Системы управления идентификационными данными
Системы управления идентификационными данными (Identity Management — IdM) предназначены для автоматизации процессов управления идентификационными данными пользователей информационных систем и их доступом к интегрируемым информационным системам на основе ролевой модели. Результатом внедрения систем класса IdM является реализация автоматизированных механизмов по управлению полным жизненным циклом учетных данных, позволяющим выполнять операции создания, изменения и удаления учетных записей в интегрируемых информационных системах.
Каждому сотруднику компании соответствует пользователь IdM-системы, создаваемый на основании кадровых данных, получаемых из доверенной системы (например, HR-системы). Учетные записи в целевых информационных системах создаются только с помощью IdM-системы и привязываются к конкретному её пользователю. Таким образом, любой учетной записи в информационной системе всегда соответствует её владелец – сотрудник компании.
По своей специфике системы класса IdM ориентированы на сотрудников, обеспечивающих режим информационной безопасности компании, и обладающих специальными техническими навыками и знаниями для настройки и эксплуатации таких систем. Встроенный функционал IdM-систем не позволяет учитывать бизнес-логику компании и накладывает следующие ограничения на собственное применение:
- доступ к ИТ-ресурсам осуществляется на основе групп доступа, не привязанных к ролевой модели доступа, бизнес-ролям компании и её организационной структуре;
- интерфейс IdM-систем ориентирован на ИТ-пользователей, что затрудняет работу с ней бизнес-пользователей; интерфейс требует значительной кастомизации;
- отсутствие единого реестра, отражающего взаимосвязи ИТ-ресурсов, владельцев, ролей доступа и политик доступа;
- функционал аттестации прав доступа пользователей является ограниченным;
- отсутствие механизма проверки совместимости полномочий;
- отсутствие функционала анализа рисков доступа к ИТ-ресурсам;
- встроенный функционал согласования заявок на предоставление доступа является ограниченным и требует значительной кастомизации.
Примером программного решения по управлению идентификационными данными является решение Oracle Identity Manager, Sun Java System Identity Manager и др.
Для реализации функционала, отсутствующего в IdM-системах, используют решения класса Identity and Access Governance (IAG) – системы регулирования доступа пользователей. Классические IAG-системы интегрируются с IdM-системами и реализуют бизнес-логику в задаче управления идентификационными данными. Основным функционалом IAG-систем является:
- создание единого каталога сотрудников компании, политик доступа, информационных ресурсов и их владельцев;
- создание наиболее полного представления о доступе сотрудников к информационным ресурсам компании и выявление «сиротских» учетных записей;
- реализация динамической ролевой модели доступа через бизнес-роли, создаваемые с учетом организационной структуры компании, бизнес процессов атрибутами целевых систем;
- реализация управления жизненным циклом бизнес-ролей;
- реализация процессов согласования изменения ролей, политик доступа и назначений;
- ресертификация (аттестация) – проверка корректности доступа пользователей к информационным ресурсам компании;
- контроль разделения (совместимости) полномочий и учет факторов риска;
- реализация соответствия требованиям политик и регуляторов;
- отчетность, позволяющая предоставлять наглядные кастомизированные отчеты при аудите;
- эргономичный интерфейс, ориентированный на бизнес-пользователей.
Примером программного решения регулирования доступа пользователей является решение Oracle Identity Analytics.
Интеграция IAG и IdM систем
1. Классический подход
В зависимости от интеграционных возможностей, существующие IAG-решения подразделяются на следующие классы:
- интегрируемые с IdM-системами сторонних вендоров;
- интегрируемые только с IdM системами того же вендора;
Основным недостатком классических IAG-систем является необходимость в выполнении двухэтапной интеграции с ИТ-инфраструктурой для получения функционала уровня «Governance, Risk and Compliance» в части управления идентификационными данными:
- первоначальное построении IdM инфраструктуры;
- внедрение IAG-системы с учетом её интеграционных возможностей.
Таким образом, системы управления идентификационными данными строятся не на основе бизнес-задач и процессов, а исходя из задач существующей ИТ-инфраструктуры.
Следствием подобного подхода являются следующие негативные факторы:
- увеличивается суммарная стоимость внедрения;
- повышается совокупная стоимость владения;
- увеличивается продолжительность внедрения;
- увеличиваются требуемые технические ресурсы;
- усложняется архитектура решения;
- усложняется эксплуатация;
- увеличиваются затраты на администрирование решения
- ошибки внедренной IdM-инфраструктуры отражаются на разворачиваемой IAG-системе
Данный подход реализуется при интеграции продуктов Oracle Identity Manager и Oracle Identity Analytics.
2. Целостный подход
Новым подходом к построению IAG-систем является подход, в котором при построении систем управления идентификационными данными, в первую очередь решаются следующие задачи по управлению идентификационными данными:
- управление пользовательским доступом на основе бизнес-ролей;
- управление рисками доступа к активам компании;
- соответствие требованиям регуляторов в части управления идентификационными данными
.
Целостный подход заключается в том, что сначала выстраиваются бизнес-процессы по управлению доступом (компонента IAG), далее на основе единого процесса управления идентификационными данными происходит построение IdM-системы, непосредственно выполняющей функции создания/изменения/удаления учетных записей и их атрибутов.
При таком подходе IAG-системы строятся на модульной основе, позволяющей гармонично учитывать существующие условия бизнеса и его ИТ-инфраструктуру, что характеризуется:
- уменьшением суммарной стоимости внедрения;
- снижением стоимости владения;
- уменьшением требуемых технических ресурсов;
- упрощением архитектуры и увеличения её прозрачности;
- снижение затрат на обслуживание и эксплуатацию решения;
- поэтапным внедрением решения без влияния на непрерывность бизнес-процессов компании.
Данный подход в полной мере реализуется в комплексном решении по управлению идентификационными данными и регулировании доступом пользователей — SailPoint IdentityIQ.
Автор: kuzja_21