מנורה - הראשונה ליישם ניהול מבוסס זהויות

חברת מנורה-מבטחים מפעילה בהצלחה תשתית מלאה של ניהול זהויות והרשאות, במערכת שהיא מהראשונות שיושמו בארץ, ואשר ממשיכה להתפתח ולהתרחב כדי לתמוך בשנויים הנגזרים מהצרכים העסקיים של הארגון. זוהי מערכת ניהול זהויות גדולה ומורכבת, המטפלת במגוון רחב יחסית של אוכלוסיות משתמשים, בהם כ- 1,200 עובדים, כ 2,000 משרדי סוכנים, כ 6,000 תחנות עבודה וכ- 10,000 מפעלים מכל הארץ.

קבוצת הביטוח מנורה היא מחמש קבוצות הביטוח הגדולות בישראל. פעילותה מכסה את תחומי ביטוח החיים, הבריאות והכללי (אלמנטרי). עם רכישת מבטחים (קרן הפנסיה הגדולה בישראל) הפכה מנורה לגורם הביטוח הפנסיוני המוביל.

אגף טכנולוגיות המידע בקבוצת מנורה מספק שירות ותמיכה לכ- 1,200 עובדים, כ 2,000 משרדי סוכנים, כ 6,000 תחנות עבודה וכ- 10,000 מפעלים. “תחום התשתיות באגף מערכות מידע של קבוצת מנורה מצליח לענות לצרכי הקבוצה בין היתר בזכות הטכנולוגיות שאימץ. למערכת ה IdM של נובל יש חלק נכבד בתרומה לכך” – כך אומר גבי שובל, מנהל תחום תשתיות וטכנולוגיה במנורה.

ואכן, מנורה היא מחלוצי הארגונים בארץ המיישמים טכנולוגיה לניהול זהויות. מנורה נסמכת על תשתית טכנולוגית של נובל כמרכיב מרכזי בשירותי המידע שלה. תשתית זו משרתת אוכלוסית סוכנים רחבה מאד מזה מספר שנים, ואת כל אוכלוסית העובדים בארגון בשנה וחצי האחרונות.

ניהול הרשאות גישה וזהויות

כבר בשלהי שנות התשעים החלה מנורה לאפשר לקהל סוכני הביטוח גישה ישירה לשירותים ממוחשבים בתחום הביטוח. השימוש בתשתית האינטרנט וביישומים מבוססי דפדפן הוגדר כתפיסת העבודה המועדפת לפיתוח יישומים ולגישה אליהם.

מאידך, רבוי היישומים והשונות שביניהם, עמדו ליצור שתי בעיות נלוות: האחת, תקורת ניהול לא מבוטלת המבוטאת במשך זמן ארוך מדי (לעיתים מספר ימים) שנדרש עד לסיום ביצוע הגדרות המאפשרות גישת סוכן חדש למערכות, או לביצוע שנויי הרשאות לסוכנים קיימים. בנוסף, אובחנה בעיה עם “חווית המשתמש” של הסוכן, אשר נזקק להזדהות מול מגוון היישומים השונים שהועמדו לרשותו.

לצורך תכנון והקמת הפרויקט נעזר אגף טכנולוגיות המידע בשירותיה של חברת פרולינק, חברת יעוץ המתמחה בפרויקטים של ניהול זהויות. חברת פרולינק הציעה והדגימה במהלך שנת 2000 אפשרות להקמת מסגרת אבטחה לשירותים לסוכן, על ידי שימוש בשתי טכנולוגיות חדשניות וחדשות (אז) מבית נובל: iChain – כמעטפת אבטחת גישה מהאינטרנט, יחד עם DirXML – כמנגנון אוטומטי להגדרת וניהול חשבונות משתמשים לסוכני הביטוח.

השימוש בשרתי iChain מבטיח כי כל סוכן יוכל לגשת אך ורק לסל השירותים המותר לו, תוך ביצוע הזדהות רק פעם אחת, גם אם בפועל הוא עובד מול מספר רב של יישומים, בו זמנית. מערכת ניהול הזהויות (אז מבוססת DirXML ) איפשרה הקמת חשבונות משתמשים לסוכנים, באופן אוטומטי ומהיר, בכל מערכות המחשב אליהן הותרה גישה לסוכן.

