one identity manager что это
Identity Management — основы управления учетными записями
Сегодня мы начнем разговор о системах класса Identity Management. Как многие из вас знают, 1 июля закончился срок действия отсрочки вступления в силу федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»
Соответственно, для управления персональными данными в ИТ крупные компании будут вынуждены внедрять специализированные системы класса IDM для управления информацией о пользователях своих корпоративных систем. Если раньше наблюдался некоторый дефицит квалифицированных кадров в этой области, то теперь этот дефицит примет катастрофические масштабы, так как гром грянул, и мужику положено начать креститься.
Дефицит кадров в этой специализированной области обусловлен тем, что специалист по IDM должен обладать сразу несколькими навыками в ИТ – он должен хорошо разбираться в устройстве различных систем информационной безопасности, иметь практический опыт системного администрирования, быть неплохим программистом для написания адаптеров и сценариев обработки данных, уметь описывать и ставить бизнес-процессы. И при этом он не должен беситься от огромного количества рутинной работы по выверке персональных данных. Могу практически со стопроцентной уверенностью утверждать, что таких людей в природе не существует. С этим фактом связана извечная головная боль сотрудников HR, которые вообще смутно себе представляют нашу специфику, а тут еще им приходится иметь дело с такой гремучей смесью несовместимых навыков.
Единственным выходом из ситуации является разделение работы минимум на двоих. Один может программировать коннекторы к системам безопасности, настраивать внутренние workflow, писать скрипты и заниматься развертываением. Второй должен работать с пользовательскими данными, описывать бизнес-процессы, заниматься документированием и продвижением идеи IDM в ИТ массы.
Спешу разочаровать коллег-программистов. В этом цикле статей акцент будет сделан на бизнес- и постановочную часть внедрения IDM, а также на практические приемы внедрения и работы с пользовательскими данными. Потому что толковых программистов у нас хоть и мало, но найти можно. А вот людей, понимающих зачем все это делается, можно пересчитать в Москве по пальцам.
Я искренне надеюсь, что после прочтения данного материала у коллег прибавится ясности по данному вопросу, и многие программисты или системные администраторы смогут перейти в лагерь бизнес-аналитиков по IDM, чтобы составить достойную конкуренцию тем немногим работающим в этой области «звездам».
Что такое Identity Management?
Identity – это личность. Все, что составляет информацию о реальном человеке, является Identity: его имя, пол, должность, год рождения, атрибуты его учетных записей в системах. В определенных сочетаниях информация о человеке является предметом защиты федеральных законов и должна управляться. Процессы и системы управления персональными данными называются Identity Management, или IDM.
Где хранится персональная информация о сотрудниках компании? Разумеется, в кадровой системе. А еще – в каталоге Active Directory, в карточках пользователей нескольких десятков прикладных систем, в данных почтовых программ, в системах управления клиентами, в биллинговых системах, в системах сервис-деск… Зачастую эта информация не согласованна. Один и тот же человек может быть прописан в десятке систем одновременно, и никто не даст гарантии, что он прописан в них одинаково и корректно.
Одна из основных задач IDM – создание единого и актуального каталога персональной информации как основы для дальнейшего развития процессов управления.
IDM, IAM, RM — WTF?
Учетные записи пользователя и их атрибуты (например, группы доступа) являются такой же частью персональной информации, как и почтовые адреса, имена и должности. Специалисты по Active Directory подтвердят, что это все хранится в системной базе данных сходным образом. Соответственно, логично было бы включить в рамки процесса IDM заодно и управление доступом к информационным системам (Access Management). Часто под IDM как раз и понимается Identity and Access Management (IAM), просто аббревиатура IDM людям нравится больше.
Результаты успешного внедрения IDM можно разделить на «статические» и «динамические». Первые – это результаты «что же стало?». А вторые «И как же это работает?»
Права (привилегии) пользователя в различных системах зависят только и исключительно от его служебных обязанностей. И чем разнообразнее его обязанности, тем сложнее определить принципы назначения этих привилегий.
В простейшем случае права пользователя определяются его должностью, и физическим расположением его рабочего места. Это характерно для массовых взаимозаменяемых должностей – разнообразных операторов, сотрудников центров обработки звонков, работников конвейерной линии и т.п.
