Traducido del inglés al español - www.onlinedoctranslator.

com

Identidad internacional de Fischer

Gestión de identidad hecha para la educación superior ™

ESTUDIO DE CASO DE GESTIÓN DE IDENTIDAD

Las capacidades de gestión de identidades aumentan en la nube

Colegio de Arte del Instituto de Maryland
Resumen ejecutivo
Asegurar el campus no es una tarea fácil. Los departamentos de TI de la mayoría de los colegios y universidades han
implementado la gestión de identidad y acceso (IAM) en algún nivel como un componente de su marco de seguridad para
limitar la exposición de la institución al riesgo. Muchas instituciones comienzan por desarrollar aplicaciones IAM propias
para proteger la información sobre sus integrantes y permitir el acceso seguro a los recursos por parte de los usuarios
autorizados. Sin embargo, el costo de mantener y extender una aplicación IAM propia para abordar un flujo continuo de
nuevos sistemas y aplicaciones, nuevos usuarios y comunidades, y nuevos modelos comerciales y de confianza, está
obligando a los departamentos de TI a preguntarse: "¿Es este el mejor uso de mi ¿Personal de TI y presupuesto? " El
Maryland Institute College of Art (MICA) concluyó, "No."

Después de una salida poco exitosa con un proveedor de IAM, MICA buscó soluciones de IAM de reemplazo; esta vez,
incluidas las soluciones IAM basadas en la nube. Se seleccionó la solución Identity as a Service ™ basada en la nube de
Fischer porque brindaba mayores capacidades, una plataforma tecnológica contemporánea y eliminaba la administración
diaria de la solución IAM. Específicamente, MICA informó los siguientes resultados después de cambiar a Fischer:

- Personal reorientado en proyectos más críticos

- Calidad de servicio mejorada

- Se redujeron las llamadas a la mesa de ayuda para restablecer las contraseñas en un 75%

- Se redujeron los errores de aprovisionamiento a cero (0)

- Disminución del "tiempo de espera" para las cuentas nuevas

- Seguridad incrementada

- Reducción del tiempo de preparación para las auditorías

También se proporcionan "factores críticos de éxito" y "lecciones aprendidas".

Perfil
Fundada en 1826, Maryland Institute College of Art (MICA) es la universidad de arte y diseño que otorga títulos continuos
más antigua de la nación. El Colegio inscribe a casi 3500 estudiantes de pregrado, posgrado y estudios continuos de los 50
estados y 57 países en bellas artes, diseño, medios electrónicos, educación artística, artes liberales y programas de grado y
sin créditos de estudios profesionales. Al redefinir la educación en arte y diseño, MICA es pionera en enfoques
interdisciplinarios para la innovación, la investigación y el compromiso social y comunitario. Los ex alumnos y la
programación llegan a todo el mundo, incluso cuando MICA sigue siendo una piedra angular cultural en la región de
Baltimore / Washington, y alberga cientos de exposiciones y eventos anualmente por parte de estudiantes, profesores y
otros artistas establecidos.

La Oficina de Sistemas y Servicios Tecnológicos de MICA apoya la misión educativa del Colegio, así como sus necesidades
comerciales, administrativas y de comunicación electrónica. El reducido personal del departamento ayuda a guiar al
College en el uso de la tecnología con el objetivo de brindar un servicio y apoyo sobresalientes al College, sus estudiantes,
profesores y personal. Con su pequeño tamaño, el departamento se enfoca en ayudar a lograr los objetivos académicos y
adopta de manera proactiva métodos que brindan valor de manera rentable a la

Fischer International: las capacidades de gestión de identidades aumentan en la nube 1

Constituyentes de la universidad. MICA había desarrollado una solución IAM parcialmente automatizada en 2007 y la reemplazó en

2010 con una solución de proveedor para obtener capacidades adicionales de automatización e integración.

Desafíos
La solución IAM propia de MICA no podía abordar sus requisitos comerciales y técnicos, como admitir su
migración de Exchange a Google Apps. Su primera solución de proveedor resolvió algunos problemas, pero
creó desafíos adicionales.

Desafíos de restablecimiento de contraseña:

El alto volumen de la mesa de ayuda provocó niveles de servicio deficientes. Inicialmente, con su solución de cosecha propia, el 65-70% de las

llamadas al servicio de asistencia técnica de MICA eran para restablecer contraseñas. Durante las primeras 3 semanas de cada semestre,

aproximadamente el 90% del tiempo de la mesa de ayuda se dedicó a problemas con las contraseñas. MICA tuvo que dedicar 2-3 personas para

responder consultas y problemas. Como resultado, la universidad no pudo cumplir con sus objetivos de niveles de servicio al cliente para los usuarios

finales; por ejemplo, los usuarios esperaron de una a dos horas a que se restablecieran las contraseñas y mucho más durante los períodos pico.

