Mở rộng quy trình quản lý danh tính với Okta workflows

Bối cảnh: Các quy trình thủ công + thiếu tích hợp đã đẩy rủi ro về Nhận dạng tăng cao và đe dọa các sáng kiến chiến lược. Okta đã có nhiều bài phân tích về chủ đề quản lý nhận dạng tại Exclusive Vietnam Network

Akumin là đối tác đáng tin cậy của các bệnh viện, hệ thống y tế và các nhóm bác sĩ trên khắp Hoa Kỳ. Từ khi thành lập vào năm 2013, công ty đã phát triển trở thành nhà cung cấp dịch vụ chẩn đoán hình ảnh số 2 của đất nước, với khoảng 1.000 mối quan hệ với bệnh viện và hoạt động tại 48 tiểu bang.

Năm 2021, ba sự kiện quy mô lớn đã làm nổi bật nhu cầu hiện đại hóa hạ tầng Nhận dạng của Akumin:

• Akumin mua lại Dịch vụ Liên minh chăm sóc sức khỏe của .
• Công ty bắt đầu vào một cuộc tuyển dụng.
• Akumin đã khởi xướng một đợt di chuyển quy mô lớn sang Google Workspace.

Trong lúc những thay đổi này diễn ra, Kyle Kortvely đã tham gia Akumin với vai trò Quản trị viên Hệ thống. Anh và đội của anh đã xác định một số thách thức chính:

Quy trình khó chịu cho các nhiệm vụ vận hành, như tạo báo cáo: Các chuyên gia IT đã dành thời gian quý giá để thủ công tạo các cuộc kiểm tra bảo mật và báo cáo, rất quan trọng để bảo vệ tính bảo mật của bệnh nhân và đáp ứng yêu cầu của các cơ quan quy định.

Quá trình chậm, dễ mắc lỗi cho việc tạo và hủy việc: PowerShell và các kịch bản thủ công hạn chế khả năng tích hợp của công ty và không đáp ứng kịp thời yêu cầu tuyển dụng.

Áp lực lớn đối với quản trị viên bộ phận hỗ trợ: Các yêu cầu hỗ trợ IT tiếp tục tăng, làm khó khăn cho các quản trị viên bộ phận hỗ trợ phản hồi nhanh chóng, làm chậm một số quy trình chính.

Giải pháp: Sử dụng Okta Workflows để triển khai tự động hóa, tích hợp và ủy quyền không cần mã nguồn.

Akumin đã sử dụng trước đó bộ Ứng dụng quyền toàn diện của Okta, và Kortvely đã hiểu rằng Okta Workflows - một nền tảng tự động hóa và điều phối danh tính không cần mã nguồn - có thể kích hoạt một cuộc biến đổi lớn. Anh nhanh chóng bắt đầu tự động hóa các nhiệm vụ như kiểm tra bảo mật và tùy chỉnh việc thêm hoặc xoá nhân viên. Cuối cùng, Workflows đã giúp đội ngũ trở nên hiệu quả hơn bằng cách giảm bớt nhiều nhiệm vụ thủ công cho họ.

"Mỗi khi tôi tạo một Workflows, đó có lẽ là lúc tôi vui nhất trong công việc của mình: nó làm công việc của tôi dễ dàng hơn, làm cho công việc của người khác dễ dàng hơn - và nó hoạt động như một điều kỳ diệu. Khi tôi triển khai nó, tất cả mọi người đều được hưởng lợi." - Kyle Kortvely, Quản trị viên Hệ thống tại Akumin.

Bắt đầu với Workflows rất dễ dàng, ngay cả khi không có kiến thức về lập trình. "Tôi không phải là một lập trình viên, nhưng tôi bắt đầu bằng cách thử nghiệm với các mẫu và càng làm càng vui. Điều đó thực sự kích thích tư duy của tôi để bắt đầu suy nghĩ sáng tạo về các lĩnh vực cụ thể mà Workflows có thể giúp đỡ ngay lập tức."

Tự động tạo bảng và báo cáo bao gồm chính xác — hoặc chỉ dữ liệu bạn cần

Thời gian cấp quyền giảm 80% - cùng với việc di chuyển lên lịch Google Workspace đúng tiến độ

Khi Kortvely đến Akumin, các khía cạnh IT của việc tạo người dùng mới được thực hiện thủ công, với sự hỗ trợ của kịch bản PowerShell. Trước khi thâu tóm, Alliance đã áp dụng một phương pháp tương tự.

Nhưng quy trình này mất từ 10 đến 12 phút cho mỗi người dùng và yêu cầu một thành viên trong nhóm IT thực hiện. Nó đơn giản không thể mở rộng để đáp ứng kế hoạch tuyển dụng và hạ tầng công nghệ phát triển của công ty.

