Por Que Projetos de IGA Estagnam: Uma Avaliação Honesta - Atricore
Uma análise técnica dos quatro problemas de infraestrutura que causam estagnação em implementações de governança de identidade.
A maioria dos projetos IGA encontra os mesmos quatro problemas técnicos. Aqui está quais são e como abordá-los.
1. Qualidade dos Dados de Origem
Projetos IGA assumem que os dados de RH estão limpos. Geralmente não estão.
Problemas comuns incluem relacionamentos de gerente circulares ou nulos, formatos inconsistentes de ID de funcionário, campos obrigatórios vazios, datas de desligamento em funcionários ativos, e datas de início futuras para funcionários atuais.
A plataforma IGA processa os dados que recebe. Problemas nos dados de origem vão aparecer nos seus processos de governança.
O que funciona: Execute análise de qualidade de dados antes da implementação. Construa relatórios de reconciliação que identifiquem anomalias. Corrija problemas de dados nos sistemas de origem, não na plataforma IGA.
2. Complexidade de Integração de Conectores
A integração de sistemas alvo é mais complexa do que RFPs sugerem. Aplicações mainframe frequentemente não têm API. Sistemas legados têm documentação de schema desatualizada. Fornecedores SaaS mudam APIs sem versionamento. Alguns sistemas requerem SDKs proprietários.
Bibliotecas de conectores de fornecedores parecem completas na documentação. Na prática, a maioria dos conectores precisa de customização para mapeamento de atributos, tratamento de erros, e lógica de retry.
O que funciona: Orce tempo de engenharia para trabalho de conectores. Prototipe integrações cedo com dados de produção. Planeje desenvolvimento customizado em pelo menos 30% dos conectores.
3. Heterogeneidade de Schemas
Atributos de identidade diferem entre sistemas. Active Directory usa sAMAccountName, ERPs usam números de funcionário, sistemas legados usam endereços de email, sistemas Unix usam UIDs.
Definições de roles também variam. “Admin” significa coisas diferentes em diferentes sistemas. Alguns sistemas usam grupos aninhados, outros usam estruturas planas, outros usam atribuições diretas de permissões.
Um modelo de identidade unificado limpo raramente mapeia para a realidade. Você acaba mantendo camadas de tradução por sistema.
O que funciona: Aceite diferenças de schema ao invés de forçar normalização. Construa tabelas de mapeamento explícitas por sistema alvo. Documente casos edge. Use as capacidades de schema flexível de plataformas como midPoint.
4. Performance de Reconciliação em Escala
Testes iniciais funcionam bem. Então você conecta 50.000 identidades em 30 sistemas alvo e a sincronização noturna leva 14 horas. Adicione campanhas de certificação avaliando milhões de entitlements e performance se torna um problema.
Cada novo sistema alvo multiplica o tempo de reconciliação. Retenção de dados históricos aumenta os requisitos de armazenamento.
O que funciona: Projete para escala de produção desde o dia um. Teste com volumes de dados realistas. Use reconciliação incremental ao invés de sincronizações completas. Particione campanhas de certificação. Arquive dados históricos.
Resumo
Esses são problemas de engenharia com soluções de engenharia. Requerem investimento técnico que planos de projeto frequentemente subestimam.
midPoint da Evolveum aborda esses desafios com seu modelo de schema flexível, framework de conectores extensível, e motor de reconciliação escalável.
Se seu projeto está travado em qualquer um desses problemas, entre em contato. Fazemos implementações de IGA.