Задача усложняется, когда в обязанности сотрудника входит дополнительная деятельность, не характерная для его коллег. Например, сотрудник отвечает за заказ канцтоваров на весь свой отдел. Для этого ему предоставляется доступ в некую систему, куда он заходит раз в квартал, нажимает там три кнопки и забывает о ней на следующие три месяца. И такие пользователи есть в каждом отделе. Подобную головную боль представляют также бухгалтеры крупных компаний, которые, как известно, часто специализируются в разных областях и используют разные системы, будучи при этом на одной должности.
Еще более сложный случай – когда в компании действуют внутренние проекты или иная нерегулярная деятельность, требующая временных группировок сотрудников по тем или иным признакам. Например, внедряется ERP система, и все участники рабочей группы получают временный доступ к тестовой площадке. Или в компании идет работа над новым шаблоном презентации, и ключевых сотрудников допустили на портал службы маркетинга для оценки дизайнерских макетов. Да мало ли что еще может быть! Дать необходимые полномочия в подобной ситуации еще полдела. Попробуйте правильно и вовремя их отозвать! В 90% компаний полномочия никогда у пользователей не отзываются. Давно работающие сотрудники постепенно обрастают доступами, словно корабли ракушками. Через два-три года никто толком не может сказать, откуда у них такое количество привилегий. Если сами учетные записи еще хоть как-то контролируются прикладными администраторами по количеству и предполагаемым владельцам, то в рамках одной учетной записи сам черт ногу сломит.
Чтобы разобраться во всем этом, как вы понимаете, нужно проделать серьезную работу. В ручном режиме управиться можно при небольшом количестве систем и железной дисциплине. Но если сущностей становится слишком много для обычного человека, приходится думать об автоматизации процесса и о применении элементов ролевого управления доступом (Role Management). RM – это сейчас крайне модное и популярное направление в сфере middleware. Для стороннего наблюдателя стоит оно немыслимых денег и непонятно чего делает. Системы этого класса предлагают наперебой ведущие гиганты софтостроения, такие как Oracle (он же Sun), IBM, Microsoft. Множество копий сломано в бессмысленных спорах о преимуществах той или иной платформы. По опыту могу сказать, что все системы будут одинаково бестолковыми, если мы не уделим должного внимания наведению порядка в бизнес-процессах.
Вообще говоря, механика работы этих систем меня интересует мало, так как успех внедрения заключается не в фирменном движке и не в используемом языке программирования, а в правильном формировании ролевых моделей и в точной настройке бизнес-правил. Качество же конкретной системы определяется удобством формирования ролевой модели и гибкостью в настройке бизнес-правил. Все ведущие производители стараются оптимизировать именно эти параметры своих разработок наряду с расширением количества готовых коннекторов и общим повышением надежности работы движка.
В случае внедрения IDM не нужно, как у нас принято, сразу же кидаться ставить софт в надежде на то, что телега вытянет за собой лошадь. Чуда, как обычно, не произойдет, а дров наломаете на годы вперед. Ведь системы IDM внедряются в самое «наше все» системных администраторов — в аутентификацию пользователей. Упавший IDM может парализовать работу всей компании. Криво настроенный движок приведет к тому, что прежний «геморрой» с прописыванием нового пользователя вручную покажется админам доброй сказкой. Стоит ли говорить, как все вокруг воспримут после этого вас и вашу систему.
Как пример могу привести забавный глюк в алгоритме разрешения конфликтов при формировании учеток однофамильцев, который приводил к автоматической генерации сразу сотни учетных записей. Представьте себе теперь восторг заказчика, который оплачивает лицензию за каждую учетную запись в купленной им системе. Только чудом удалось тогда замять скандал. Но ложки-то нашлись, а осадочек остался.
Российские реалии таковы, что даже в самых развитых и прогрессивных компаниях бардак в пользовательских привилегиях стоит неимоверный. Несмотря на периодическую зачистку и инвентаризацию учетных записей, привилегии пользователей никто не вычесывает мелким гребнем, особенно у высокопоставленных сотрудников. Также зачастую нет порядка со служебными, гостевыми и административными учетными записями, так как они не связаны с конкретными людьми и вообще непонятно что с ними делать.