Vì vậy, Kortvely đã tạo một luồng tự động để cấp quyền cho người dùng, tập trung vào các yêu cầu ngay lập tức: làm nhanh quy trình, loại bỏ yếu tố thủ công và cho phép việc di chuyển lên lịch Workspace.

Phát hiện và giải quyết tên trùng lặp

Khi Kortvely tham gia, công ty sau thâu tóm có vài nghìn nhân viên và vẫn đang tuyển dụng. Kết quả của việc thâu tóm là họ có hai hệ thống Active Directories, tạo ra sự phức tạp riêng của nó giữa các thực hành IT và HR khác nhau để quản lý cộng sự. Tên trùng lặp đang chứng tỏ là một rào cản lớn. Trong khi những vấn đề như thế này thường xảy ra khi hệ thống nhận dạng được hợp nhất trong quá trình hợp nhất hoặc thâu tóm, chúng làm chậm hiệu suất làm việc.

Kortvely đã tạo một Workflows để phát hiện và khắc phục xung đột trong quá trình tạo người dùng mới, bao gồm tên người dùng hoặc địa chỉ email trùng lặp. Anh nhanh chóng mở rộng luồng công việc để kiểm tra tên miền, chỉ định vai trò người dùng cụ thể và đưa người dùng vào các nhóm, và cấp quyền truy cập vào các ứng dụng. Luồng hoàn chỉnh thực thi mà không mắc lỗi chỉ trong khoảng 20% thời gian so với phương pháp thủ công dựa trên PowerShell.

Kortvely cảm thấy hài lòng với những gì anh đã đạt được, nhưng bằng chứng thực sự đến khi anh nghỉ phép: "Tự động hóa đã làm cho việc tạo người dùng mới, cấp quyền và các hoạt động khác trở nên nhanh chóng, đáng tin cậy và dễ dàng. Tôi đã nghỉ phép trong vài tuần và không có vấn đề gì xảy ra - thật là một niềm an ủi."

Tăng cường bảo mật việc hủy quyền truy cập thông qua tùy chỉnh việc hủy quyền

Đảm bảo việc thu hồi quyền truy cập khi một nhân viên rời đi hoặc bị chấm dứt là một khía cạnh quan trọng về bảo mật và tuân thủ, nhưng thường khó thực hiện.

Trong tình trạng hiện tại của việc hủy quyền, Akumin đang tiến hành làm cho Workday trở thành nguồn đáng tin cậy, nhưng đang dần tiến hành và chuyển sang các bước này và dần dần rời xa các Active Directories cũ. Kortvely giải thích rằng bộ phận nhân sự có thể tạm ngưng một người dùng trong Workday, nhưng không thông báo cho nhóm IT cho đến sau một hoặc hai ngày - đặc biệt là trong trường hợp nhân viên rời đi vào thứ Sáu. Ngoài ra, với việc hủy quyền thủ công, có thể mất vài ngày hoặc thậm chí vài tuần trước khi quyền truy cập của một người dùng được gỡ bỏ hoàn toàn khỏi nhiều hệ thống khác nhau được sử dụng bởi Akumin.

Nhận thức về nguy cơ này, Kortvely đã khám phá cách áp dụng Workflows để đóng kín khoảng trống bảo mật này.

Kết quả là một luồng công việc mạnh mẽ sử dụng cuộc gọi API để xác định xem tài khoản Workday của người dùng có bị tạm ngưng hay bị thu hồi quyền, điều này sau đó kích hoạt một loạt hành động, bao gồm:

• Gán người dùng vào một nhóm bảo mật đặc biệt, mà Kortvely mô tả là "một 'tổng đài' đang giữ"
• Từ chối quyền truy cập vào Okta
• Tắt quyền truy cập vào Google Workspace

Sau khi IT xác nhận với bộ phận nhân sự rằng một người dùng đã ra đi hoặc bị sa thải (thay vì tạm ngưng tạm thời vì một lý do khác), sau đó việc hủy quyền truy cập hoàn chỉnh - và tự động - sẽ xảy ra.

Bằng cách sử dụng Workflows, Kortvely đảm bảo rằng người dùng bị tạm ngưng ngay lập tức sẽ mất quyền truy cập và việc hủy quyền truy cập toàn diện và đúng thời gian.

Tăng tốc giải quyết yêu cầu hỗ trợ bằng luồng được ủy quyền

Sử dụng Workflows, Kortvely và đội của anh đã giải quyết các nhu cầu quan trọng và khẩn cấp cho Akumin, nhưng họ vẫn chưa hoàn thành.