En ocasiones, los usuarios escribieron contraseñas difíciles de recordar en lugares no seguros. Muchos usuarios finales continuaron

utilizando la contraseña generada aleatoriamente por el sistema y, debido a que llamar al servicio de asistencia técnica era una molestia,

muchos de estos usuarios escribieron sus contraseñas para recordarlas, a menudo en lugares no seguros.

Desafíos de aprovisionamiento de usuarios:

La afluencia de estudiantes generó retrasos al comienzo de cada semestre. La incorporación de nuevos estudiantes cada

semestre retrasó otros procesos realizados por la mesa de ayuda. A medida que llegaban los estudiantes, el volumen de preguntas y

problemas relacionados con las cuentas de usuario aumentó drásticamente. Esto dificultaba que el personal respondiera a otras

solicitudes, como configuraciones de computadoras o resolución de problemas de red. Además, la resolución de problemas de

cuestiones relacionadas con el aprovisionamiento podría tardar días en completarse, lo que empañó las relaciones públicas con la

gente nueva. El desarrollo de TI también se retrasó ya que la resolución de problemas relacionados con la cuenta requirió

aproximadamente el 25% del tiempo de un desarrollador para determinar si una cuenta había sido aprovisionada, deshabilitada, etc.

El desaprovisionamiento incompleto resultó en cuentas huérfanas. MICA no tenía un proceso estándar para desaprovisionar

cuentas de usuario y normalmente no se notificaba a TI cuando un miembro del personal dejaba la institución, lo que generaba

3.500 cuentas huérfanas. Además, el proceso de desaprovisionamiento a veces estaba incompleto y no deshabilitaba todas las

cuentas para un usuario saliente, ya que eliminar el acceso a Active Directory no deshabilitaba algunos tipos de cuentas.

Reutilización de cuentas creadas problemas de seguridad y cumplimiento. Aproximadamente una cuarta parte del personal y

los estudiantes que se retiraron regresaron a la universidad meses después y esperaban usar las mismas cuentas, pero eso a

menudo no era posible: cuando se eliminaba una cuenta, a veces se reutilizaba para otra persona, por lo que para

Fischer International: las capacidades de gestión de identidades aumentan en la nube 2

Por ejemplo, si John Smith dejó MICA, su cuenta JSMITH se eliminaría. Si MICA luego contratara a Joanna Smith, la cuenta
de JSMITH se volvería a crear, lo que causaría problemas adicionales ya que la nueva persona podría obtener acceso a
los registros confidenciales de FERPA de la persona anterior que usó la cuenta.

Dificultad para responder a solicitudes urgentes de nuevas cuentas. MICA aprovisionó cuentas de usuario una vez al
día; aunque esto no causó problemas directamente, TI a veces recibía llamadas desesperadas para proporcionar nuevos
usuarios, como profesores adjuntos, que no habían enviado la documentación a RR.HH. hasta poco antes de que
necesitaran los recursos. Para proporcionar acceso inmediato, TI podría ejecutar una rutina de aprovisionamiento ad-hoc,
pero esta actividad causó problemas al eludir algunos controles.

Procesos de flujo de trabajo ineficaces para la denominación de cuentas. Como parte de su proceso de aprovisionamiento de

usuarios, MICA ha tenido una política de larga data para permitir la entrada del usuario con respecto a sus propios nombres de

cuenta. Por ejemplo, si alguien llamado Edward fuera conocido como Ted, los nombres de sus cuentas reflejarían cómo se

llamaba realmente. Sin embargo, para respaldar esta política cuando se cambiaba el nombre de alguien, varias personas

requerían muchos procesos manuales. Se produjeron retrasos debido a que MICA no tenía un buen sistema de notificación de

cuándo debía actuar cada persona.

Riesgo de infracciones de FERPA. La distribución de credenciales a nuevos usuarios era un proceso de combinación de correo propenso a errores.

MICA enfrentó un riesgo continuo de violaciones de FERPA si las cartas de credenciales se perdían, se entregaban incorrectamente o se compartían con

la persona equivocada.

Desafíos de la mesa de ayuda:

Restablecimientos de contraseña ineficaces y propensos a errores. La mesa de ayuda requirió capacitación para restablecer

contraseñas en múltiples sistemas. Los procesos que se desarrollaron eran ineficientes y tenían tasas de error significativas, ya que

el personal tenía que iniciar sesión en varios sistemas para realizar una sola acción: un sistema proporcionaba información para

asegurarse de que estaban trabajando con las cuentas correctas y luego administraban las cuentas utilizando otro sistema. .

