Klucz do katalogów

Rozmowa z Tomaszem Gorgoniem, niezależnym konsultantem, właścicielem firmy ITcon z Gliwic.

Rozmowa z Tomaszem Gorgoniem, niezależnym konsultantem, właścicielem firmy ITcon z Gliwic.

Technologia katalogów X.500 jest dojrzała, dostawcy i produkty - powszechnie znane, a mimo to wdrożenia systemów katalogowych nadal nastręczają firmom problemów. Dlaczego?

Problemem na pewno nie jest technologia katalogowa - to raczej kwestia świadomości, umiejętności przewidywania i znajomości metodologii wdrożeniowej. Wiele kłopotów bierze się z tego, że systemy katalogowe zbyt pochopnie uznaje się za łatwe do wdrożenia, ponieważ są dobrze ustandaryzowane. Kardynalny błąd polega na tym, że przed wdrożeniem, zwłaszcza w większych, heterogenicznych środowiskach, pomija się kluczowy etap: analizy wykonalności. Prawda jest taka, że scentralizowany system zarządzania informacją o użytkownikach, aplikacjach i uprawnieniach nie zawsze da się wdrożyć. Bywa, że wykonanie zmian w aplikacjach jest technicznie niemożliwe lub niedozwolone przez producenta, innym razem koszt dostosowania aplikacji czyni przedsięwzięcie nieopłacalnym.

A jeżeli analiza wstępna wykaże, że system katalogowy jednak da się wdrożyć? Czy to już koniec problemów?

O nie, to dopiero początek.

Ponieważ katalog to system przynależący do infrastruktury, informatykom często wydaje się, że mają monopol na mądrość w tej dziedzinie i że nie muszą nikogo słuchać. A jest dokładnie odwrotnie - powinni słuchać i to bardzo uważnie. Powiem więcej, nie da się z sukcesem wdrożyć systemu katalogowego bez współpracy z działami biznesowymi, które są odpowiedzialne za ofertę, a więc np. z działami marketingu i sprzedaży. One mają, a w każdym razie powinny mieć, długofalową koncepcję rozwoju oferty firmy, a w konsekwencji wymagań w stosunku do aplikacji, które będą tę ofertę obsługiwać czy realizować. Wiedza o tym, jak będzie rozwijać się środowisko aplikacyjne w długim okresie jest absolutnie niezbędna.

Kolejny problem to nieświadomość typowego przebiegu projektu wdrożenia katalogu u progu projektu. Podstawą dobrego wdrożenia systemu katalogowego jest opracowanie spójnego schematu katalogu. Trzeba to zrobić, tak by z czasem nie trzeba było go znacząco zmieniać. Należy też przewidzieć, jakie zmiany w schemacie mogą zostać wymuszone przez potrzeby biznesowe, np. konieczność uwzględniania dodatkowych identyfikatorów użytkownika/klienta. Taka praca wymaga bliskiej współpracy działów, które na co dzień uwikłane są w polityczne rozgrywki. Najwięcej emocji budzi zwykle to, co należy uznać za unikalny identyfikator użytkownika czy klienta. W firmie zatrudniającej kilka tysięcy osób wdrożenie systemu katalogowego trwa zwykle około roku, z czego ok. 6 miesięcy upływa właśnie na uzgadnianiu schematu.

Być może jest tak, że klientom wydaje się, że na katalogach się znają, bo przecież mają kilka różnych rozwiązań...

No właśnie, kilka, zwykle niezintegrowanych, a nie jedno.

Na tym polega różnica i w tym leży trudność. Poza tym, chcąc sprzedać produkt, handlowcy tworzą w głowach klientów zamęt, prześcigając się w przekonywaniu, że ich rozwiązanie umie coś szybciej, więcej lub lepiej. Tymczasem produkt jest drugorzędny. Co z tego, że system X może coś, czego nie może system Y? Być może firma wcale tego nie potrzebuje, ale skąd ma to wiedzieć, skoro nie ma pomysłu na spójny schemat, ani nawet pojęcia o najlepszej dla niego architekturze? Solidny schemat i projekt architektury wskazują na produkt, który najlepiej spełni oczekiwania.

A tak przy okazji, mam wrażenie, że firmy fałszywie pojmują tzw. niezależność od dostawcy. Kupując czyjś produkt, zawsze jest się od niego zależnym. Jeśli firma korzysta np. z infrastruktury Microsoftu, wdrażanie katalogu innego niż Active Directory naprawdę trzeba dobrze uzasadnić konkretnymi wymaganiami funkcjonalnymi - wynikającymi ze schematu lub wymagań architektonicznych. W wielu sytuacjach taka dywersyfikacja nie ma sensu.

Jakie błędy są najczęściej popełniane, gdy system katalogowy już jest wdrożony?

To ciekawe. Najczęściej powtarzającym się błędem jest brak szyfrowania komunikacji między systemem katalogowym a aplikacjami. Administratorom wydaje się, że jeżeli komunikacja odbywa się w ramach segmentu sieci przeznaczonego dla serwerów, zwykle zabezpieczonego dodatkowymi systemami firewall czy systemami typu IDS, to szyfrowanie nie ma sensu. Otóż ma. Katalog jest kluczowy dla procesu uwierzytelniania, w związku z czym jest najatrakcyjniejszym z możliwych celem każdego ataku.


TOP 200