Получается, что сотрудники отделов информационной безопасности сидят на мине замедленного действия, так как они не знают ответа на элементарный вопрос аудитора: «Кто и на каком основании имеет доступ к той или иной системе?» А то, что с этим вопросом им придется встречаться все чаще и чаще, есть установленный наукой факт. Ответить же на него в любой момент времени (а не только после месяца ручной выверки привилегий) помогут системы класса IDM с дополнительной функциональностью ролевого управления доступом.
В следующих публикациях мы затронем вопросы организации проекта внедрения IDM, а также различные практические подходы к созданию ролевых моделей.
Обзор One Identity Manager 7.1. Часть 1
В статье рассматривается система управления идентификационными данными и доступом компании One Identity — One Identity Manager версии 7.1.2 (дата выпуска — сентябрь 2017). Наш обзор будет состоять из нескольких частей. В первой части мы рассмотрим историю продукта и его функциональные возможности, а также отразим основные моменты по управлению учетными данными сотрудников и их правами доступа.
Сертификат AM Test Lab
Номер сертификата: 203
Дата выдачи: 09.11.2017
Срок действия: 09.11.2022
Введение
Этим обзором мы продолжаем публикацию статей, посвященных IdM/IAM-системам, представленным на российском рынке. Ранее мы уже рассматривали популярные IdM/IAM-системы в контексте мирового и российского рынка («Обзор IdM/IAM-систем на мировом и российском рынке»), а также проводили детальное сравнение таких систем управления доступом («Сравнение систем управления доступом (IdM/IAM) 2015»).
Но рынок не стоит на месте, к продуктам этого класса присматриваются все больше компаний. К тому же зачастую, как показывает практика, компании обращают внимание на новые IdM/IAM-системы, когда уже внедренная система перестает удовлетворять всем потребностям ее владельца, а дополнительное расширение ее функциональности упирается в финансы и другие сложности. Соответственно, на российском рынке появляются новые игроки, которые предлагают свои продукты. Помимо отечественных представителей, на нашем рынке развиваются зарубежные продукты от мировых лидеров, на которые также стоит обращать внимание.
Развивается не только рынок, но и сами IdM/IAM-системы. Они совершенствуются, обрастают дополнительными возможностями, новыми «фишками», которые позволяют расширить сценарии их использования. По этой причине в конце 2016 года мы расширили наше детальное сравнение систем управления доступом, добавив туда IdM/IAM-системы, появившиеся на нашем рынке, и увеличив число критериев для сравнения («Сравнение систем управления доступом (IdM/IAM) 2016»). Одним из таких продуктов, который был нами рассмотрен в рамках приведенного выше сравнения, является IdM-система One Identity Manager, представленная компанией с созвучным названием One Identity, (ранее — подразделение компании Dell). Именно этому продукту и посвящен данный обзор.
Как появился One Identity Manager?
Продукт One Identity Manager не является новым, а существует и стабильно развивается на рынке уже более 15 лет. За это время он предлагался под разными названиями, в зависимости от вендора-владельца. Изначально это было детище компании Voelker Informatic (Германия), продукт назывался ActiveEntry. Будучи приобретенным компанией Quest Software, продукт получил название Quest One Identity Manager. В 2012 году компания Quest Software (в том числе One Identity как ее составная часть) была куплена компанией Dell, в рамках которой было создано подразделение Dell Software. Под брендом Dell Software продукт получил наименование Dell One Identity Manager. Но под этим брендом он просуществовал сравнительно недолго, и в конце 2016 года появилась новая, самостоятельная компания One Identity, а ее основной продукт получил теперешнее название – One Identity Manager. Именно под этим брендом и названием российскому рынку и предлагается система управления идентификационными данными и доступом.
Стоит отдельно отметить, что несмотря на неоднократную смену названия и бренда, все это время продукт активно развивался. Так и сейчас, под новым брендом One Identity продолжаются все старые проекты, активно развивается партнерская сеть, а самое главное — сохранена и расширена команда сотрудников (в том числе разработчики), которые работали над системой ранее.