El personal de TI podría acceder a las contraseñas de los usuarios finales. Numerosas personas de TI tenían acceso a una base de datos que

contenía la mayoría de las contraseñas de los usuarios finales, lo que significaba que cualquiera de ellos podría haber iniciado sesión en una cuenta

de usuario final pretendiendo ser un usuario final.

Auditorías prolongadas causadas por procesos y seguimiento insuficientes. MICA no pudo rastrear cuándo o por qué las

cuentas fueron aprovisionadas o desaprovisionadas debido a la falta de procesos estándar; por lo tanto, MICA requirió una gran

cantidad de tiempo durante las auditorías financieras para responder preguntas sobre el acceso a TI.

Dificultad para administrar y auditar cuentas para contratistas. Los procesos manuales para aprovisionar cuentas
de contratistas carecían de la responsabilidad de exactamente quién usaba las cuentas, quién patrocinaba las cuentas y
con qué fines. Esto provocó largas demoras en el desaprovisionamiento cuando un contratista se fue.

Fischer International: las capacidades de gestión de identidades aumentan en la nube 3

Desafíos con el primer proveedor de soluciones de IAM:

La primera solución comercial de MICA proporcionó automatización adicional para el aprovisionamiento y

desaprovisionamiento de usuarios, lo que proporcionó cierto alivio, pero la solución no logró abordar algunos requisitos
clave y creó desafíos adicionales.

La mesa de ayuda se mantuvo sobrecargada. Solo el 5% de los usuarios adoptó la primera solución, por lo que cuando un usuario

olvidó una contraseña, llamar a la mesa de ayuda siguió siendo la única opción para restablecer la contraseña. Además, la

distribución de las cartas de credenciales fue inconsistente o inexacta, lo que provocó una mayor carga para la mesa de ayuda para

corregir los problemas.

Algunos requisitos no se abordaron. La solución no logró administrar el acceso de los contratistas y necesitaba un
programador para escribir código para realizar las acciones requeridas.

Gastos inesperados. El modelo de licencia del proveedor resultó poco claro, por lo que expandirse a ex
alumnos, padres y otros no sería asequible.

Solución
Como MICA tiene personal de TI limitado, buscaron soluciones que combinaran capacidades integrales con interfaces de

autoservicio fáciles de usar y bajos requisitos administrativos. La experiencia previa de MICA con aplicaciones SaaS los llevó a

evaluar y, en última instancia, seleccionar la solución Identity as a Service® basada en la nube de Fischer en 2011 para automatizar

aún más las actividades de aprovisionamiento y desaprovisionamiento de aplicaciones clave. El portal de identidad de Fischer

permite a los usuarios finales restablecer de forma segura sus propias contraseñas olvidadas y los usuarios finales autorizados

pueden solicitar / aprobar el acceso a los recursos. Todas las actividades de administración de contraseñas y aprovisionamiento en

la solución se registran con fines de auditoría y generación de informes.

El proceso de implementación

La planificación detallada incluyó un análisis de costo-beneficio. Durante el proceso de implementación, MICA

sabía que PeopleSoft sería la fuente de autoridad para IAM y que querían aprovechar lo que se había logrado con la
primera solución del proveedor; sin embargo, la planificación implicó arremangarse durante dos semanas para
responder a muchas otras preguntas, como exactamente qué elementos de datos necesitaría cada sistema para
cada proceso. MICA determinó qué recursos proporcionar automáticamente en función de los resultados
esperados. Al hacerlo, consideraron su nivel de dolor, el impacto anticipado de la automatización, así como el uso
generalizado de los recursos.

Los procesos automatizados y de autoservicio se implementaron en fases. Durante las primeras fases, MICA
automatizó el aprovisionamiento y desaprovisionamiento para varias aplicaciones, incluidos grupos / roles para Google
Apps, PeopleSoft Campus, PeopleSoft Portal y Active Directory. Esto incluyó el aprovisionamiento automático de recursos
para estudiantes, profesores, ex alumnos y personal. El portal de autoservicio proporcionó la contraseña

Fischer International: las capacidades de gestión de identidades aumentan en la nube 4

restablecer las capacidades y permitir a los usuarios autorizados solicitar recursos adicionales. MICA optó por no
automatizar el aprovisionamiento para aplicaciones que tienen pocos usuarios o para aplicaciones que rara vez se
utilizan. Fischer realizó la implementación y MICA probó la solución antes de ponerla en producción.

