oracle identity manager что это
Oracle Identity Manager
Oracle Identity Manager (OIM) является полностью интегрированной платформой для управления идентификацией и доступом (IAM) от одного из лидеров ИТ-индустрии. OIM обеспечивает уникальную масштабируемость, защищает критические приложения и данные, независимо от их размещения, позволяет организациям быстро добиться соответствия нормативным требованиям и снизить операционные расходы.
OIM спроектирован для управления доступом пользователей ко всем корпоративным ресурсам на протяжении всего жизненного цикла управления идентификационными данными пользователей, начиная с процесса приема на работу до завершающей процедуры блокирования (или отзыва) учетной записи.
OIM может использоваться как в среде, ориентированной на корпоративных пользователей (интранет), так и в среде, ориентированной на заказчиков и партнеров (экстранет). Превосходная масштабируемость OIM в среде экстранет позволяет предприятию поддерживать миллионы заказчиков и партнеров, получающих доступ к ресурсам корпорации посредством традиционных web-клиентов или смартфонов. В этом случае OIM предоставляет как интерфейс для централизованной обработки кадровых событий (приема на работу, уход в отпуск, увольнение и проч.), так и интерфейс для самостоятельной регистрации пользователей различных приложений корпорации, например, для Oracle PeopleSoft Enterprise Customer Relationship Management, Oracle E-Business iSupplier или Oracle E-Business iRecruitment. Тем самым повышается степень защиты персональных данных за счет централизованного управления учетными данными внешних пользователей и партнеров.
Архитектура Oracle Identity Manager
Архитектура OIM позволяет отделить уровень бизнес-логики от уровня исполнения, упростив таким образом изменение системы в соответствии с изменяющимися требованиями предприятия-пользователя.
Все компоненты OIM разработаны на основе Java EE (Java Platform Enterprise Edition), что дает возможность использовать OIM на различных платформах и наиболее эффективно использовать имеющиеся ресурсы предприятия-пользователя.
В зависимости от потребностей и масштабов предприятия компоненты OIM могут быть развернуты на одном сервере или нескольких серверах для обеспечения наилучшей производительности и отказоустойчивости.
Функциональные уровни Oracle Identity Manager
Сервисы и модули, необходимые функционирования системы, условно разделены на функциональные уровни:
Хранилище метаданных
Все конфигурации различных компонентов OIM централизованно хранятся в XML-хранилище (Metadata Store – MDS), которое является общим для различных сервисов, предоставляемых Oracle Fusion Middleware (Oracle SOA, WebCenter и т.д.). Эта новая модель метаданных позволяет запускать одновременно несколько задач, выполняющих различные действия в одной целевой системе.
Сервис автоматизированного провижининга
Провижининг (provisioning) – это процесс создания и изменения учетных записей пользователей в целевых системах и предоставление пользователям прав доступа к ресурсам этих систем. Автоматизация этого процесса позволяет ускорить и упростить управление правами доступа пользователей.
Модуль администрирования пользователей
Модуль администрирования включает сервисы:
Управление политиками
OIM позволяет автоматически на основе политик предоставлять пользователям доступ к ресурсам. Для любого множества пользователей администраторы могут определить уровни доступа к каждому используемому ресурсу, предоставляя каждому пользователю точный набор полномочий, необходимых для выполнения поставленных задач. Политики могут автоматически срабатывать в отношении определенных ролей или атрибутов пользователей, создавая условия для реализации контроля доступа на основе ролей (RBAC) и на основе атрибутов (ABAC).
Управление полномочиями на основе политик позволяет обрабатывать множество запросов и выполнять множество согласований параллельно во времени, снижая нагрузку на администраторов и руководителей предприятия, связанную с управлением идентификацией и доступом.
Управление рабочими процессами
OIM позволяет разделять рабочие процессы утверждения запросов и провижининга. Рабочий процесс утверждения запросов описывает последовательность действий, связанных с согласованием и утверждением запросов. Рабочий процесс провижининга позволяет структурировать, формализовать и автоматизировать выполнение процедур создания и изменения учетных записей пользователей.
OIM предоставляет пользователям, администраторам и аудиторам графический интерфейс, который позволяет отображать последовательности задач и зависимостей для лучшего понимания структуры процесса, редактировать процесс и управлять им.
Для проектирования рабочих процессов в OIM используются механизмы Oracle SOA’s BPEL и Oracle JDeveloper.
