Microsoft Forefront Identity Manager в ООО Хоум Кредит энд Финанс Банк

О компании

Банк Хоум Кредит, работающий в России с 2002 года, входит пятерку
банков-лидеров по объемам кредитования физических лиц, а также в Топ-30 по
размеру активов и обладает одной из крупнейших на российском рынке филиальных
банковских сетей. Банк представлен в более чем 2000 городах страны, имеет
свыше 5000 банковских офисов различных форматов. В общей сложности
обслуживанием клиентов, число которых превышает 23,7 млн. человек, занимаются
более 25 тыс. сотрудников.

Ситуация

Банк интенсивно растет и расширяет географию своего присутствия, открывает
новые офисы и представительства и, соответственно, увеличивает число штатных
сотрудников и агентов. С точки зрения ИТ это означает рост числа пользователей
разнообразных бизнес-приложений. Уже сегодня количество пользователей
составляет около 25 тыс. человек. В банке функционируют несколько
специализированных информационных систем, а также электронная почта на
платформе Microsoft Exchange Server, кадровая подсистема SAP HR, служба
каталогов на основе Microsoft Active Directory и др. Поддержкой каждой из этих
систем занимаются выделенные ИТ-администраторы, которые, в том числе, управляют
учетными записями пользователей. С ростом числа сотрудников нагрузка на
ИТ-службу увеличивается, а управление учетными записями в масштабе организации
становится все более ресурсоемким и менее прозрачным, что приводит к
существенному повышению рисков ИБ и снижению эксплуатационной эффективности.
Для реализации задачи управления жизненным циклом идентификационных данных было
решено внедрить централизованную систему класса Identity Management.

Решение

В тендере по выбору поставщика системы участвовали все крупные вендоры, имеющие
в своем портфеле аналогичные решения. В результате учета большого количества
параметров, как технических, так и экономических выбор был сделан в пользу
Microsoft и его продукта Forefront Identity Manager (FIM), который лучше всего
вписывался в имеющуюся ИТ-инфраструктуру банка и имеет большую историю успешных
промышленных внедрений в российских банках. Для реализации проекта был
приглашен партнер Microsoft — компания JET Infosystems.

Для первого этапа были выбраны три ключевые системы, находящиеся в промышленной
эксплуатации: покупная ERP-система SAP HR, общесистемный продукт Exchange
Server в связке с Active Directory и специализированная банковская система
«Кворум», полностью кастомизированная и доработанная под заказ банка. Во всех
трех системах реализованы принципиально разные механизмы ведения учетных
записей. По замыслу проектной команды, это должно было помочь отработать
различные ситуации, которые могут возникнуть при миграции в единую Identity
Management System. Кроме того, это давало возможность собрать максимально
полную статистику и сравнить, сколько времени занимают основные операции
администрирования учетных записей до и после внедрения FIM.

На втором этапе предстоит перевести в среду FIM учетные записи для всех
ключевых бизнес-приложений. Завершающим этапом должна стать передача под
управление FIM учетных данных из всех второстепенных систем.

Унификация учетных данных

В различных системах правила заполнения учетных записей
пользователей отличаются друг от друга. Например, в некоторых из них отдельные
поля можно оставлять незаполненными или присваивать им неуникальные значения, и
т.п. Таким образом, при попытке объединить данные из разных систем часть
записей не удовлетворяют строгим требованиям и могут признаваться
некорректными.

Первоначально при миграции данных предполагался перенос только тех записей,
которые полностью соответствуют всем критериям FIM. Однако это оказалось
принципиально невозможным. Например, для визуального поиска сотрудника в
списках FIM было рекомендовано обязательное заведение отчества, но оказалось,
что внедрить это ограничение нельзя из-за отсутствия отчества у
сотрудников-иностранцев. Более того, около 800 сотрудников являются полными
тезками, однако найти объективный и реальный ID было не так просто – например,
стандартный табельный номер не применим для агентов, работающих по договорам.
Для решения подобных задач FIM предоставляет возможности проведения начального
связывания идентификационных данных, которые и использовались проектной
командой.

Поскольку учетные записи в системах, входящих в контур интеграции, будут
управляться централизованно при помощи FIM, было необходимо исключить ситуации
первоначального искажения атрибутов учетных записей, в связи с некорректной
приоритезацией источников данных.

«Если бы система внедрялась ”с нуля”, то подобные проблемы не
возникли — все записи с самого начала заводились бы в полном соответствии с
критериями FIM». «Но мы не могли допустить, чтобы сотни сотрудников банка вдруг
лишились бы доступа к ключевым системам. Потери от простоев были бы слишком
велики. В итоге нам потребовалось около десяти тестовых итераций, чтобы
доработать штатные процедуры и успешно выполнить
миграцию», — поясняет Сергей
Новицкий.

Обеспечение производительности

Одной из задач внедрения FIM было сокращение времени, которое администраторы
затрачивали на управление учетными записями и выполнение необходимых процедур.
Поэтому производительность работы была основным показателем, на который
ориентировались в банке при внедрении FIM. Оборудование было подобрано в
соответствии со стандартными расчетами. Однако в ходе проекта выяснилось, что
для обработки такого рекордного количества записей «типовой» мощности серверов
оказалось недостаточно. Потребовался дополнительный аудит с участием
представителей Microsoft, чтобы сформулировать новые требования к аппаратному
обеспечению.

Организация и планирование внедрения

При внедрении продуктов мирового уровня часто предполагается,
что заказчик должен подстраивать свои процессы и правила под «лучшие практики»,
реализованные в продукте. В данном случае такой подход не мог привести к
успеху. Проектной команде пришлось выработать собственную методологию
внедрения. 

«Масштабное внедрение новой системы в промышленной среде, с ее
действующими правилами и ограничениями, не может вестись строго по классическим
канонам. Необходимо на самых ранних этапах выделить время и ресурсы, чтобы
провести полноценное обследование, спрогнозировать возможные риски и четко
спланировать ход проекта», — считает Сергей
Новицкий.

Поскольку продукт, подобный FIM, не может быть просто установлен в типовом
«коробочном» варианте, необходимо привлекать к его внедрению профессионалов,
имеющих опыт проектов, аналогичных по сложности и масштабу. Таких экспертов
предоставило банку российское подразделение Microsoft Consulting
Services. 

Преимущества

«Мы внедряем FIM не для того, чтобы просто реализовать системный
подход к управлению учетными записями или уменьшить риски. Проект преследует
вполне определенные экономические цели. Добившись сокращения трудозатрат на
выполнение операций администрирования, мы уже заметно уменьшили расходы на
обслуживание бизнес-приложений». «Несмотря на возникавшие трудности, мы
довольны результатами проекта. Даже на первом этапе, охватившем всего три
системы, мы получили явный выигрыш в скорости выполнения многих операций
администрирования. Со временем, когда администраторы полностью освоят новую
систему, экономический эффект проявится еще сильнее», — комментирует
итоги проекта Сергей Новицкий.

Опираясь на практический опыт, полученный на первом этапе проекта,
ИТ-руководство получило возможность обосновано спланировать второй, основной
этап внедрения, который должен начаться в 2012 году. Для него отобраны те
системы, для которых перевод учетных записей на платформу FIM даст наиболее
ощутимые результаты и позволит получить наибольший экономический эффект. А
реализация третьего этапа позволит полностью унифицировать процессы управления
учетными записями. ИТ-администраторы станут взаимозаменяемыми, и банку не
придется «раздувать» штаты ИТ-подразделений нанимая сотрудников с узкой
специализацией по одной из прикладных платформ.