Traducido del inglés al español - www.onlinedoctranslator.

com

Identidad internacional de Fischer

Gestión de identidad hecha para la educación superior™

ESTUDIO DE CASO DE GESTIÓN DE IDENTIDAD

Las capacidades de administración de identidad aumentan en la nube

Facultad de Arte del Instituto de Maryland
Resumen ejecutivo
Asegurar el campus no es tarea fácil. Los departamentos de TI en la mayoría de los colegios y universidades han
implementado la gestión de acceso e identidad (IAM) en algún nivel como un componente de su marco de seguridad para
limitar la exposición de la institución al riesgo. Muchas instituciones comienzan desarrollando aplicaciones de IAM locales
para proteger la información sobre sus componentes y permitir el acceso seguro a los recursos por parte de los usuarios
autorizados. Sin embargo, el costo de mantener y ampliar una aplicación IAM propia para abordar un flujo continuo de
nuevos sistemas y aplicaciones, nuevos usuarios y comunidades, y nuevos modelos comerciales y de confianza está
obligando a los departamentos de TI a preguntarse: "¿Es este el mejor uso de mi ¿Personal de TI y presupuesto?” El Colegio
de Arte del Instituto de Maryland (MICA) concluyó: "No".

Después de una salida menos que exitosa con un proveedor de IAM, MICA buscó soluciones de IAM de reemplazo; esta vez,
incluidas las soluciones IAM basadas en la nube. Se seleccionó la solución Identity as a Service™ basada en la nube de
Fischer porque brindaba mayores capacidades, una plataforma de tecnología contemporánea y eliminaba la administración
diaria de la solución IAM. Específicamente, MICA informó los siguientes resultados después de cambiar a Fischer:

- Personal reenfocado en proyectos más críticos

- Calidad de servicio mejorada

- Se redujeron las llamadas a la mesa de ayuda para restablecer la contraseña en un 75 %.

- Se redujeron los errores de aprovisionamiento a cero (0).

- Disminución del "tiempo de espera" para cuentas

- nuevas Mayor seguridad

- Reducción del tiempo de preparación para las auditorías

También se proporcionan "factores críticos de éxito" y "lecciones aprendidas".

Perfil
Fundada en 1826, la Facultad de Arte del Instituto de Maryland (MICA) es la facultad de arte y diseño más antigua del país
que otorga continuamente títulos. El Colegio inscribe a casi 3.500 estudiantes de pregrado, posgrado y estudios continuos
de los 50 estados y 57 países en bellas artes, diseño, medios electrónicos, educación artística, artes liberales y programas de
grado y sin crédito de estudios profesionales. Al redefinir la educación en arte y diseño, MICA es pionera en enfoques
interdisciplinarios para la innovación, la investigación y la comunidad y el compromiso social. Los exalumnos y la
programación llegan a todo el mundo, aun cuando MICA sigue siendo un pilar cultural en la región de Baltimore/
Washington, albergando cientos de exhibiciones y eventos anualmente por parte de estudiantes, profesores y otros artistas
establecidos.

La Oficina de Sistemas y Servicios Tecnológicos de MICA apoya la misión educativa del Colegio, así como sus necesidades
comerciales, administrativas y de comunicación electrónica. El pequeño personal del departamento ayuda a guiar a la
universidad en el uso de la tecnología con el objetivo de brindar un servicio y apoyo sobresalientes a la universidad, sus
estudiantes, profesores y personal. Con su pequeño tamaño, el departamento se enfoca en ayudar a alcanzar las metas
académicas y adopta de manera proactiva métodos que brindan valor de manera rentable a la

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 1

Constituyentes de la universidad. MICA había desarrollado una solución IAM parcialmente automatizada en 2007 y la reemplazó en

2010 con una solución de proveedor para obtener capacidades adicionales de automatización e integración.

Desafíos
La solución de IAM de cosecha propia de MICA no podía abordar sus requisitos comerciales y técnicos, como
respaldar su migración de Exchange a Google Apps. Su primera solución de proveedor resolvió algunos
problemas, pero creó desafíos adicionales.

Desafíos de restablecimiento de contraseña:

El alto volumen de la mesa de ayuda provocó niveles de servicio deficientes. Inicialmente, con su solución local, el 65-70 % de las

llamadas a la mesa de ayuda de MICA eran para restablecer contraseñas. Durante las primeras 3 semanas de cada semestre, alrededor del

90 % del tiempo de la mesa de ayuda se dedicó a problemas de contraseñas. MICA tuvo que dedicar 2-3 personas para responder a consultas

y problemas. Como resultado, la universidad no pudo cumplir con sus objetivos de niveles de servicio al cliente para los usuarios finales; por

ejemplo, los usuarios esperaron de una a dos horas para que se restablecieran las contraseñas y mucho más durante los períodos pico.

