Андрей Линник
Начальник отдела конфигурирования и администрирования «Beeline Казахстан»
Закончил Казахскую академию транспорта и коммуникации им. М. Тынышбаева (КазАТК). С 2011 года работает в ТОО «Картел». 2018–2020 годы — начальник отдела технической поддержки. С 2020 г. занимает позицию начальника отдела конфигурирования и администрирования «Beeline Казахстан».
Внедрение сложных корпоративных продуктов всегда интересно рассматривать с точки зрения оценки пройденных этапов и анализа новых задач. Развитие проекта One Identity Manager в «Beeline Казахстан» мы обсудили с Андреем Линником, начальником отдела конфигурирования и администрирования.
Осенью 2021 года мы опубликовали интервью с Ольгой Зыгиной, в котором она рассказала о начале проекта по управлению идентификацией (IdM), о постановке задач и первых результатах внедрения платформы One Identity Manager. Когда вы стали владельцем (product owner) системы, какой путь развития выбрали, как продолжили внедрение?
Андрей Линник: Я не только владелец процесса управления доступом, но и руководитель отдела — у нас на поддержке более 30 ИТ-систем. И я решил немного пересмотреть IdM в пользу автоматизации своих сервисов. Поскольку приоритетные задачи вроде выдачи базового доступа и контроля SOX-значимых систем (SOX — нормативный акт США, который определяет требования к документообороту и финансовой отчётности публичных компаний. — Прим. ред.) были решены, я пошёл параллельным путём: наши администраторы систем выполняют действительно много рутинных ручных операций, которые можно отдать на откуп автоматической системе, высвободив ресурсы. Мы посоветовались с коллегами из One Identity, провели несколько экспериментов, и у нас получилось.
Какие задачи удалось решить и убедиться тем самым в эффективности такого подхода?
А. Л.: Это был проект автоматизации управления доступом к телефонии Teams. Мы весьма быстро поняли, что IdM может заменить действия администратора по выдаче лицензии, плюс назначение номера телефона из пула свободных номеров, плюс постоянный контроль со стороны IdM по свободным номерам телефонов. Таким образом, после согласования заявки на телефонию Teams IdM исполняет данную заявку за 1 минуту. У администратора на это уходило в среднем от 10 до 15 минут плюс принятый в компании уровень качества услуги (SLA) на срок исполнения заявки. Получаем следующие выгоды: экономия времени у администратора и минимум ожидания у заказчика.
Следующее — управление лицензиями, в том числе оперативное изъятие неиспользуемых. Это не только снятие рутинной задачи с сотрудника, но и разумное использование лицензий.
Также мы сделали дополнительный превентивный процесс: когда количество подбирается к максимальному доступному, включается скрипт перераспределения лицензий (типы лицензий E1 и E3), чтобы не пострадали бизнес-процессы и пользователи продолжали работать с приложением.
Звучит интересно! То есть вы решили максимально использовать возможности автоматизации Identity Manager для управления внутренними ИТ-сервисами Beeline и повышения эффективности работы ваших коллег.
А. Л.: Да, мы проанализировали рабочий день администратора, разложили все его текущие задачи, выбрали повторяющиеся. Даже если эта задача занимает 15 минут, но встречается часто, — её нужно автоматизировать, а человеку оставить более интеллектуальную работу.
Также из недавнего — предоставление прав на общий почтовый ящик. Эта задача изначально находилась немного за рамками базового внедрения IdM, поскольку общие почтовые ящики не привязаны к конкретной сущности (identity) и не всегда понятно, кому нужен доступ к ним. Такие заявки у нас обрабатывались в ручном режиме с соответствующим SLA и требовали порядка тех же 10—15 минут работы администратора. Сейчас этим занимается Identity Manager, доступ выдаётся в течение нескольких секунд.
Ещё один пример: в рамках эксперимента мы сделали заявку на массовый доступ в систему. Ранее сотрудникам приходилось создавать заявку на изменение (change request) и ждать согласования и исполнения (причём у исполнителя есть свой SLA), а это — потеря времени. Сейчас на базе связки Identity Manager и системы ITSM сделали специальную заявку, и нужные доступы после согласования выдаются за пару минут.
Управление лицензиями ПО — не самая известная задача для IdM. Как вы внедрили такую функциональность у себя?
А. Л.: С помощью One Identity Manager мы решаем в первую очередь проблему своевременного изъятия лицензий пользовательского программного обеспечения. Сейчас у нас в работе два проекта: управление лицензиями Facebook Workplace (деятельность компании Meta (соцсети Facebook, Instagram) запрещена в России как экстремистская) и Microsoft Exchange. Механика вполне проста: мы ежедневно передаём в IdM статистику по активности пользователей в этих системах (last logon) и по истечении определённого времени, например после 60 дней неиспользования сервиса, автоматически изымаем лицензию. Если сотрудник по факту не пользуется приложением, зачем компания будет за него платить?
У нас уже реализован такой подход для перераспределения и изъятия неиспользуемых лицензий Office 365 в рамках всей организации. В данном случае Identity Manager — это не просто система контроля доступа, но и непосредственный участник процесса управления программными активами (Software Asset Management, SAM). Для любой крупной компании, которая использует ПО, применение автоматического инструмента контроля и реализации сценариев экономии лицензий однозначно необходимо.
Если вернуться к базовым сценариям IdM-системы — управлению доступом сотрудников, — что интересного получилось реализовать в последнее время?