Более подробную информацию о компании One Identity, ее истории и планах развития в России вы можете узнать из нашего интервью с руководителем представительства компании в России и СНГ Яковом Фишелевым («Яков Фишелев: Наша цель — стать IdM-вендором номер один для коммерческих компаний в России»).
Описание One Identity Manager
One Identity Manager представляет собой решение для централизованного управления правами доступа сотрудников к различным информационным ресурсам компании. С его помощью большинство задач по управлению учетными записями и правами доступа пользователей автоматизируется, что позволяет снизить простои в работе сотрудников и загрузку системных администраторов. Как и любая система IdM, One Identity Manager предлагает богатый набор функций по контролю прав доступа сотрудников, соответствию требованиям различных стандартов и политик безопасности, автоматизации и унификации самих процессов контроля. Это позволяет службам информационной безопасности обеспечивать более высокий уровень контроля за разграничением доступа к информационным ресурсам и, как следствие, повысить общий уровень информационной безопасности в компании.
Продукт представлен полностью как программное решение и поставляется с большим количеством предопределенных рабочих процессов. Широкий набор функций предлагается из коробки. Большинство тонких настроек доступно в графическом интерфейсе, в результате чего для решения многих базовых задач работа программистов не требуется. Это позволяет внедрить IdM-системы с базовой функциональностью в сравнительно короткие сроки.
Еще одним отличительным признаком, который делает IdM-систему One Identity Manager более привлекательной для российских компаний, является наличие пользовательского интерфейса на русском языке. Портал самообслуживания в этой IdM-системе реализован по принципу интернет-магазина, логика функционирования которого знакома большей части пользователей. Эти моменты значительно облегчают работу с системой как рядовым пользователям (сотрудникам, руководителям), так и администраторам. При этом каких-либо специальных навыков для работы с системой не требуется (текущие клиенты One Identity Manager особо отмечают простоту ее внедрения и последующего администрирования).
Кроме того, One Identity Manager отмечен рядом независимых аналитических агентств. Так, например, по отчетам таких аналитических агентств, как Forrester (ссылка на отчет) и KuppingerCole (ссылка на отчет), One Identity Manager был признан лидером. В том числе Gartner в своем последнем исследовании, посвященном IGA-системам (Identity Governance and Administration; с учетом изменений наименования IdM-системы Gartner на сегодняшний день использует в названии своего магического квадранта аббревиатуру IGA) отмечает превосходную функциональность по управлению пользователями, ролями и политиками, глубокую интеграцию со сложными приложениями.
Функциональные возможности One Identity Manager
One Identity Manager осуществляет управление идентификационными данными и контроль доступа к приложениям, платформам, системам и данным в масштабах всего предприятия согласно модели RBAC (Role Based Access Control). Кроме того, частично поддерживается атрибутная модель доступа. В продукте реализовано решение таких задач, как управление учетными записями, правами доступа пользователей к ресурсам информационных систем, управление запросами на новые учетные записи и права доступа, контроль за учетными записями и правами доступа, контроль соответствия правилам и политикам (нормоконтроль), плановая аттестация доступа, сертификация учетных записей, контроль разделения полномочий и т. д. При том большинство этих задач унифицированы (либо автоматизированы), что позволяет снизить нагрузку на ИТ-персонал и сократить операционные расходы.
Основные функциональные возможности One Identity Manager:
Управление идентификационными данными и доступом в One Identity Manager
Для работы с системой One Identity Manager используется ряд приложений (интерфейсов), предназначенных для решения разных задач. В данной части обзора мы рассмотрим один из основных интерфейсов, с помощью которого реализуется множество задач по управлению идентификационными данными сотрудников, предоставлению им прав доступа к различным ресурсам компании и их контролю — портал самообслуживания One Identity Manager.
Вообще, в решении One Identity Manager все действия, которые касаются процессной деятельности, выполняются из портала самообслуживания. Т. е. это единственный рабочий интерфейс, который будет необходим сотрудникам компании для запроса прав доступа, согласования заявок, проведения аттестации прав доступа ответственными лицами по каждой целевой системе, аудита, контроля за соблюдением установленных политик и правил, их нарушениям, отчетности, делегирования полномочий и др. — как итог, конечный результат внедрения системы IdM.