Los usuarios a veces escribieron contraseñas difíciles de recordar en lugares no seguros.Muchos usuarios finales

continuaron usando la contraseña generada aleatoriamente por el sistema, y debido a que llamar a la mesa de ayuda era una

molestia, muchos de estos usuarios escribieron sus contraseñas para recordarlas, a menudo en lugares no seguros.

Desafíos de aprovisionamiento de usuarios:

La afluencia de estudiantes creó retrasos al comienzo de cada semestre.La incorporación de nuevos estudiantes cada semestre

retrasó otros procesos realizados por la mesa de ayuda. A medida que llegaban los estudiantes, el volumen de preguntas y

problemas relacionados con la cuenta de usuario aumentó drásticamente. Esto dificultó que el personal respondiera a otras

solicitudes, como configuraciones de computadoras o solución de problemas de red. Además, la resolución de problemas

relacionados con el aprovisionamiento podía tardar días en completarse, lo que empañaba las relaciones públicas con las nuevas

personas. El desarrollo de TI también se retrasó, ya que la solución de problemas relacionados con la cuenta requería

aproximadamente el 25 % del tiempo de un desarrollador para determinar si una cuenta se había aprovisionado, inhabilitado, etc.

El desaprovisionamiento incompleto resultó en cuentas huérfanas.MICA no tenía un proceso estándar para desaprovisionar

cuentas de usuario y, por lo general, no se notificaba a TI cuando un miembro del personal dejaba la institución, lo que generaba

3500 cuentas huérfanas. Además, el proceso de desaprovisionamiento a veces estaba incompleto y no deshabilitaba todas las

cuentas de un usuario saliente, ya que la eliminación del acceso a Active Directory no deshabilitaba algunos tipos de cuentas.

Reutilización de Cuentas Creadas Problemas de Seguridad y Cumplimiento.Alrededor de una cuarta parte del personal y los

estudiantes que partieron regresaron a la universidad meses después y esperaban usar las mismas cuentas, pero eso a menudo

no era posible: cuando se eliminaba una cuenta, a veces se reutilizaba para otra persona, por lo que para

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 2

Por ejemplo, si John Smith dejara MICA, su cuenta JSMITH sería eliminada. Si MICA luego contrataba a Joanna Smith, se
volvería a crear la cuenta de JSMITH, lo que causaba problemas adicionales, ya que la nueva persona podía obtener
acceso a los registros confidenciales de FERPA de la persona anterior que usaba la cuenta.

Dificultad para responder a solicitudes urgentes de nuevas cuentas.Cuentas de usuario aprovisionadas por MICA una vez al día;

aunque esto no causó problemas directamente, a veces TI recibía llamadas desesperadas para proporcionar nuevos usuarios, como

profesores adjuntos, que no habían enviado la documentación a recursos humanos hasta justo antes de que necesitaran los

recursos. Para brindar acceso inmediato, TI podría ejecutar una rutina de aprovisionamiento ad-hoc, pero esta actividad causó

problemas al eludir algunos controles.

Procesos de flujo de trabajo ineficientes para la denominación de cuentas.Como parte de su proceso de aprovisionamiento de

usuarios, MICA ha tenido una política de larga data para permitir la entrada de usuarios con respecto a sus propios nombres de cuenta.

Por ejemplo, si alguien llamado Edward fuera conocido como Ted, los nombres de sus cuentas reflejarían cómo se llamaba en realidad. Sin

embargo, para respaldar esta política cuando el nombre de alguien cambiaba, varias personas requerían muchos procesos manuales. Los

retrasos se debieron a que MICA no tenía un buen sistema de notificación para saber cuándo cada persona necesitaba tomar medidas.

Riesgo de violaciones de FERPA.La distribución de credenciales a nuevos usuarios era un proceso de combinación de correspondencia propenso a errores. MICA

enfrentó un riesgo continuo de violaciones de FERPA si las cartas de credenciales se perdían, se entregaban incorrectamente o se compartían con la persona

equivocada.