Управление паролями
Сервисы управления паролями включают:
Аудит и управление соответствием
Сервисы аудита и управления соответствием включают:
Реконсиляция
Процесс реконсиляции включает генерацию событий, которые должны быть обработаны OIM. Эти события отражают незначительные изменения в целевых системах и наряду с другой информацией содержат измененные данные и тип изменений.
API управления событиями OIM, API-реконсиляции и интерфейс управления событиями реконсиляции OIM защищены с помощью авторизационных политик, контролируемых Oracle Entitlements Server.
Разделение обязанностей
Концепция разделения обязанностей (Segregation of Duties, SoD) реализуется посредством применения методов сдерживания и противовесов в рамках бизнес-процессов, когда для выполнения критичных операций требуется участие более чем одного работника.
OIM позволяет использовать разделение обязанностей при провижининге и снизить таким образом риски, связанные с преднамеренным или случайным ненадлежащим использованием ресурсов предприятия. При реализации SoD в OIM, запросы, инициированные пользователями, проверяются и утверждаются механизмом SoD и другими пользователями. Можно ввести разнообразные уровни системной и человеческой проверки, чтобы гарантировать, что даже изменения в оригинальном запросе были тщательно проверены. Такой превентивный подход позволяет выявить и исправить потенциально конфликтующие назначения полномочий пользователям, прежде чем запрашиваемые полномочия будут предоставлены.
Сервисы интеграции и генератор адаптеров (Adapter Factory)
OIM может быть интегрирован с любым приложением или ресурсом с помощью гибкой настраиваемой технологии безагентных интерфейсов.
Oracle сформировал библиотеку предварительно настроенных коннекторов для популярных приложений и пользовательских хранилищ. Каждый такой коннектор поддерживает широкий спектр функций для управления идентификационными данными и использует наиболее подходящий метод интеграции, рекомендованный для целевого ресурса, будь то закрытое приложение или система на основе открытых стандартов.
Интеграция с приложениями, для которых не существует готовых коннекторов, может стать нетривиальной задачей. Генератор адаптеров, входящий в состав OIM, упрощает настройку и поддержку интеграции с такими приложениями. Генератор адаптеров предоставляет простые инструменты для генерации кода Java-классов, используемых как для доступа к целевым системам, так и для реализации дополнительной функциональности внутри OIM.
Identity and Access Management (IAM)
Решения Oracle Identity and Access Management обеспечивают безопасный доступ к корпоративным приложениям как для облачных, так и для локальных развертываний.
Узнайте, почему KuppingerCole признает Oracle лидером в сфере управления доступом и аналитики.
Читайте, как Oracle удовлетворяет меняющиеся потребности предприятий в сфере управления идентификационными данными.
Безопасное управление доступом к корпоративным нагрузкам.
Гибкая защита нагрузок
Решения Oracle Identity and Access Management предлагают варианты развертывания для защиты облачных и локальных нагрузок. Заказчики могут выбирать решение по управлению идентификационными данными, соответствующее их потребностям, с использованием облачной модели identity as a service (IDaaS), развертыванием ПО в корпоративном ЦОД или интегрированный идентификационный сервис для управления доступом к облачной инфраструктуре.
Интегрированное, высокомасштабируемое управление идентификационными данными
Решения по управлению идентификационными данными Oracle масштабируются на миллионы пользователей и интегрируются с инфраструктурой Oracle Cloud и приложениями, чтобы помочь компаниям обеспечить соответствие нормативным правилам и снизить операционные расходы.
Мощные и гибкие возможности для управления идентификационными данными
Решение Oracle Enterprise Identity Management отличается широкими возможностями настройки и может быть развернуто как для программной работы локально, так и в качестве экземпляра Oracle Cloud Infrastructure. Оно обеспечивает безопасный доступ для сотрудников, поставщиков, партнеров и заказчиков, помогая компаниям развертывать нагрузки на инфраструктуре выбранного ими провайдера и предоставляя при этом все режимы доступа.
Встроенные возможности управления доступом и идентификационными данными
Сервис Oracle Cloud Infrastructure имеет встроенные возможности управления доступом и идентификационными данными, которые дают компаниям средства контролировать доступ к облачным ресурсам с помощью простых для определения политик и правил.
Оставьте Ваши отзывы.
Оставьте Ваш отзыв! Поддержите ИТ-руководителей, поделившись отзывами о решениях Oracle Identity and Access Management. Ваш отзыв важен для будущего Oracle IAM. Просим Вас уделить 15 минут Вашего времени, чтобы пройти опрос Gartner Peer Insights и оставить анонимный отзыв.