Decisiones clave conducidas al éxito. MICA tomó decisiones clave que impactaron positivamente en la implementación y

mejoraron la aceptación de los usuarios. Primero, decidieron minimizar los cambios durante la implementación continuando

utilizando sus procesos PeopleSoft existentes para extraer información sobre eventos de aprovisionamiento como matrícula, nueva

contratación, etc., lo que acortó los procesos de descubrimiento e implementación. Además, para el proceso de distribución de

cuentas para nuevos usuarios, MICA optó por exigir a los usuarios que ingresen información que les permitiría restablecer

posteriormente las contraseñas olvidadas. Las cuentas nuevas se activan inmediatamente después de que un usuario final completa

esta tarea.

Resultados

MICA logró sus objetivos utilizando la solución Fischer:

Gestión de contraseñas Calidad de servicio mejorada. MICA ha tenido una tasa de adopción de usuarios del 100% con Fischer. Los

usuarios restablecen de forma segura sus propias contraseñas olvidadas en un par de minutos en lugar de esperar a la mesa de

ayuda. La solución también sincroniza las contraseñas de cada usuario para que tengan menos contraseñas que recordar.

Reducción del "tiempo de espera" para los usuarios finales. El aprovisionamiento automatizado de usuarios mejora aún más la calidad del servicio al

reducir los tiempos de espera para que los profesores, los estudiantes y el personal reciban las cuentas y los privilegios requeridos. Cuando un

estudiante se matricula o cuando se contrata a alguien, los recursos se proporcionan en función de sus fechas de inicio. Además, los profesores adjuntos

que no completan el papeleo de recursos humanos hasta el primer día de clases ahora pueden acceder a sus propias cuentas a tiempo para sus primeras

clases.

Proceso simplificado para la distribución de nuevas cuentas Riesgo eliminado de infracciones de FERPA. MICA ya no

distribuye contraseñas de cuentas nuevas. En cambio, los usuarios crean de forma segura sus propias contraseñas iniciales que

son más fáciles de recordar que las contraseñas generadas.

La mesa de ayuda se reorienta en el servicio al cliente después de una reducción del 75% en las llamadas para restablecer las

contraseñas. La mesa de ayuda de MICA ha reenfocado sus esfuerzos para concentrarse en mejorar el servicio al cliente, especialmente al

comienzo de los semestres cuando los nuevos estudiantes y empleados son bienvenidos a MICA, ya que las llamadas de restablecimiento de

contraseña se redujeron en un 75%. La capacitación del personal para usar la solución Fischer es mínima y, dado que Fischer es una solución

integral, solo se requiere un sistema para validar usuarios y restablecer contraseñas.

"Tasa de error cero" para el aprovisionamiento automatizado y la precisión mejorada de las actividades manuales. MICA confía en la

precisión de la solución de aprovisionamiento automatizado de Fischer, ya que su tasa de error para el aprovisionamiento automatizado se

ha reducido a cero. MICA también puede corregir errores de clave, como cuando RR.HH. ingresa incorrectamente que un empleado ha sido

despedido: una vez que RR.HH. corrige el error, el acceso de la persona se restablece.

Fischer International: las capacidades de gestión de identidades aumentan en la nube 5

habilitado y no se pierden datos. La solución Fischer también automatiza los cambios de nombre de cuenta para mejorar la

precisión y la puntualidad, y notifica a las personas necesarias para las actividades de cambio de nombre manual, como el

mantenimiento de la PC.

Riesgo eliminado de acceso inadecuado a cuentas de usuario. Cuando una persona sale de MICA, la información ingresada en

PeopleSoft inicia automáticamente los procesos de desaprovisionamiento para evitar cuentas huérfanas. Además, las personas

autorizadas pueden utilizar el autoservicio para cancelar el acceso de las personas que se van. MICA también redujo el riesgo al

eliminar la base de datos de credenciales de usuario para que los administradores no puedan acceder a las credenciales de usuario.

Riesgos reducidos asociados con cuentas de contratistas. MICA eliminó las cuentas de los contratistas cuyos usuarios eran

desconocidos y ahora responsabiliza a los patrocinadores de los contratistas. Los patrocinadores utilizan la interfaz de

autoservicio para solicitar acceso a los contratistas y especificar la fecha de terminación modificable del contratista; Además, las

solicitudes deben ser aprobadas antes de su cumplimiento.

Control mejorado al evitar la reutilización de ID de usuario. Los ID de cuenta de MICA ahora son únicos y ya no se reutilizan. Si

una persona regresa más tarde a MICA, sus cuentas se pueden volver a habilitar fácilmente ya que toda la información de la cuenta

se conserva durante un año antes de que se elimine automáticamente.