Настройка самой системы производится администраторами при помощи набора приложений (в основном, толстых клиентов). Эти инструменты и другие аспекты, касающиеся настройки решения One Identity Manager, мы рассмотрим во второй части обзора.
Портал самообслуживания
Портал самообслуживания предназначен для всех сотрудников компании — как рядовых пользователей, так и руководителей. Он позволяет выполнять следующие действия:
В зависимости от назначенных пользователю полномочий в самой системе IdM (внутренних ролей в системе) стартовая страница портала будет выглядеть по-разному; на портале будут отображаться только разрешенные для данного пользователя элементы и функции.
Стоит особо отметить, что портал самообслуживания One Identity Manager прекрасно выглядит как на десктопе, так и на мобильных устройствах (смартфон, планшет) благодаря используемой технологии HTML5 и наличию двух режимов отображения: для мобильных устройств и для рабочего стола. Режим отображения выбирается автоматически, но его также можно переключить вручную.
Рисунок 1. Стартовая страница рядового сотрудника на портале самообслуживания
На портале сотрудник видит несколько разделов, которые предоставляют различные возможности. Здесь, например, отображается:
Также на портале сотруднику доступна функция редактирования своего профиля:
Рисунок 2. Редактирование профиля пользователя на портале самообслуживания
Помимо этого, пользователь может посмотреть свой профиль в графическом виде — так называемый обзор «на 360 градусов». Этот инструмент наглядно представляет информацию по пользователю в целом — «карточку сотрудника»: по имеющимся у него учетным записям в системах, его полномочиям в этих системах, статусе аттестации (в случае если она проводилась по пользователю или по связанным с ним объектам), организационную информацию (руководитель, заместитель, отдел, департамент) и т. д.
В рамках обзора «на 360 градусов» по сотруднику в центре располагается организационная информация о нем (фамилия, имя, должность и т. д.), а по периметру — информация о связанных с этим пользователем объектах. Это сведения о доступе к интернет-магазину, о бизнес-роли (или ролях) назначенных сотруднику, учетных записях и их полномочиях (ролях) в приложениях. Отображаемый график строится автоматически, и при выборе какого-либо элемента сотрудник может «проваливаться» в этот элемент, чтобы увидеть дополнительную информацию по нему, а также связи с другими объектами (т. е. заложена возможность быстрого перехода между объектами). Для выбранного элемента также строится графический отчет «на 360 градусов».
Рисунок 3. Отчет «на 360 градусов» по сотруднику в One Identity Manager
Подобным же образом в системе отображается информация о текущих полномочиях сотрудника в различных информационных системах — формируется отчет «на 360 градусов», в котором так же можно «проваливаться» в выбранный элемент для получения дополнительной информации о нем (drill-down). Например, если кликнуть на элементе «Учетная запись Active Directory», то мы получим более подробную информацию по нему:
Рисунок 4. Учетная запись Active Directory и связанные с ней объекты
И так по каждому элементу, отображаемому в отчете «на 360 градусов». Это удобно, так как наглядно показывает, как объекты и элементы системы связаны друг с другом.
Руководитель увидит на портале намного больше информации, чем рядовой сотрудник. На стартовой странице для него, например, будут отображаться различные сводные панели (dashboard) по подразделению (отделу, департаменту). Кроме того, ему доступна подробная информация по всем своим подчиненным.
Рисунок 5. Стартовая страница руководителя на портале самообслуживания
Руководитель может просматривать и редактировать данные по всем своим подчиненным. Руководителю будет доступна карточка выбранного подчиненного, информация по имеющимся у подчиненного учетным записям и полномочиям в системах, сделанных им запросах (прошлых и текущих), сведения по уровню риска, который автоматически вычисляется системой и зависит от имеющихся у сотрудника прав доступа и полномочий, сведений об аттестации его прав доступа, о имеющихся у сотрудника нарушениях политики безопасности и др.