Oracle — сильный партнер, оказывающий поддержку своим заказчикам. Решение Oracle IDCS предлагает надежную, масштабируемую и высокопроизводительную платформу IAM.
Руководитель программы, розничная торговля
Обзоры сравнительного анализа Gartner представляют собой субъективные мнения отдельных конечных пользователей, основанные на их собственном опыте, и не отражают взглядов компании Gartner и ее филиалов.
Продукты Identity and Access Management (IAM)
Удобные в использовании готовые средства для безопасного управления идентификационными данными
Oracle Identity Cloud Service предлагает функции облачного управления безопасностью и идентификационными данными нового поколения и является неотъемлемой частью корпоративной системы безопасности компании. Сервис также обеспечивает возможности управления доступом и безопасностью приложений.
Преимущество
Управление доступом к облачной инфраструктуре
Сервис Oracle Cloud Infrastructure Identity and Access Management является интегрированным решением по управлению учетными данными, которое дает компаниям возможность контролировать, кто имеет доступ к облачным ресурсам, какой это тип доступа и к каким конкретно ресурсам. Компании могут управлять большими организационными структурами и использовать большое количество правил на основе логических групп пользователей и ресурсов, а также легко определяемых политик.
Преимущества
Функции комплексного управления доступом для приложений, данных и веб-сайтов
Oracle Access Management полностью интегрирует Ваши идентификационные данные и системы, обеспечивая безопасный доступ из любого места, в любое время и любым способом. Это достигается за счет выполнения комплексной аутентификации пользователей с учетом рисков, а также реализации механизма однократной регистрации (SSO).
Oracle Identity Management
Oracle Identity Manager, как часть Oracle Fusion Middleware, обеспечивает унифицированную и интегрированную платформу безопасности, разработанную для управления идентификационными данными пользователей и обеспечения их средствами безопасного доступа к корпоративным ресурсам, предоставления надежного делового сотрудничества в интерактивном режиме, поддержки и оптимизации ИТ и обеспечения соответствия требованиям законодательства и внутренних политик организации. Решение предоставляет средства защиты информационных систем высоко уровня, позволяет избежать фрагментарности хранилищ учетных данных, средств управления и контроля.
Что такое Identity Management?
Где хранятся персональные данные?
В первую очередь, в кадровой системе. Кроме того, в каталоге Active Directory, в карточках пользователей прикладных систем, в данных почтовых программ, в системах управления клиентами, в биллинговых системах, в системах сервис-деск и так далее. Зачастую, эта информация не согласована. Один и тот же человек может быть прописан во множестве систем одновременно, к тому же, не везде он может быть прописан одинаково и корректно.
Для чего нужен Oracle Identity Management?
Oracle Identity Management позволяет привести в единый общий каталог актуальные и корректные персональные данные пользователей, интегрировать каталог с инфраструктурой компании. Таким образом, компоненты решения позволяют компаниям управлять полным жизненным циклом персональных данных пользователя на ресурсах компании, как внутри периметра защиты, так вне его, независимо от того, какие приложения используются в организации.
Одна из основных задач OIM – создание и управление единым и актуальным каталогом персональной информации. По сути, это решение является конструктором-платформой с возможностью кастомизации под реальные бизнес-процессы. Функционал Oracle Identity Manager позволяет, в том числе, управлять «гранулированными правами», настраивать типовой доступ и т.д. Такой конструктор состоит из набора компонентов, которые могут работать как независимо друг от друга так и как интегрированный набор сервисов.
Кроме того, продукт предлагает адаптивную систему согласования заявок: они проходят согласование либо целиком, либо по каждой роли отдельно. В первом случае, если пользователю запросили десять ролей, каждому владельцу роли придёт на согласование вся заявка целиком. Во втором- заявка «распадётся» на отдельные роли, и владельцы, которые отвечают за запрошенные роли, получат заявки отдельно по каждой роли.
Продукт имеет очень высокую степень гибкости, особенно в части изменения пользовательского интерфейса, самостоятельной разработки коннекторов к нестандартным системам (например, можно настроить согласование заявки из письма), но при этом требует высокого уровня квалификации персонала. И, хотя, интерфейс продукта достаточно понятный, часто компании хотят дорабатывать его под себя. Здесь оказываются полезными широкие возможности настройки. Кроме того, решение включает коннекторы к распространенным приложениям, и обеспечивает работу решения в разнородных средах.