Desafíos de la mesa de ayuda:

Restablecimientos de contraseña ineficientes y propensos a errores.La mesa de ayuda requirió capacitación para realizar

restablecimientos de contraseña en múltiples sistemas. Los procesos que se desarrollaron eran ineficientes y tenían tasas de error

significativas, ya que el personal tenía que iniciar sesión en varios sistemas para realizar una sola acción: un sistema proporcionaba

información para garantizar que estaban trabajando con las cuentas correctas y luego administraban las cuentas con otro sistema. .

El personal de TI podría acceder a las contraseñas de los usuarios finales.Numerosas personas de TI tenían acceso a una base de datos que contenía la

mayoría de las contraseñas de los usuarios finales, lo que significaba que cualquiera de ellos podría haber iniciado sesión potencialmente en una cuenta de

usuario final haciéndose pasar por un usuario final.

Auditorías prolongadas causadas por procesos y seguimiento insuficientes.MICA no pudo rastrear cuándo o por qué las

cuentas fueron provisionadas o desaprovisionadas debido a la falta de procesos estándar; por lo tanto, MICA requirió una gran

cantidad de tiempo durante las auditorías financieras para responder preguntas sobre el acceso a TI.

Dificultad para administrar y auditar las cuentas de los contratistas.Los procesos manuales para el aprovisionamiento de cuentas de

contratistas carecían de responsabilidad sobre exactamente quién estaba usando las cuentas, quién patrocinaba las cuentas y con qué

fines. Esto provocó largas demoras en el desaprovisionamiento cuando un contratista partió.

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 3

Desafíos con el primer proveedor de soluciones de IAM:

La primera solución comercial de MICA brindó automatización adicional para el aprovisionamiento y

desaprovisionamiento de usuarios, lo que brindó cierto alivio, pero la solución no logró abordar algunos requisitos clave y
creó desafíos adicionales.

La mesa de ayuda permaneció sobrecargada.Solo el 5 % de los usuarios adoptaron la primera solución, por lo que cuando un usuario

olvidaba una contraseña, llamar a la mesa de ayuda seguía siendo la única opción para restablecer la contraseña. Además, la distribución de

las cartas de credenciales fue inconsistente o inexacta, lo que provocó una mayor carga para la mesa de ayuda para corregir los problemas.

No se abordaron algunos requisitos.La solución no logró administrar el acceso de los contratistas y necesitaba un
programador que escribiera el código para realizar las acciones requeridas.

Gastos inesperados.El modelo de concesión de licencias del proveedor resultó ser poco claro, por lo que expandirse a ex
alumnos, padres y otros no sería asequible.

Solución
Como MICA tiene un personal de TI limitado, buscaron soluciones que combinaran capacidades integrales con interfaces de

autoservicio fáciles de usar y bajos requisitos administrativos. La experiencia previa de MICA con aplicaciones SaaS los llevó a

evaluar y finalmente seleccionar la solución Identity as a Service® basada en la nube de Fischer en 2011 para automatizar aún más

las actividades de aprovisionamiento y desaprovisionamiento para aplicaciones clave. El portal de identidad de Fischer permite a los

usuarios finales restablecer de forma segura sus propias contraseñas olvidadas y los usuarios finales autorizados pueden solicitar/

aprobar el acceso a los recursos. Todas las actividades de administración de contraseñas y aprovisionamiento en la solución se

registran con fines de auditoría e informes.

El proceso de implementación

Planificación Detallada Incluye Análisis Costo-Beneficio. Durante el proceso de implementación, MICA sabía que
PeopleSoft sería la fuente de autoridad para IAM y que querían aprovechar lo que se había logrado con la solución
del primer proveedor; sin embargo, la planificación implicó arremangarse durante dos semanas para responder
muchas otras preguntas, como exactamente qué elementos de datos necesitaría cada sistema para cada proceso.
MICA determinó qué recursos aprovisionar automáticamente en función de los resultados esperados. Al hacerlo,
consideraron su nivel de dolor, el impacto anticipado de la automatización, así como la amplitud del uso de los
recursos.

Los procesos automatizados y de autoservicio se implementaron en fases.Durante las primeras fases, MICA
automatizó el aprovisionamiento y desaprovisionamiento de varias aplicaciones, incluidos grupos/roles para Google Apps,
PeopleSoft Campus, PeopleSoft Portal y Active Directory. Esto incluyó el aprovisionamiento automático de recursos para
estudiantes, profesores, ex alumnos y personal. El portal de autoservicio proporcionó la contraseña

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 4

restableció las capacidades y permitió a los usuarios autorizados solicitar recursos adicionales. MICA optó por no
automatizar el aprovisionamiento de aplicaciones que tienen pocos usuarios o aplicaciones que rara vez se utilizan.
Fischer realizó la implementación y MICA probó la solución antes de ponerla en producción.

