Исследование возможностей и применение технологии ACE в системе SAP CRM

Создать новую статью

04.10.2009 13:00


Проектная команда:
Берестяная Елена
Евстропов Андрей
Редькин Илья
Шевченко Алексей

Аннотация

В современной крупной компании использование корпоративных информационных систем стало уже нормой. Однако если бизнес-процессы компании сложны, стандартные технологии разграничения прав доступа к информации могут не справляться со своей задачей. В статье рассматривается технология АСЕ – принципиально новый, динамический подход к решению задач разграничения доступа в корпоративной информационной системе, который поможет компании оптимизировать свои издержки.

Введение

Руководство любой компании сталкивается с проблемой систематизации информации и автоматизации информационных процессов. На начальном этапе развития небольшой компании возможна ситуация использования стандартных офисных приложений для ведения складского, бухгалтерского, управленческого учетов, а руководству компании для принятия решения, подкрепленного достоверными данными, достаточно позвонить нужному сотруднику и попросить подготовить отчет в произвольной форме. С течением времени рост объемов данных ставит перед компанией задачу внедрения современной корпоративной информационной системы (КИС), охватывающий все аспекты хозяйственной деятельности предприятия. Корпоративная информационная система - это важный инструмент, который позволяет эффективно функционировать организации.

К сожалению, при использовании КИС тоже возникают проблемы, связанные с тем, что компания постоянно развивается, изменяет свою структуру. И проблема разграничения прав доступа пользователей к информации, находящейся в единой КИС, одна из них. Величина этой проблемы зависит от множества факторов: размер предприятия, территориальная структура, род деятельности. Однако, как правило с увеличением размера предприятия требования к технологиям разграничения прав доступа увеличиваются по ряду причин, таких как требования информационной безопасности, как внутренней, так и внешней, удобство работы пользователей с КИС [1].

Постановка задачи

На данный момент существует несколько моделей разграничения прав доступа к информации в составе любой КИС, и все они обладают определенными преимуществами и недостатками. Например, дискреционная модель[2, 3] разграничения прав доступа достаточно проста в реализации и определяется двумя свойствами: все субъекты и объекты в системе идентифицированы, и права доступа определяются на основе внешнего к системе правила. Основным элементом модели является матрица доступов, где каждому субъекту ставится в соответствие правило доступа к каждому объекту. К недостаткам же можно отнести статичность определенных в ней правил доступа, не отвечающих требованиям динамики изменения корпоративной информационной системы, что обуславливает поиск других моделей.

С другой стороны, существует мандатная (полномочная) [4] модель разграничения доступа. Она основывается на уровнях конфиденциальности информации и различных уровнях доступа субъектов к ней. Как и в предыдущей модели, все объекты системы должны быть однозначно идентифицированы, и создана решетка уровней доступа. Основной задачей модели является предотвращение доступа субъектов с низким уровнем к объектам, требующим высокого уровня доступа. Эта система ближе к жизненным реалиям, чем дискреционная, однако, и она не покрывает всех требований КИС.

В ходе развития дискреционной модели появилась ролевая модель разграничения прав доступа (Role Based Access Control, RBAC)[5], при этом права доступа к объектам группируются с учетом специфики, образуя роли. Задание ролей позволяет определить более четкие и понятные для пользователей правила доступа к информации. Роли являются более динамичными в составе информационной системы, что сделало их достаточно популярными в современных КИС.

Например, компания - мировой лидер в области корпоративных информационных систем, - в своих продуктах использует некоторую модификацию ролевой модели - модель разграничения прав доступа на основе ролей и присвоенных им авторизационных объектов (PFCG). При совершении транзакции происходит проверка, в ходе которой система сравнивает профиль авторизации со значениями, необходимыми для совершения данной транзакции.

Однако, если бизнес-процессы компании достаточно сложны, часто может встретиться ситуация, когда стандартной технологии разграничения доступа на основе ролей будет недостаточно. Этот недостаток сильно проявляется в случае с территориальной иерархией крупной компании. Территориальная иерархия часто меняется, и данная технология недостаточно динамична. С одной стороны, при изменении территориальной иерархии имеют место большие накладные расходы, связанные с изменением автаризационных атрибутов у объектов. С другой стороны, территориальная иерархия не покрывает всех случаев, требующих разграничения прав доступа к информации о бизнес-партнерах:

  • в окнах помощи,
  • в инструменте создания маркетинговых компаний Segment Builder,
  • в окнах поиска,

Однако существует альтернативная технология разграничения доступа Access Control Engine (ACE) в системе SAP Customer Relationship Management(CRM). В данной статье рассмотрено:

  • технология ACE и процесс внедрения этой технологии в систему SAP CRM;
  • произведено сравнение эффективности технологии ACE с традиционной технологией в SAP PFCG. В рамках данной задачи построены модели AS-IS и TO-BE бизнес-процессов внедрения новых узлов территориальной иерархии компании и добавления новых пользователей к ним, а также произведено сравнение построенных бизнес-моделей по следующим параметрам:
    • затраты на разработку и внедрение;
    • затраты на текущую поддержку.

Ценностью данной работы является то, что технология АСЕ – это принципиально новый подход к решению задач разграничения доступа, который поможет компании оптимизировать издержки на цикл операций, связанный с разграничением прав доступа.