Функционал решения
Управление правами
Управление заявками
Отчетность
Инструменты конфигурирования
Контроль изменений в системе, выполненных в обход IdM
Контроль рисков прав доступа пользователей
Разграничение областей видимости прав/ролей (кто и что может запрашивать)
Разграничение видимости форм интерфейса и их полей
Ручной ввод данных о сотрудниках в IdM
Управление сервисными учетными записями
Ролевое управление доступом
Поддержка иерархии ролей
Разграничение доступа к функциям IdM (настройка функциональных ролей)
Аттестация (пересмотр прав доступа)
Динамическое вычисление значений полей в формах интерфейса
Сброс пароля по контрольным вопросам
Массовое согласование заявок
Делегирование полномочий по согласованию заявок на период отпуска
Уведомления по электронной почте
Назначение заявок на исполнение вручную
Запрос нескольким сотрудникам нескольких ролей в одной заявке
Создание заявок на предоставление дополнительных прав
Запрос прав по преднастроенному шаблону заявки
Отчетность о состоянии прав на конкретную дату
Гистограммы и графики в отчета
Добавление собственных сущностей и форм
Изменение формы карточки сотрудника
Изменение формы заявки
Индивидуальная компоновка интерфейса
Oracle Identity Management ориентирован на обслуживание потребностей приложений. Его использование позволяет заказчикам отделить бизнес-логику от безопасности и управления ресурсами, и, таки образом, повысить скорость разработки и уменьшить стоимость сопровождения. Производитель может предложить полный стек программно-аппаратных решений, что снижает ТСО и упрощает поддержку.
Где работает OIM?
Крупный банк в Украине успешно провел внедрение Oracle IDM для централизации управления учетными данными. При помощи web-коннекторов OIM был интегрирован с HR системой в головном офисе. Таким образом, система работает с актуальной информацией, на основании которой распределяются права доступа к информационным системам банка. Кроме того была реализована возможность пользователей самостоятельно управлять паролями и синхронизацией с AD.
Лицензирование
Продукт лицензируется по количеству целевых систем, с которыми необходимо взаимодействовать. Независимо от того, будет заказчик использовать готовый коннектор, или планирует разрабатывать его под себя, на коннектор также требуется лицензия. В зависимости от количества пользователей можно выбирать один из двух продуктов для оптимального лицензирования.
Права продаж
Продавать Oracle Identity Manager могут все партнеры со статусом Gold и Platinum. Для распространения продукта реселлеру следует подтвердить права продаж (платные экзамены не требуются). Подтверждение прав продаж продуктов предоставляет партнеру возможность регистрировать проекты.
Следует также упомянуть, что IDМ нельзя назвать «отраслевым» решением. Необходимость регулирования права доступа актуальна для любой организации. В завершение хотим отметить, что опыт использования решения в мире и в Украине большой. Текущие задачи, которые желают решить заказчики при помощи Oracle Identity Management, свидетельствует о востребованности решения на рынке Украины.
Сравнение систем управления доступом (IdM/IAM)
Данная статья — детальное сравнение систем управления доступом (IdM/IAM). В ней мы проанализировали и сопоставили лидирующие на отечественном рынке продукты как российских, так и зарубежных компаний. Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке IdM-системы и на что стоит ориентироваться при их выборе.
Введение
Аббревиатура IdM (Identity Management) переводится как как «система управления учетными или идентификационными данными». Однако под этим термином чаще подразумеваются гораздо более мощные системы, которые способны сами управлять доступом, т. е. системы IAM (Identity and Access Management). Но аббревиатура IdM является более популярной на сегодняшний день, поэтому далее по тексту мы будем использовать именно ее.
Таким образом, главной задачей IdM-систем является централизованное управление идентификационными данными, учетными записями и правами на доступ к информационным ресурсам. В основном решения данного класса предназначены для крупных компаний и направлены на автоматизацию взаимодействия различных подразделений компании (кадровые службы, ИТ-подразделения, ИБ-подразделения и др.).
Сложность IdM-систем, а также закрытость документации значительно усложняют процесс их осознанного выбора для заказчика. Зачастую в открытом доступе можно найти лишь маркетинговую информацию, которая на практике имеет мало общего с реальностью. Мы убедились в этом на собственном опыте.
При выборе решения неизбежно возникают вопросы. Чем принципиально отличаются между собой решения? На что ориентироваться при выборе IdM-системы? Как выбрать наиболее подходящее решение для вашей компании? К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого.
Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы IdM-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой.
Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.
Тем не менее мы не будем останавливаться на достигнутом результате. В дальнейшем мы планируем проводить более глубокие сравнения IdM-систем по их реальной технологической эффективности.
Методология сравнения IdM-систем
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: глубины исследования, степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.
Следуя такому принципу, мы отобрали более 100 критериев, сравнение по которым упростит выбор IdM-системы. К некоторым из критериев были добавлены пояснения. Для удобства все сравнительные критерии были разделены на следующие категории:
Для участия в сравнении было отобрано пять наиболее известных и популярных в России IdM-систем:
Российские:
Зарубежные:
Все производители перечисленных выше IdM-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации.
В приведенном сравнении IdM-систем мы не делали их итогового ранжирования. Мы надеемся, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из IdM-систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение IdM-систем
Общие сведения
Архитектура решения
Системные требования (минимальные значения)
Коннекторы
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Коннекторы к доверенным источникам | 1С, Oracle HR,SAP, Босс Кадровик, ДИАСОФТ, СЕ.Кадры, Галактика,Госналог, LDAP, HRB, XML, Excel | 1С, SAP HR, SQL, TXT, XML, Excel, поддержка настраиваемых скриптов для выгрузки кадровых данных | 1C, Босс-Кадровик, SAP HCM (в качестве доверенного источника может использоваться в том числе любая управляемая система) | Большинство из 35 универсальных коннекторов могут быть использованы и как доверенный источник и как целевая система (reconcilation & provisioning) |
Разработка коннекторов
Функциональные роли IDM
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Администратор ситемы | Да | Да | Да | Да | Да |
Администратор безопасности | Да | Да | Да | Да (аудитор) | Да (аудитор) |
Администратор учетных записей | Да | Да | Нет | Да | Да (сотрудник справочной службы, менеджер, владелец службы) |
Администратор ресурса | Да | Да | Нет | Да | Нет |
Администратор ролей (включает в себя все роли) | Да | Да | Нет | Да | Нет |
Сотрудник службы поддержки | Нет | Нет | Да | Да | Да |
Владелец ресурса | Да | Да | Да | Да | Да |
Владелец роли | Нет | Да | Да | Да | Да (для статических и динамических ролей) |
Линейный руководитель | Нет | Да | Да | Да | Да (менеджер) |
Сотрудник | Да | Да | Да | Да | Да |
Возможность настройки функциональных ролей | Нет | Да | Да | Да | Да (внутренняя ролевая модель, возможность управлять своими собственными ролями посредством продукта) |
Другие роли | Администратор кадровой системы, самостоятельно формируемые роли | Нет | Владелец системы, куратор | ALL USERS, OPERATORS, SELF OPERATORS, BIReportAdministrator | Привилегированный администратор |
Общие функциональные возможности
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Автоматический запуск рабочих процессов по событиям доверенного источника (учет кадровых событий) | Да | Да | Да (в реальном времени) | Да | Да |
Создание собственных правил, позволяющие производить дополнительные вычисления и выполнять обращения к внешним источникам данных | Да | Да (посредством подсистемы синхронизации) | Да (правила пишутся на скриптовых языках JavaScript и Groovy, и позволяют вносить изменения без необходимости перезапуска системы) | Да | Да |
Настройка организационной структуры предприятия (автоматическая, ручная) | Да (автоматическая, ручная) | Да (автоматическая, ручная) | Да (автоматическая, ручная) | Да | Да |
Настройка рабочих процессов (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/ресурсов/оргструктуры) | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры) | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры) | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры и других) | Да | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры) |
Настройка отображаемых форм (карточки заявки/сотрудника/роли/ресурса/подразделения) | Нет | Да (карточка заявки) | Да (карточка заявки/сотрудника/роли/ресурса/подразделения) | Да (карточка заявки/сотрудника/подразделения) | Да (сотрудника/подразделения) |
Возможность расширения атрибутов объектов ИС (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений) | Нет | Да (атрибуты карточки сотрудника, атрибуты подразделений) | Да (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений) | Да (атрибуты карточки сотрудника, атрибуты подразделений) | Да (атрибуты карточки сотрудника, атрибуты подразделений) |