Decisiones Clave Conducidas al Éxito.MICA tomó decisiones clave que impactaron positivamente la implementación y mejoraron la

aceptación de los usuarios. En primer lugar, decidieron minimizar los cambios durante la implementación al seguir utilizando sus

procesos PeopleSoft existentes para extraer información sobre eventos de aprovisionamiento, como matriculación, nuevas

contrataciones, etc., lo que acortó los procesos de descubrimiento e implementación. Además, para el proceso de distribución de

cuentas para nuevos usuarios, MICA optó por solicitar a los usuarios que ingresen información que les permita restablecer

posteriormente las contraseñas olvidadas. Las cuentas nuevas se activan inmediatamente después de que un usuario final complete

esta tarea.

Resultados

MICA logró sus objetivos utilizando la solución Fischer:

Gestión de contraseñas Calidad de servicio mejorada.MICA ha tenido una tasa de adopción de usuarios del 100 % con Fischer. Los

usuarios restablecen de forma segura sus propias contraseñas olvidadas en un par de minutos en lugar de esperar a la mesa de

ayuda. La solución también sincroniza las contraseñas de cada usuario para que tengan menos contraseñas que recordar.

“Tiempo de espera” reducido para los usuarios finales.El aprovisionamiento automatizado de usuarios mejora aún más la calidad del

servicio al reducir los tiempos de espera para que los profesores, los estudiantes y el personal reciban las cuentas y los privilegios requeridos.

Cuando un estudiante se matricula o cuando se contrata a alguien, los recursos se proporcionan en función de sus fechas de inicio. Además,

los profesores adjuntos que no completan el papeleo de recursos humanos hasta el primer día de clases ahora pueden acceder a sus propias

cuentas a tiempo para sus primeras clases.

Proceso simplificado para la distribución de cuentas nuevas Riesgo eliminado de violaciones de FERPA.MICA ya no

distribuye contraseñas de cuentas nuevas. En su lugar, los usuarios crean de forma segura sus propias contraseñas iniciales

que son más fáciles de recordar que las contraseñas generadas.

La mesa de ayuda se reenfocó en el servicio al cliente después de una reducción del 75% en las llamadas para restablecer

contraseñas. La mesa de ayuda de MICA ha reenfocado sus esfuerzos para concentrarse en mejorar el servicio al cliente, especialmente al

comienzo de los semestres cuando los nuevos estudiantes y empleados son bienvenidos a MICA, ya que las llamadas para restablecer la

contraseña se redujeron en un 75%. La capacitación del personal para usar la solución Fischer es mínima y, dado que Fischer es una solución

integral, solo se requiere un sistema para validar usuarios y restablecer contraseñas.

“Tasa de error cero” para el aprovisionamiento automatizado y precisión mejorada de las actividades manuales.MICA confía

en la precisión de la solución de aprovisionamiento automatizado de Fischer, ya que su tasa de error para el aprovisionamiento

automatizado se ha reducido a cero. MICA también puede corregir errores tecleados, como cuando HR ingresa incorrectamente

que un empleado ha sido despedido: una vez que HR corrige el error, se renueva el acceso de la persona.

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 5

activado y no se pierden datos. La solución de Fischer también automatiza los cambios de nombre de cuenta para mejorar la

precisión y la puntualidad, y notifica a las personas requeridas para las actividades de cambio de nombre manual, como el

mantenimiento de PC.

Riesgo eliminado de acceso inapropiado a cuentas de usuario.Cuando una persona sale de MICA, la información ingresada en

PeopleSoft inicia automáticamente procesos de desaprovisionamiento para evitar cuentas huérfanas. Además, las personas

autorizadas pueden utilizar el autoservicio para cancelar el acceso de las personas que salen. MICA también redujo el riesgo al

eliminar la base de datos de credenciales de usuario para que los administradores no puedan acceder a las credenciales de usuario.

Riesgos reducidos asociados con cuentas de contratistas.MICA eliminó cuentas de contratistas cuyos usuarios eran

desconocidos y ahora responsabiliza a los patrocinadores de los contratistas. Los patrocinadores utilizan la interfaz de

autoservicio para solicitar acceso a los contratistas y especificar la fecha de terminación modificable del contratista; además, las

solicitudes deben ser aprobadas antes de su cumplimiento.

Control mejorado al evitar la reutilización de ID de usuario.Los ID de cuenta de MICA ahora son únicos y ya no se reutilizan. Si

una persona luego regresa a MICA, sus cuentas se pueden volver a habilitar fácilmente ya que toda la información de la cuenta se

conserva durante un año antes de que se elimine automáticamente.

