ИТ-портал компании «Инфосистемы Джет»

А нам много и не надо, или IdM для среднего бизнеса

А нам много и не надо, или IdM для среднего бизнеса

Ситуация на современном рынке IdM такова, что все основные вендоры ориентированы на компании Large Enterprise как на наиболее типового заказчика подобных решений последних лет. За это время уже сформировались определённые практики и подходы к внедрению систем IdM, удовлетворяющие потребностям этого сегмента бизнеса. И сейчас мы видим ситуацию, когда компании поменьше хотят построить у себя IdM, но не могут этого сделать, поскольку для них это слишком дорого. На рынке нет сформированных решений и подходов, подходящих для компаний средней величины.

Концепция

Исходя из нашего опыта построения систем управления доступом, мы понимали, что, с одной стороны, стандартные IdM-решения слишком тяжеловесны для нижнего сегмента крупных компаний. Они имеют гораздо больше функций, чем это необходимо. С другой, коробочный продукт не в состоянии полноценно решить проблемы управления доступом. Чтобы он приносил пользу, его требуется существенно адаптировать под конкретные инфраструктуру и процессы. Для компаний, насчитывающих 500–2000 человек, необходимо нечто среднее, продукт, который бы обладал только самой необходимой функциональностью и в то же время отвечал реальным потребностям.

Чтобы создать такое решение, мы взяли гибкую IdM-платформу от IBM и, используя свои лучшие практики внедрения IdM-систем, реализовали на её базе функционал, наиболее востребованный у наших клиентов. Разработка решения с нуля отняла бы огромное количество времени, и нам пришлось бы заново изобретать колесо. Поэтому мы и воспользовались опытом западных коллег в виде современной технологической платформы. В итоге мы получили продукт, который решает 80% проблем управления доступом за 20% стоимости обычного IdM-решения. Он получил название Jet inView Identity Manager и ориентирован на компании средней величины. Основные особенности продукта:

  • Решает все основные проблемы контроля и управления правами доступа пользователей «из коробки»:
    1. проблемы длительности предоставления доступа сотрудникам;
    2. проблемы высокой нагрузки на администраторов;
    3. проблемы с избыточным и несогласованным доступом к системам;
    4. проблемы трудоёмкости аудита и расследования инцидентов. 
  • Содержит лучшие практики построения процессов управления доступом, сформированные на основе нескольких десятков проектов внедрения IdM. Вам не потребуется изобретать процессы управления доступом с нуля, вы можете воспользоваться опытом других компаний. Это значительно сокращает время внедрения новых процессов и позволяет выстроить их оптимальным образом.
  • Имеет гибкую и расширяемую технологическую платформу, позволяющую развивать систему и масштабировать её с ростом бизнеса. Функциональные возможности Jet inView Identity Manager не ограничены тем, что предлагается «из коробки». Платформа имеет большое количество функций и инструментов их настройки, которые позволяют наращивать функционал системы в соответствии с потребностями компании. При возникновении новых потребностей и бизнес-задач в части управления доступом вам не потребуется менять платформу или приобретать дополнительные модули. Их можно решить средствами Jet inView Identity Manager.
  • Стоит $200 000 для компании со штатом 1000 человек.

Рис. 1. Основные особенности Jet inView Identity Manager

Описание решения

Jet inView Identity Manager интегрируется с кадровой системой для получения и обработки кадровой информации и с целевыми информационными системами (ИС) для управления учётными записями. Технологическая платформа имеет большое количество модулей интеграции с ИС западного производства. Помимо этого, мы разработали собственные модули для взаимодействия с наиболее популярными российскими системами. Логика обработки кадровых событий и управления учётными записями целевых систем настраивается в процессах управления доступом.

Система поддерживает управление несколькими типами сотрудников: штатные сотрудники, внештатники и технологические учётные записи. Для каждого типа используются отдельные формы графического интерфейса и процессы управления доступом. Для сотрудников, не представленных в кадровой системе, например, внештатников, в нашем IdM предусмотрен интерфейс ручного заведения. Набор поддерживаемых типов сотрудников можно расширить.

В продукте реализованы все необходимые процессы управления доступом. Из основных – «приём на работу», «перевод по должности», «увольнение», «запрос прав», «отзыв прав», «запрос прав на время», «пересмотр прав», «сверка», «контроль SoD-конфликтов». При приёме сотрудника на работу ему выдаётся базовый набор учётных записей и полномочий в соответствии с его должностью и подразделением. При переводе по должности набор назначенных полномочий пересматривается. При увольнении все права доступа у сотрудника автоматически отзываются, а учётные записи блокируются. При запросе прав доступа создаётся электронная заявка на предоставление дополнительных прав, которая после прохождения процесса согласования автоматически исполняется. Аналогично происходит с отзывом прав доступа.