Reducción del tiempo para auditorías relacionadas con la identidad entre un 50% y un 67%. MICA simplificó sus procesos de auditoría

para informar quién tiene acceso a cada recurso, así como para informar sobre la actividad de restablecimiento de contraseña. Las

capacidades automatizadas de auditoría e informes permitieron a MICA reducir de la mitad a dos tercios el tiempo requerido para

responder preguntas de auditores y otros.

Próximos pasos. Los planes futuros de MICA incluyen extender la solución para permitir que los padres de los estudiantes soliciten sus

propias cuentas y otorgar acceso temprano a los recursos para los reclutas. También planean automatizar las tareas necesarias para la

transición selectiva de los trabajadores temporales para que se conviertan en trabajadores permanentes.

Factores críticos del éxito

Varios elementos fueron clave para el éxito de MICA.

1. Los objetivos y expectativas para la solución se articularon claramente.

2. La solución se implementó en múltiples fases con metas especificadas para cada fase.

3. Las unidades de negocio y de TI trabajaron juntas para garantizar que los procesos afectados proporcionaran los resultados deseados.

4. La gestión de cambios garantiza que todos los cambios en la solución se realicen a través de la propia solución Fischer,

en lugar de a través de otro proceso, como la creación de scripts.

Lecciones aprendidas

Fischer International: las capacidades de gestión de identidades aumentan en la nube 6

Lección 1: IAM es la columna vertebral de otros proyectos de TI: MICA llegó a comprender que una institución nunca se
acaba con IAM; más bien, es un proceso y tienes que controlar tu ritmo. MICA vio la solución de Fischer como el
"pegamento" que podría unir sistemas y aplicaciones. Se dieron cuenta de que para que otros proyectos de TI tuvieran
éxito, la solución de IAM debe evolucionar continuamente y a un ritmo que respalde las inversiones de TI actuales, así como
los nuevos proyectos de TI.

Lección 2: IAM es un proyecto comunitario, no un proyecto de TI. Un proyecto de IAM modela y potencialmente redefine los

procesos comerciales. MICA involucró a los empresarios para influir en los requisitos y las decisiones sobre los flujos de trabajo en

un esfuerzo por obtener apoyo, así como para evitar gastos e interrupciones después de la puesta en funcionamiento. Involucrar

a la gente de negocios fue vital ya que MICA descubrió que la parte más difícil de implementar una solución IAM era mapear los

flujos de trabajo y la lógica empresarial.

Lección 3: Elija recursos de alto valor para el aprovisionamiento automatizado. MICA aprendió a ser selectivo con respecto

a los recursos para el aprovisionamiento automatizado y eligió los recursos utilizados por muchas personas con frecuencia.

Eligieron no automatizar el aprovisionamiento para aplicaciones especializadas ya que los beneficios proyectados no eran

proporcionales a los costos proyectados.

Lección 4: Seleccione un socio, no solo un proveedor. Según MICA, las escuelas no suelen describir sus experiencias con
los proveedores como "positivas". Sin embargo, MICA aprendió del proyecto Fischer que un proveedor puede convertirse
en un socio confiable y puede invertir en el éxito de la Universidad.

Resumen
Las experiencias de MICA demuestran el valor de una solución IAM bien planificada, así como la complejidad potencial y los obstáculos en la

elección e implementación de soluciones. IAM afecta muchos aspectos de una institución y puede tener implicaciones de amplio alcance que

afectan la calidad del servicio, los costos, la seguridad, las relaciones públicas e incluso la capacidad de una institución para contratar y

retener a personas talentosas. Como tal, es vital que TI seleccione la solución adecuada y trabaje en estrecha colaboración con las unidades

de negocio para asegurarse de que comprendan y tengan un impacto positivo en los procesos clave. Con un buen desempeño, IAM impacta

positivamente en instituciones de todos los tamaños.

Fischer International: las capacidades de gestión de identidades aumentan en la nube 7

Fischer International Identity
5801 Pelican Bay Boulevard
Naples, Florida 34108
+ 1 239-643-1500
www.FischerInternational.com

Documento MCC-13-150B Septiembre de 2013

Copyright © 2010-2013 Fischer International Identity, LLC. Reservados todos los derechos.
Fischer International, Fischer International Identity, Identity as a Service, Ignite IT, Ignite Federation, Identity Management Made for Higher
Education e IaaS son marcas comerciales y / o marcas comerciales registradas de Fischer International Identity.