Рисунок 6. Редактирование и отображение информации по сотруднику для руководителя
Руководителю также доступна обобщенная информация по его подразделению (отделу, департаменту):
Рисунок 7. Информация по членству пользователей в подразделении
Из портала самообслуживания руководитель также по умолчанию имеет возможность выполнить следующие действия:
Интернет-магазин и согласование заявок
Для запроса прав доступа на портале самообслуживания реализован своеобразный интернет-магазин. Каждый сотрудник, если ему необходимы какие-либо дополнительные права, полномочия или ресурсы, может создать запрос — как для себя, так и для других сотрудников (например, в случае если он является их непосредственным руководителем). Сотрудники просто выбирают необходимые «продукты» (права доступа, полномочия, ресурсы и пр.) из понятного и структурированного каталога услуг и добавляют их в корзину.
Рисунок 8. Выбор необходимых прав доступа на портале самообслуживания
Завершив свои «покупки» (выбор требуемых прав доступа, полномочий, ресурсов), сотрудник может перейти в свою корзину и завершить оформление запроса. Сотрудник может дать дополнительные пояснения по каждому элементу в корзине, указать период времени, на который ему требуются выбранные права, выставить приоритет своей заявки, а также выполнить такие действия, как запрос прав для нескольких сотрудников, сохранить такой запрос на будущее в виде шаблона.
Рисунок 9. Добавление продуктов в корзину на портале самообслуживания
На этапе отправки корзины производится автоматическая проверка соответствия параметров запроса установленным правилам (например, разделения полномочий — Segregation of Duties, SoD). Т. е. еще перед тем, как запрос уйдет на согласование, выясняется, может ли пользователь запросить указанные права и не возникнет ли каких-либо конфликтов и несоответствий установленной политике безопасности. Но даже если такие несоответствия найдены, сотрудник все равно имеет возможность отправить свой запрос. В этом случае, в соответствии с настроенной бизнес-логикой обработка элементов запроса, которые не соответствуют установленной политике, будет включать дополнительных согласующих (обработка исключений).
Рисунок 10. Проверка запроса на соответствие правилам разделения полномочий
Рисунок 11. Отправка запроса
В архиве запросов можно следить за текущим статусом согласования запроса, а также в случае необходимости отозвать его.
Рисунок 12. Текущий статус согласования запроса на портале самообслуживания
На каждом этапе согласования запроса любой согласующий имеет возможность запросить помощь в принятии решения у других сотрудников (т. е. в рамках процесса согласования задать вопрос другому сотруднику, если у согласующего недостаточно информации), посмотреть запрос целиком, изменить приоритет, а также период действия (запрашиваемых прав доступа, полномочий или ресурсов). Таким образом, период предоставления запрашиваемых прав доступа можно изменить на любом этапе согласования.
Рисунок 13. Выбор запроса для согласования на портале самообслуживания
Курирование доступа и нормоконтроль
В системе доступна функциональность, отвечающая за контроль соответствия различным политикам и нормам, установленным в компании (курирование доступа). В рамках предоставленных функций возможно осуществлять надзор за нарушениями различных правил, политик, получать обобщенную информацию по рискам. Вся информация выводится в виде сводных панелей (dashboard), каждая из которых отображает требуемые сведения в графическом виде (диаграммы, графики, тепловые карты).
Рисунок 14. Курирование доступа в компании
Любой из представленных на панели графиков можно выбрать и исследовать более подробно:
Рисунок 15. Нарушения нормативных правил по отделам
Рисунок 16. Нарушения нормативных правил по конкретному отделу
Рисунок 17. Список нерешенных нарушений нормативных правил по сотрудникам конкретного отдела
Оценка рисков
Система предоставляет ценную информацию для оценки рисков в соответствии с выданными сотрудникам правами доступа и случаями нарушения политики безопасности. Карта рисков отображается блоками по различным департаментам. Размер блоков зависит от количества работающих в них сотрудников, а цветовая гамма привязана к общему показателю риска по подразделению. Также доступны различные фильтры по отображению информации.
Рисунок 18. Наивысший персональный индекс риска по отделам на тепловой карте
Рисунок 19. Наивысший персональный индекс риска по отделам — Drill-down
Система позволяет просматривать информацию по каждому объекту (сотруднику, отделу, роли, системному полномочию и т. п.) в виде отчета «на 360 градусов». Также предоставляется детальная информация по индексу риска каждого сотрудника, подразделения, а также информация, почему присвоено (т. е. каким образом вычислено) именно такое значение риска.