עם הקמת הפתרון היה ברור כי מדובר בהצלחה מבחינת מנורה; תהליך הגדרת שירותים לסוכן התקצר עתה לדקות ספורות מרגע אישור בקשה. סוכנים דווחו על שיפור מהותי באיכות השירות ונוחות העבודה.

לאור ההצלחה הוחלט במנורה כי כל שירות חדש יכנס לתוך מעטפת הפרויקט. מנורה פיתחה והקימה פורטל יישומים לסוכן (“מנורה-נט”), המאגד בתוכו את כל השירותים.

לפני כשנה וחצי הוחלט על הרחבת המערכת לטיפול גם בכ- 1,200 עובדי מנורה, כולל עובדי “מבטחים” שהצטרפה לקבוצה בעקבות רכישת קרן הפנסיה. כיום פועלות בהצלחה מערכת ניהול הזהויות ובקרת ההרשאות הן לאוכלוסית הסוכנים והן לעובדים השונים.

מאחורי הקלעים

מרכיב ניהול המשתמשים השונים, הן בקרב הסוכנים והן בקרב העובדים, שודרג במשך השנים ל- Identity Manager של נובל. נתונים המוזנים למערכת זו גורמים להתנעה אוטומטית של תהליך במנגנון ניהול הזהויות, אשר מבצע בפועל את הגדרת חשבונות המשתמש והרשאותיו במערכות המותרות לו לשימוש.

בסך הכל מקיף הפרויקט עשרות מערכות, מבוססות מוצרים משורה ארוכה ומגוונת של יצרני תוכנה. בתוך כך נכללים מספר גדול של בסיסי נתונים, מערכות הפעלה שונות (יבמ, נובל, מיקרוסופט, לינוקס), שירותי ספרייה (Directories) ושורה ארוכה של יישומים ייעודיים מתחומים שונים.

חברת מנורה היא כנראה החברה היחידה בה היקף הפעילות בתחום ניהול הזהויות וההרשאות הביא להגדרת תפקיד ייעודי: “ראש נושא ניהול זהויות”. ענת קסורלה, הנושאת בתפקיד זה במחלקת התשתיות, מספרת כי המערכת מתרחבת בהתמדה וכוללת יישומים מתחומים מגוונים מאד, הן לאוכלוסית הסוכנים והן לאוכלוסית העובדים.

“תוספות פונקציונליות למערכת מתרחשות כל הזמן, עם קליטת יישומים חדשים בקבוצת מנורה. אנו רותמים יישומים לשימוש בנתוני זהויות באמצעות ממשקים סטנדרטיים כמו LDAP, או באמצעות תהליכי הקמת וביטול משתמש של מערכת Identity Managerאל תוך האפליקציות”.

“מערכת בקרת הגישה וניהול ההרשאות מרכזת את כל פעילות המשתמשים (סוכנים ועובדים) אל שורת יישומים מרכזיים. עקב מרכזיותה, פועלת המערכת בתצורת יתירות גבוהה המבטיחה לנו זמינות של 100%, עם שליטה בהפסקות הפעילות לצרכי תחזוקה יזומה ושדרוגים תקופתיים. המוצרים המרכזיים במערכת הוכחו כאמינים במיוחד ונוחים מאד לשימוש”.

עופר גיגי, מנהל תחום הטכנולוגיות בחברת פרולינק, מלווה את הפרויקט מראשיתו: “מעניין לראות כי מנורה הצליחה ליצור סביבת עבודה נוחה לאוכלוסיות המשתמשים המגוונות, תוך שמירה על עקרונות אבטחת מידע חשובים”.

“בתחום שנחשב עדיין למורכב מאד וקשה ליישום, מנורה היא כנראה דוגמא מוחשית לחברה המיישמת מזה זמן רב טכנולוגיות ניהול זהויות, בצורה רחבה ובהצלחה”.