IDM באוניברסיטת בר אילן
מתן הרשאות גישה לעשרות-אלפי סטודנטים, מרצים ואנשי מנהל, התבצע לאורך עשרות שנים מתוך מערכת המיינפריים של אוניברסיטת בר-אילן. אגף התקשוב של האוניברסיטה זיהה את הצורך ליצור מנגנון ניהול זהויות חדש וכלל-ארגוני. בעזרת חברת ProLink, תוכנן ובוצע מעבר למערכת IDM של חברת NetIQ. המערכת נכנסה לעבודה לפני מספר חודשים, וכבר החלה לייעל תהליכים ומתוכננת לאפשר שיפור והרחבת השירותים למשתמשים.
אוניברסיטת בר-אילן היא בין האוניברסיטאות המובילות והגדולות בישראל, ובה פעילים כ- 25 אלף סטודנטים, כ- 5000 אנשי סגל אקדמי וכ- 2000 אנשי מנהל. אוניברסיטת בר-אילן ממשיכה ומתפתחת ובשנים האחרונות נוספו פקולטות חדשות כמו הפקולטה להנדסה, וקמפוס חדש בצפת ובו פקולטה לרפואה.
את תמיכת ה- IT המרכזית מספק אגף התקשוב המונה כ- 80 איש. האגף מטפל במערכות המרכזיות של האוניברסיטה: מסדי נתונים, מערכת מיינפריים, מערכות דואר אלקטרוני, תשתיות רשת מרכזיות ויישומים עבור תחומי המנהל והמחקר.
תנופת הצמיחה של האוניברסיטה באה לידי ביטוי גם בהחלפת מערכות מרכזיות, ובהן מעבר מערכת ה- ERP לאורקל (כספים, מחקר, לוגיסטיקה ומשאבי אנוש), הגירה הדרגתית ממערכת מיינפריים מרכזית והרחבה מהותית של תשתיות למידה ומבחנים באינטרנט, לתמיכה באלפי סטודנטים בו זמנית.
נפרדים מהמיינפריים – ומשאירים ניהול מרכזי
עשהאל מובשוביץ, סמנכ"ל תקשוב של אוניברסיטת בר-אילן מספר כי "הצורך בפרויקט נבע משתי סיבות מרכזיות. הראשונה, ליצור מערכת אחת שתיתן מענה לכל אפליקציית תשתית הדורשת ניהול משתמשים והרשאות, והשנייה – התיישנותה של מערכת ניהול המשתמשים הוותיקה במיינפריים, שנכתבה ב- ADABAS Natural"
"באוניברסיטה החלו בהיערכות ראשונית לפרויקט כבר בשנת 2010, אך במהלכה בוצעו רק מספר דיונים ראשונים להתנעת התהליך".
אודות הפרויקט – שלב התכנון
"IDM הוא פרויקט ארגוני אפילו יותר מאשר טכנולוגי. על מנת לאפיין כראוי את הצרכים, נדרשנו לחפש בזיכרון הקולקטיבי של האוניברסיטה הרבה מאד חוקים וכללים, ולחשוב עליהם מחדש", אמר עשהאל, "זה בעיני עיקר העבודה".
המורכבות נובעת בין היתר מכך שבאוניברסיטה קיימים סוגים שונים של משתמשים בעלי מאפיינים וצרכים שונים מאד. כך למשל – סטודנטים לתואר ראשון אינם דורשים את אותם שירותים כמו דוקטורנטים, וסקטור אנשי המנהל מורכב מסוגים שונים של עובדים.
בשלב הראשון הוחלט להתמקד במערכות קליטה של סטודנטים, משאבי אנוש (HR) של סגל האוניברסיטה (אקדמי, מנהלי ומחקר), מערכות דואר ויישומים (לוטוס נוטס, Exchange ) ותשתיות מחשוב מרכזיות.
כדי לצלוח את הפרויקט, נבחרה חברת ProLink המתמחה בתחום ניהול זהויות והרשאות. פרולינק נבחרה לאחר בחינה של פרויקטים דומים שביצעה במוסדות אקדמיים גדולים ובמספר גופים מסחריים משמעותיים. אנשי פרולינק ליוו את הפרויקט בכל שלביו.
"הדגש בתכנון היה על הבנת המנגנונים הקיימים, וגם על תיחום הפרויקט. לאורך כל הפרויקט קוימו פגישות היגוי. בעזרת פרולינק הבנו היכן כדאי להעמיק והיכן המאמצים לא יניבו תועלות משמעותיות" אמר עשהאל.
