea objetos de usuario y otros datos de sistemas y aplicaciones integrados.
• Un sistema de autodescubrimiento, que rellena la base de datos interna utilizando los conectores.
• Una interfaz de usuario donde los usuarios pueden revisar el contenido de la base de datos interna, realizar solicitudes de cambio, aprobar o rechazar cambios propuestos, etc.
• Un motor de flujo de trabajo, utilizado principalmente para invitar a los usuarios a revisar y aprobar o rechazar cambios.
• Un motor de políticas que evalúa tanto la información actual del usuario como los cambios propuestos para ver si cumplen con las normas y regulaciones corporativas.
• Un motor de informes que ayuda a las organizaciones a extraer información de la base de datos interna.

Referencias

• Casassa Mont, Marco; Baldwin, Adrian; Shiu, Simon (2009), Identity Analytics - "User Provisioning" Case Study: Using Modeling and Simulation for Policy Decision Support, pág. 49
• Hommel, Wolfgang; Schiffers, Michael (2005), Apoyo a la gestión del ciclo de vida de organizaciones virtuales mediante el aprovisionamiento dinámico de usuarios federados , pág. 12, CiteSeerX  10.1.1.84.6068
• Becker, M; Drew, M (2005), "Superar los desafíos en la implementación de la red troncal de aprovisionamiento de usuarios/gestión de acceso a identidades", BT Technology Journal , 23 (4) (publicado en 2006): 71–79, doi :10.1007/s10550-006-0009-x, S2CID  62666410
• Witty, Roberta J (2003), Panorama del mercado de la gestión de identidad y acceso (PDF) , pág. 11