Tiempo reducido para auditorías relacionadas con la identidad en un 50 % - 67 %.MICA simplificó sus procesos de auditoría para

informar quién tiene acceso a cada recurso, así como para informar la actividad de restablecimiento de contraseña. Las capacidades de

informes y auditorías automatizadas permitieron a MICA reducir de la mitad a dos tercios el tiempo necesario para responder a las

preguntas de los auditores y otros.

Próximos pasos.Los planes futuros de MICA incluyen extender la solución para permitir que los padres de los estudiantes soliciten sus

propias cuentas y otorgar un acceso más temprano a los recursos para los reclutas. También planean automatizar las tareas requeridas

para hacer la transición selectiva de los trabajadores temporales a trabajadores permanentes.

Factores críticos del éxito

Varios elementos fueron clave para el éxito de MICA.

1. Las metas y expectativas para la solución fueron claramente articuladas.

2. La solución se implementó en varias fases con objetivos especificados para cada fase.

3. Las unidades de negocio y de TI trabajaron juntas para garantizar que los procesos afectados proporcionaran los resultados deseados.

4. La gestión de cambios garantiza que todos los cambios de la solución se realicen a través de la propia solución de

Fischer, en lugar de a través de otro proceso, como secuencias de comandos.

Lecciones aprendidas

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 6

Lección 1: IAM es la columna vertebral de otros proyectos de TI:MICA llegó a entender que una institución nunca se
acaba con IAM; más bien, es un proceso y tienes que controlar tu propio ritmo. MICA vio la solución de Fischer como el
"pegamento" que podía unir sistemas y aplicaciones. Se dieron cuenta de que para que otros proyectos de TI tuvieran éxito,
la solución de IAM debe evolucionar continuamente y a un ritmo que admita las inversiones de TI actuales, así como los
nuevos proyectos de TI.

Lección 2: IAM es un proyecto comunitario, no un proyecto de TI.Un proyecto de IAM modela, y potencialmente redefine, los

procesos comerciales. MICA involucró a personas de negocios para influir en los requisitos y las decisiones sobre los flujos de

trabajo en un esfuerzo por obtener apoyo, así como para evitar gastos e interrupciones después de la puesta en marcha.

Involucrar a la gente de negocios fue vital, ya que MICA descubrió que la parte más difícil de implementar una solución de IAM era

mapear los flujos de trabajo y la lógica comercial.

Lección 3: Elija recursos de alto valor para el aprovisionamiento automatizado. MICA aprendió a ser selectivo con respecto

a los recursos para el aprovisionamiento automatizado y eligió los recursos utilizados por muchas personas con frecuencia.

Decidieron no automatizar el aprovisionamiento para aplicaciones especializadas ya que los beneficios proyectados no se

correspondían con los costos proyectados.

Lección 4: seleccione un socio, no solo un proveedor. Según MICA, las escuelas no suelen describir sus experiencias con
los proveedores como "positivas". Sin embargo, MICA aprendió del proyecto Fischer que un proveedor puede convertirse
en un socio de confianza y puede invertir en el éxito de la universidad.

Resumen
Las experiencias de MICA prueban el valor de una solución de IAM bien planificada, así como la complejidad potencial y las trampas en la

elección e implementación de soluciones. IAM afecta muchos aspectos de una institución y puede tener amplias implicaciones que afectan la

calidad del servicio, los costos, la seguridad, las relaciones públicas e incluso la capacidad de una institución para reclutar y retener personas

talentosas. Como tal, es vital que TI seleccione la solución adecuada y trabaje en estrecha colaboración con las unidades de negocios para

garantizar que comprendan y tengan un impacto positivo en los procesos clave. Con un buen desempeño, IAM tiene un impacto positivo en

instituciones de todos los tamaños.

Fischer International: Aumentan las capacidades de gestión de identidades en la nube 7

Identidad internacional de Fischer
5801 Pelican Bay Boulevard
Nápoles, Florida 34108
+ 1 239-643-1500
www.FischerInternational.com

Documento MCC-13-150B Septiembre 2013

Copyright © 2010-2013 Fischer International Identity, LLC. Reservados todos los derechos.
Fischer International, Fischer International Identity, Identity as a Service, Ignite IT, Ignite Federation, Identity Management Made for Higher
Education e IaaS son marcas comerciales y/o marcas comerciales registradas de Fischer International Identity.