ויקטור שטרנברג, מנהל הפרויקט וראש מדור מערכות LAN ציין ש "היה צורך לרדת לפרטי-פרטים של מבני הנתונים להם נדרשה מערכת ה- IDM, לתהליכים המדויקים של קליטת נתונים, עיבודם ותהליכי ההעברה שלהם בין כלל המערכות המשתתפות. פרולינק עשו את הדברים בצורה מדויקת".
עליה לאוויר
חטיבת ה- IT סימנה את אוקטובר 2012, פתיחת שנת הלימודים, כתאריך העלייה לאוויר. בתוך כך הוגדר כי תשתית הניהול במיינפריים תיסגר, והסטודנטים ואנשי הסגל החדשים יקלטו במערכת החדשה.
במהלך חודשים יולי ואוגוסט נכנסה המערכת לשלבי בדיקות, בתהליך שהקיף את רוב אנשי האפליקציה והתשתית.
"החשש היה שבמעבר של מאסה גדולה של נתונים יהיו 'פספוסים'. בייחוד לאור העובדה שהחלטות של הענקת הרשאות התבססה על מערכת חוקים שנכתבה מחדש לחלוטין. אמנם התבססנו על מידע שתשאלנו במערכת הקודמת, אבל היה צריך לבדוק מול המערכת הישנה ומול החדשה ששתיהן מספקות את אותה הרשאה, ומה שלא – היה צריך להבין ולתקן", אמר ויקטור שטרנברג. "היה מעניין לגלות שבחלק מהמקרים מערכת ה-IDM סיפקה תמונה נכונה יותר של התוצאות הרצויות".
כדי להבטיח מעבר חלק בוצעו סימולציות עבור מאסות של נתונים, ונבדק שהם עוברים באותו אופן – ללא שינוי בהרשאות וללא אובדן רשומות.
"ההישג הגדול הוא שבצורה די חלקה, יחסית למורכבות והקושי, ה- IDM החליפה מערכת מרכזית של טיפול במשתמשים שעבדה במשך 30-40 שנה. זה לא רק בניה של מערכת חדשה – אלא תרגום כל החוכמה במערכת הישנה לשפה החדשה ולכלים החדשים. הטמעה בצורה כזאת שהמשתמשים לא ירגישו" אמר שטרנברג. "פרולינק גילו מעורבות, איכפתיות והובלה. בחלקים מסויימים הם היו אלו שדחפו והובילו, ידעו לקשור את כל הגורמים וראו את התמונה הגדולה".
המצב כיום
לאחר השלמת השלב הראשון חלק משמעותי מאד מהמערכות של אוניברסיטת בר-אילן נמצאות בממשק מלא למערכת ה- IDM. עבור כל מערכות אלה ניהול הזהויות מתבצע בצורה אחידה דרך מערכת ה- IDM.
דפנא סמט, ראש מחלקת מערכות מידע, התייחסה לשנוי שחל בשיטת העבודה ביחס למערכת הישנה: "כשאתה יושב על קבצי נתונים שמועברים פעם ביום אתה לא מסונכרן לחלוטין. ה-IDM היא מערכת פתוחה, ויש לה נגישות ישירה לחלק מהמערכות הפתוחות של הארגון. היא שואבת את נתונים ממערכות מקור, מחשבת הרשאות רצויות ומעדכנת ישירות במערכות קצה. כתוצאה מכך פחות מסתמכים על קבצים ההולכים הלוך ושוב. אנו בתחילת הדרך במטרה להפוך את ה- IDM לחלק אינטגרלי לחלוטין מכלל המערכות באוניברסיטה".
יחד עם זאת, סמט מציינת כי המטרה העיקרית של מערכת ה- IDM היא לא לחסוך עבודה, אלא לייעל שירות למשתמשים. בתוך כך – עם התשתית שנבנתה, מתכננים באוניברסיטה להמשיך ולהטמיע מנגנוני (SSO (Single Sign On .
"יש בארגון הרבה מערכות והרבה משתמשים, בעיקר סטודנטים, שנאלצים לזכור סיסמאות שונות. המעבר ל SSO ישפר מאד את השירות לסטודנטים", אמרה סמט.
"אני מוכרחה להגיד לזכות חברת פרולינק, שבאמת לקחו על עצמם את הדבר הדי בלתי אפשרי, והצליחו לעמוד בלוח זמנים צפוף, ולתת פתרון כך שכמות הבעיות, ותמיד יש בעיות, לא הייתה מהותית. מצד המשתמשים – סטודנטים ואנשי סגל שמערכת חדשה סיפקה להם הרשאות – ההטמעה עברה חלק ויפה באופן יחסי להטמעות, תוך שילוב צוותי התמיכה אצלנו".