Trong tổ chức, có mối quan ngại rằng quá nhiều người có quyền quản trị siêu cấp - kết quả của các quy trình thủ công và nhu cầu đáp ứng các yêu cầu hỗ trợ IT.

Để giải quyết rủi ro bảo mật tiềm tàng này, Kortvely đã sử dụng tính năng luồng được ủy quyền của Okta. Luồng được ủy quyền có thể được gán cho các quản trị viên bởi các quản trị viên siêu cấp trong tổ chức của họ. Khi một quản trị viên được gán một vai trò với quyền Chạy luồng được ủy quyền, họ sẽ có quyền truy cập vào danh sách luồng được ủy quyền trong Bảng điều khiển quản trị của Okta, nơi họ có thể chạy các luồng được gán cho họ trong một tập nguồn.

Nói cách khác, luồng được ủy quyền cho phép quản trị viên chạy các luồng mà thông thường chỉ giới hạn cho các quản trị viên siêu cấp.

Kortvely mô tả các luồng được ủy quyền anh xây dựng là "tác phẩm lớn nhất" của mình vì không chỉ bao gồm công việc tạo người dùng mới, mà còn bao gồm nhiều luồng bổ sung khác cho phép đội hỗ trợ hỗ trợ giải quyết một loạt yêu cầu thông thường - bao gồm gán người dùng vào hộp thư, thay đổi tên email, thêm địa chỉ email phụ, cấu hình nghỉ phép.

Và việc đơn giản hóa các nhiệm vụ này có tác động thực sự, vì "Một yêu cầu hỗ trợ có thể nằm trong hàng đợi trong 2 hoặc 3 ngày cho đến khi một quản trị viên siêu cấp có thể giải quyết, bây giờ có thể hoàn thành trong cùng một ngày - an toàn, bảo mật và đáng tin cậy - với luồng được ủy quyền: chỉ cần nhấn một nút."

Kết quả: Hạ tầng danh tính hiệu quả và bảo mật hơn

Cho đến nay, Kortvely và đội của anh đã giới thiệu gần 30 luồng để tự động hóa một loạt các quy trình và nhiệm vụ quản lý danh tính trong Akumin. Tác động đã được thấy ngay lập tức và rõ ràng trong toàn bộ tổ chức, với những lợi ích bao gồm:

• Tăng cường tư thế bảo mật: Từ việc áp dụng MFA đến chặt chẽ quyền truy cập ít nhất, Workflows cho phép Akumin quản lý rủi ro danh tính tốt hơn.
• Giảm chi phí: Workflows là yếu tố quan trọng trong việc di chuyển thành công của Akumin lên Google Workspace, cho phép dự án hoàn thành đúng tiến độ và trong ngân sách.
• Cấp quyền nhanh hơn 80% (và không lỗi): Workflows cho phép Akumin tự động hóa các khía cạnh IT của việc tạo người dùng mới, giảm thời gian cho mỗi người dùng điều này lên tới 80% - điều quan trọng để theo kịp sự phát triển của công ty - đồng thời loại bỏ sai sót của con người trong quá trình này.
• Hủy quyền truy cập an toàn: Trước khi sử dụng Workflows, có thể mất từ 1 đến 2 ngày cho đến khi nhân viên rời đi và thông tin được thông báo cho IT, và có thể mất vài tuần trước khi một người dùng được hủy quyền truy cập hoàn toàn. Workflows nhanh chóng khắc phục điều này.
• Giải quyết yêu cầu hỗ trợ IT nhanh hơn: Các luồng được ủy quyền cho phép các quản trị viên giải quyết một loạt các nhiệm vụ ngay lập tức, cải thiện trải nghiệm của nhân viên.

"Thực sự, tôi thích rất nhiều khi tạo bất kỳ luồng nào - đó là một trong những điều giải tỏa cảm xúc đơn lẻ mà tôi được làm khi làm việc."

Tiến lên với Okta

Kortvely rất tự hào và thú vui với những gì đội của anh tiếp tục đạt được, hào hứng mô tả, "Mỗi khi tạo một luồng làm việc, có lẽ đó là khoảnh khắc hạnh phúc nhất của tôi trong công việc: nó làm công việc của tôi dễ dàng hơn, làm cho công việc của người khác dễ dàng hơn - và nó hoạt động đơn giản. Khi triển khai nó, tất cả mọi người đều hưởng lợi."

Nhìn vào tương lai, anh ấy hào hứng với tiềm năng của các luồng trễ thấp (Low-latency flows) và mở rộng tầm quan trọng của Okta trong Akumin: "Tôi đã xem các phiên bản thử nghiệm của Identity Governance và tôi rất hào hứng để thử và triển khai tất cả những gì nó có để cung cấp."

Nguồn: Okta