Рисунок 20. Оценка риска по конкретному сотруднику
Рисунок 21. Просмотр детальной информации о том, как именно был вычислен индекс риска для конкретного объекта
Рисунок 22. Сводный обзор по объектам с наиболее высоким индексом риска в компании
В системе поддерживается настройка правил, в соответствии с которыми определяются конкретные значения рисков (индексы). Возможна настройка правил (коэффициентов), повышающих и понижающих значение индекса риска по различным критериям. Для настройки доступны такие критерии, как условие (например, учетная запись с избыточными правами доступа), тип расчета (инкремент, декремент и т. д.) и вес риска.
Рисунок 23. Тонкая настройка повышающих и понижающих коэффициентов индекса риска
Аудит
Решение One Identity Manager позволяет проводить полноценный аудит изменения объектов. Этот раздел на портале самообслуживания доступен сотрудникам, которым назначен ряд внутренних ролей One Identity Manager, разрешающих проведение аудита, проверку соответствия установленной политике безопасности компании и ее нарушениях (нормоконтроль). На практике такие роли присваиваются сотрудникам отдела информационной безопасности компании.
Рисунок 24. Выбор категории объектов для проведения аудита
Рисунок 25. Детальная информация по событиям (изменениям) конкретного объекта в хронологическом виде
Аттестация
Решение One Identity Manager позволяет проводить плановый, регулярный пересмотр имеющихся у сотрудников прав доступа, ресурсов и полномочий, а также проводить плановую аттестацию подразделений (отделов, участков, департаментов) и сертификацию сотрудников. В продукте имеется большое число предустановленных процедур аттестации и связанных с ними процессов согласования.
Рисунок 26. Сведения по состоянию аттестации членства в системных ролях
Смысл процесса аттестации в том, чтобы переложить обязанность по контролю доступа к системам с технического персонала (администраторов систем) на плечи так называемых владельцев. Т. е. за каждым объектом (информационной системой, системным полномочием в системе, бизнес-ролью, учетной записью и др.) закрепляется сотрудник, который будет отвечать за него. Они же будут ответственны за проверку правильности информации по всем объектам, за которые отвечают в рамках процесса аттестации, а также подтверждение и корректировку этой информации.
Процесс аттестации обычно настраивается и запускается сотрудниками отдела информационной безопасности. Для этого им также должна быть назначена определенная внутренняя роль в One Identity Manager, чтобы они могли видеть и использовать функционал аттестаций на портале самообслуживания (раздел Политики аттестации). Эти сотрудники будут иметь полный контроль над процессом аттестации прав доступа к информационным ресурсам компании, наблюдать за ее ходом.
Рисунок 27. Настройка политик и наблюдение за ходом аттестации
Отчетность
В рамках работы с отчетностью на портале самообслуживания имеется отдельный раздел, где отображаются доступные для данного сотрудника отчеты. Сотрудник может подписаться на получение выбранного отчета по электронной почте (предусмотрены различные форматы отчетов — Excel, PDF и другие) или просмотреть отчет в режиме онлайн. Для первоначальной настройки отчетов и условий подписки в системе имеется собственный графический инструмент — Report Editor.
Рисунок 28. Работа с отчетами на портале самообслуживания
Выводы
В первой части обзора мы познакомились с системой управления идентификационными данными и доступом One Identity Manager, а также подробно рассмотрели портал самообслуживания для пользователей системы.
Система One Identity Manager является зрелым продуктом, уже прошедшим долгий путь развития. Но стоит отметить, что решение находится в активной фазе разработки и по сей день. Это можно увидеть и по числу качественных изменений от релиза к релизу. Рассмотренный нами портал самообслуживания One Identity Manager — современен и удобен в использовании. Это единая точка входа для всех сотрудников компании, где каждому доступны свои функциональные возможности в зависимости от назначенных полномочий.
Благодарим Романа Каляпичева (One Identity) за активное участие в создании статьи.