А. Л.: Есть интересный кейс со внешними пользователями и подрядчиками. Когда мои сотрудники уходят в отпуск, я прошу их ставить меня как замещающего, чтобы дополнительно анализировать количество и тематику запросов, которые приходят к ним на обработку. И я обратил внимание, что весьма большое количество заявок было по внешним сотрудникам для продления действия их учётных записей. У нас реализован процесс управления доступом для «внешников» (мы контролируем с помощью Identity Manager их жизненный цикл), но в моменте мы поняли, что нужно доработать процесс продления их полномочий: стали появляться ситуации, когда мы постфактум узнаём, что наш партнёр потерял доступ из-за окончания срока его действия, указанного в заявке. Мы настроили этот процесс и соответствующие оповещения: теперь и сам подрядчик, и его куратор в Beeline предупреждаются о скором окончании доступа и можно заранее сформировать заявку. Всё это кажется весьма узкой задачей, но так решается много параллельных вопросов, в первую очередь — обеспечивается непрерывность бизнеса (заведение заявок и их согласование).
Также мы реализовали механизм сохранения доступов в том случае, если произошёл сбой не системный, а по причине человеческого фактора: ошибочно уволен человек, IdM-система заблокировала аккаунт и изъяла все доступы. Раньше, чтобы вернуться на шаг назад, нужно было заново заводить заявки, согласовывать и предоставлять доступы, то есть повторно принимать сотрудника на работу. А теперь мы нажимаем, условно говоря, на одну кнопку и возвращаемся в работоспособную точку до ошибки.
Была доработана бизнес-логика для сценария массовых структурных изменений: переименование отделов, переход команд в другую дирекцию и так далее. По умолчанию при такой трансформации все ключевые доступы у сотрудников должны быть автоматически отобраны с последующим запуском нового процесса их выдачи — нужны повторные согласования и заведение заявок. Мы же, понимая, что в 90 % подобных случаев функциональные обязанности остаются неизменными, создали механизм переноса и сохранения всех полномочий сотрудников в новой структуре.
И главная гордость: недавно мы завершили миграцию кадровой системы на платформу Oracle Fusion. Поскольку кадровая система является доверенным источником информации для IdM-системы, наш департамент был непосредственно вовлечён в этот проект. Миграция прошла успешно — фактически в один щелчок мышью, в один день. В компании работают около 6000 сотрудников по всему Казахстану, и вся организационная структура, все данные пользователей в новой кадровой системе синхронизировались с соответствующими полномочиями и политиками Identity Manager без каких-либо сбоев. Это действительно круто! Важно отметить, что система One Identity умеет работать одновременно с несколькими источниками кадровых данных, что в том числе и обеспечило бесшовный переход в нашем случае.
Востребован ли у вас модуль самостоятельного сброса паролей?
А. Л.: Востребован на 100 %! Эта функциональность помогает всем пользователям, в том числе и внешним, самостоятельно запрашивать себе новый пароль для доменной учётной записи. Забыл ли сотрудник пароль или заблокировал свою учётную запись после нескольких неудачных попыток входа — можно за пару минут получить новый временный пароль без обращения в службу поддержки (а это экономит время сотрудника последней).
После внедрения портала «pm.beeline.kz» количество обращений по тематикам связанным с паролями сократилось в два раза — до примерно 150 запросов в месяц. Время, которое сотрудники техподдержки (Service Desk) ранее затрачивали на такие операции, сократилось в среднем до трёх минут на операцию. На сегодняшний день более 80 % сотрудников Beeline самостоятельно меняют свои пароли и восстанавливают доступ к учётной записи через портал.
Одна из целей внедрения IdM-системы — реализовать требования регуляторов и нормативных актов, а также обеспечить готовность организации к аудитам. Как Identity Manager помогает вам в этом?
А. Л.: Мы как мобильный оператор, который обслуживает 10 миллионов абонентов по всей стране, периодически проходим соответствующие проверки — как внутренние, так и внешние аудиты по различным стандартам. За последнее время у нас не было ни одного серьёзного замечания аудиторов, связанного с подсистемой управления доступом. Это значит, что у нас всё реализовано правильно, прозрачность и безопасность доступа к корпоративным ресурсам обеспечены.
Не могу не спросить о планах развития вашей платформы. Какие задачи вы ставите на ближайшее время?
А. Л.: Сейчас мы прорабатываем тему централизованного управления технологическими учётными записями. Подход таков: за каждой технологической «учёткой» закреплён конкретный сотрудник, который отвечает за её жизненный цикл; в случае если этот сотрудник увольняется или переходит на другую должность, Identity Manager оповещает всех заинтересованных лиц о риске «осиротения» таких учётных записей и мы всегда можем своевременно провести переназначение владельца. В процессе реализации этого проекта мы проведём дополнительный аудит всех существующих технологических учётных записей для повышения прозрачности и безопасности использования аккаунтов этого типа. Будем развивать интеграцию Identity Manager с системой инвентаризации нематериальных активов (лицензий).
Также мы продолжаем добавлять системы в контур управления IdM-системы: на этот год запланирована интеграция ещё одной SOX-значимой системы, ожидается непростой и интересный проект. Таким образом, мы стараемся двигаться во всех направлениях: разрабатывать интеграции, развивать ролевую модель, автоматизировать рутинные операции и повышать эффективность использования ресурсов компании. Мы — приверженцы «бережливой» концепции (Lean) и всегда стремимся к оптимизации всех процессов.
Очень рад, что проект One Identity Manager в Beeline живёт и развивается! И то, что вы реализуете нестандартные, но очень важные и эффективные сценарии, замечательно вдвойне.
А. Л.: Во многих компаниях сейчас внедряются программные роботы (Robotic Process Automation, RPA), которые имитируют работу человека и автоматизируют некоторые стандартные операции. В связи с этим хочется отметить, что IdM — не робот, а настоящий администратор, который может брать на себя весьма сложные задачи и делать это быстро и качественно. Также, как выяснилось, это незаменимый помощник по процессу управления программными активами (SAM).
Андрей, большое спасибо за рассказ! Желаем успехов!