При запросе ролей на время указывается срок, до которого запрашиваются определённые права. При его наступлении соответствующие права будут автоматически отозваны. Процесс пересмотра прав доступа состоит в том, что линейные руководители периодически просматривают права доступа своих подчинённых и отмечают те из них, которые более не актуальны. Как правило, это проводится раз в год. Процесс сверки состоит в обнаружении несогласованных (избыточных) полномочий в ИС. При их выявлении автоматически создаётся запрос на ответственное лицо для разбора инцидента. Все эти процессы, включая логику автоматизации и согласования, реализованы в соответствии с моделью процессов управления доступом, функционирующей у большинства наших клиентов.

В Jet inView Identity Manager реализована иерархическая ролевая модель с поддержкой множества типов ролей. Роль может включать в себя другие роли, а также полномочия в одной или нескольких целевых системах. Роли могут назначаться как автоматически, на основании данных сотрудника, так и вручную – через заявки. При этом их назначение сотруднику приводит к предоставлению ему соответствующих прав доступа в целевых системах.

Система обладает единым пользовательским интерфейсом, посредством которого осуществляется как работа с ней, так и её настройка. Доступ ко всем элементам пользовательского интерфейса и функциям разграничивается на основании ролей, состав которых настраивается. Управление доступом осуществляется очень гранулярно, для каждого атрибута можно определять, видит его пользователь или нет, и какие действия с ним можно выполнять. Штатно в системе реализованы следующие роли: «Сотрудник», «Руководитель», «Владелец ресурса», «Администратор ИБ», «Администратор».

Рис. 2. Автоматизация процессов в Jet inView Identity Manager

Через интерфейс сотрудник может посмотреть свои права доступа и учётные записи в информационных системах, статус своих заявок на доступ, сбросить пароль. Создание и согласование заявок на доступ также осуществляются в интерфейсе IdM. Если сотрудник является руководителем, то, помимо своих прав доступа, он может управлять правами доступа своих подчинённых.

Рис. 3. Отчёт о сотрудниках, имеющих доступ к информационному ресурсу

Все действия в системе журналируются, при этом в журналах отображаются дата и время события, инициатор, объект изменения, старое и новое значения. Просмотр журналов событий осуществляется как интерактивно, через графический интерфейс, так и посредством построения отчётов.

В Jet inView Identity Manager есть несколько десятков отчётов, которые позволяют получить информацию о текущем состоянии прав доступа пользователей и истории их изменения, об активных и согласованных заявках, о различных процессах и объектах. Помимо этого, мы разработали дополнительные отчёты, которые часто требуются для проведения расследований инцидентов и ИТ-аудита. К их числу относятся отчёты о состоянии прав доступа сотрудника на определённую дату в прошлом, об истории согласования и изменения прав сотрудника с момента приёма на работу, о персональной истории согласования заявок.

Настройка форм пользовательского интерфейса, автоматизированных процессов и отчётов осуществляется в специализированных графических инструментах. Система функционирует в составе сервера приложений Java, использует для хранения данных службу каталогов и СУБД. Все необходимые компоненты входят в состав решения.

Подход к внедрению Jet inView Identity Manager заключается в использовании заложенных в него принципов построения процессов управления правами доступа. Это позволяет получить лучшие рыночные практики автоматизации процессов управления доступом и значительно сократить сроки и стоимость проекта. При внедрении используются процессы, формы, отчёты и типы пользователей, уже реализованные в продукте. Допускаются незначительные изменения, такие как исключение определённых шагов согласования заявок в процессах, изменение состава атрибутов в формах и т.д. Интеграция с информационными системами осуществляется по типовым техническим требованиям.

Итак, Jet inView Identity Manager представляет собой полнофункциональное IdM-решение, ориентированное на компании со штатом в 500–2000 сотрудников. Продукт будет интересен прежде всего финансовым организациям, поскольку они имеют высокий уровень развития ИТ, уделяют большое внимание безопасности и попадают под требования стандартов. Он также представляет интерес для страховых компаний и компаний ритейл-сектора в силу наличия у них высоких рисков утечки информации и большого количества внешних торговых представителей, за доступом которых к корпоративным ИС необходимо следить особенно тщательно. В целом наша IdM-система подходит всем компаниям, которые хотят снизить операционные расходы на ИТ и риски несанкционированного доступа к информационным системам. 

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su