Описание технологии ACE

Общую концепцию технологии ACE можно изобразить следующим схемой:

Модель технологии разграничения доступа ACE

Рис. 1. Модель технологии разграничения доступа ACE

Как показано на рис. 1, с одной стороны находится пользователь, у которого берется его территориальный идентификатор, с другой стороны есть множество объектов в системе SAP, из которых выбирается необходимое нам подмножество объектов для работы. В данном случае это идентификаторы бизнес-партнеров. Далее территориальные идентификаторы бизнес-партнеров и пользователя сравниваются. Если они совпадают, то пользователю предоставляется доступ к информации о бизнес-партнере, т.е. этот бизнес-партнер принадлежит территориальному узлу пользователя. Все эти действия должна автоматически выполнять система. Для этого необходимо правильно ее сконфигурировать, чтобы она последовательно выделяла нужные сведения и корректно их использовала. Для конфигурации системы широко используются внутренние средства разработки систем SAP. Разрабатываются функциональные модули на языке программирования ABAP, которые включаются в систему.

Произведенный для тестовой реализации технологии ACE анализ показал, что внедрение данной технологии решает проблемы разграничения прав доступа к информации о бизнес-партнерах в окнах помощи и поиска, в инструменте создания маркетинговых кампаний Segment Builder и тд.

Анализ эффективности технологии ACE

Для анализа эффективности внедрения технологии в систему были построены модели двух процессов компании: внедрение нового узла территориальной иерархии и добавление нового пользователя к узлу при использовании технологии. Эти процессы типичны для крупной территориально-распределенной компании.

Рис. 2. AS-IS процесс внедрения нового узла территориальной иерархии

Как видно из риcунка 2, процесс достаточно сложный, с множественным взаимодействием между разными подразделениями компании. В него входят такие составные части, как:

  • создание запроса на изменение;
  • проверка и ответ на запрос менеджером;
  • изменение в тестовой системе и функциональное тестирование;
  • создание документации;
  • проверка документации и результатов тестирования менеджером;
  • утверждение изменений финансовым отделом;
  • изменение в действующей информационной системе;
  • тестирование в действующей информационной системе;
  • создание организационной и территориальной структуры;
  • введение новых пользователей в систему.

Из описания бизнес-процесса видно, что работа над поставленной задачей выполняется четырьмя подразделениями компании, что говорит о значительных накладных расходах при коммуникациях. В настоящее время, с точки зрения поддержки системы SAP CRM на это тратится слишком много времени и сил.

Также были построены модели TO-BE этих бизнес-процессов (на рисунке 2 отмечен красным овалом), которые позволяют с помощью технологии ACE значительно сократить процесс по длине, количеству циклов и подразделений компании, принимающих в нем участие.

Для более детальной численной оценки эффективности внедрения технологии ACE нами были рассчитаны затраты, которые понесет компания при ее разработке и внедрении. Для определения этих затрат использовался метод ТСО (Total cost of ownership) [6].

Также было подсчитано, во сколько компании обходятся сотрудники, и сколько времени они тратят на внесение изменений (создание нового узла территориальной иерархии и добавление нового пользователя к узлу) в систему SAP CRM при существующей политике разграничения прав доступа и при внедренной технологии АСЕ. Затраты на заработную плату и время, затраченное сотрудниками, рассчитывается методом АВС (Activity Based Costing) [7]. Этот метод является альтернативой традиционному методу бухгалтерского учета. В результате этих оценок для процесса внедрения нового узла территориальной иерархии получаем следующие результаты:

 

PFCG

ACE (новый территориальный узел)

ACE(новый пользователь)

ABC(время)

100%

4,5%

89%

ABC(заработная плата)

100%

3,9%

89%

TCO

100%

26,6%

Таблица 1

В таблице 1 показано, что на разработку методики разграничения прав доступа тратится в 4 раза меньше средств при использовании технологии ACE, а на текущую поддержку тратится в 20 раз меньше времени и в 25 раз меньше средств за счет сокращения рабочего времени и понижения уровня требуемой квалификации персонала. А также решаются проблемы стандартной технологии разграничения прав доступа.

Заключение

Таким образом, была разработана методология оценки эффективности внедрения технологии ACE в компании на примере создания нового узла территориальной иерархии. Этот случай с одной стороны является частым, а с другой стороны достаточно типичен для больших территориально-распределенных компаний. Но все компании разные, и в реальной компании с реальными бизнес-процессами выигрыша может и не оказаться, поэтому, чтобы подсчитать прибыль от внедрения технологии ACE и затраты на это, необходимо рассматривать каждый конкретный случай отдельно.

Об авторе

Шевченко Алексей, студент 3 курса Нижегородского филиала государственного университета Высшая Школа Экономики. Участвовал в Летней школе - стажировке Intel в Нижнем Новгороде. Одной из самых интересных частей программы школы безусловно является семинар стажеров. Сферой профессиональных интересов являются ведение информационных проектов, конфигурирование и администрирование информационныех систем ERP класса.

Список литературы

  1. Алексей Сова, Управление идентификационными данными и доступом - основа системы информационной безопасности КИС
  2. FORT GEORGE G. MEADE, A GUIDE TO UNDERSTANDING DISCRETIONARY ACCESS CONTROL IN TRUSTED SYSTEMS
  3. Википедия, Избирательное управление доступом
  4. Википедия, Мандатное управление доступом
  5. Role Based Access Control
  6. Total Cost of Ownership Analysis (TCO)
  7. Activity Based Costing