Поддержка Kerberos-аутентификации (в различные консоли продукта) | Да | Да | Да | Да | Да (поддержка всех механизмов аутентификации, предусмотренных WebSphere Application Server включая SPNEGO) |
Обеспечение синхронизации данных между несколькими источниками | Да | Да | Да (возможно в режиме реального времени) | Да | Да |
Управление учетными записями
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Создание учетных записей | Да | Да | Да | Да | Да |
Внесение изменений в учетные записи | Да | Да | Да | Да | Да |
Настройка правил заполнения атрибутов учетных записей | Да | Да | Да (с помощью предустановаленных правил или JavaScript/Groovy) | Да | Да |
Блокировка/удаление учетных записей | Да | Да | Да | Да | Да |
Возможность автоматизации управления учетными записями | Да | Да | Да | Да | Да |
Возможность ручного управления учетными записями | Да | Да | Да | Да | Да |
Настройка сценариев действий с учетными записями при определенных условиях (увольнение, отпуск и т.д.) | Да | Да | Да | Да | Да |
Централизованное хранение учетных записей | Да | Да | Да | Да | Да |
Возможность устанавливать взаимозависистости между учётными записями в различных целевых системах | Да | Нет | Да (также есть список защищённых учетных записей) | Да | Да |
Возможность автоматического связывания учётных записей с сотрудниками по правилам | Да | Да | Да | Да | Да |
Возможность настройки правил генерации паролей для каждой целевой системы | Да | Нет | Да | Да | Да |
Управление правами доступа
Управление заявками
Отчетность
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Построение отчетов | Да | Да | Да | Да | Да | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Типы отчетов | Отчёты о текущих состояниях объектов (заявок, карточек сотрудников, ролей, ресурсов и т.п.) Отчёты об изменениях объектов Отчёты о состоянии объектов на дату в прошлом | Отчеты по политикам доступа Отчеты по аттестации, заявкам и согласованиям Отчеты по ролям и организационной структуре Отчеты по ресурсам и правам доступа Отчеты по пользователям |
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Автоматизированный аудит прав доступа | Да (через регулярные промежутки времени) | Да (непрерывный контроль прав пользователей в режиме реального времени) | Да(в режиме реального времени) | Да | Да |
Аудит прав доступа и различных событий по предоставлению прав доступа, выполняемый администратором | Да | Да (посредством использоания подсистемы отчетов) | Да (интерактивно и в отчётах) | Да | Да |
Автоматическое обнаружение несогласованных полномочий | Да | Да | Да | Да | Да |
Уведомление ответсвенных лиц о несоответствии | Да | Да | Да | Да | Да |
Автоматическое исправление несоответствия | Да | Да (после согласования офицером ИБ) | Да (по согласованию и автоматически) | Да | Да |
Возможность пересмотра учётных записей пользователей по событию | Да | Да | Да | Да | Да |
Возможность пересмотра учётных записей пользователей по расписанию | Да | Нет | Да | Да | Да |
Проверка наличия «мертвых» учетных записей и возможность их блокировки в автоматическом и ручном режиме | Да (блокировка в ручном режиме) | Да (блокировка в ручном режиме) | Да (блокировка вручную и автоматически по правилам) | Да | Да |
Производительность и отказоустойчивость
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Масштабируемость системы (по производительности и объему обрабатываемой информации) | Возможна кластеризация | Fail-over и load balancing кластеризация | Возможность кластеризации основных компонентов (приложение и база данных), а также размещения служб управления коннекторами на отдельных хостах | Кластеризация, внутреннее распаралеливание нагрузки, вертикальное и горизонтальное масштабирование | Возможна кластеризация всех компонентов решения (сервера приложений, СУБД, LDAP каталоги) |
Возможности резервирования | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных и LDAP калатолгов. |
Дополнительные возможности
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Наличие собственных дополнительных модулей безопасности | PKI, SSO | Модуль управления и контроля программно-аппаратных конфигураций | DLP, контроль безопасности кода, аналитика ИБ | Можно использовать средства защиты ОС (например, сертифицированного по СВТ НСД3+НДВ2 Oracle Enterprise Linux), СУБД (например, прозрачное шифрование Oracle Advanced Security или контроль Databas Vault), сервера Weblogic (SSL 3.0 или TLS в Platform Security Services) и других решений Oracle Identity & Access Management | Нет |
Интеграция со стронними системами безопасности | SSO, SIEM, PKI, ITSM, СКУД | SSO, SIEM, PKI, ITSM, СКУД | SSO, SIEM, PKI, ITSM, СКУД, DLP, Anti-Fraud | SSO через OAM, авторизация через OES, мобильная безопасность через OMSS, доставка учетных данных на рабочие станции через ESSO и т.д. | IBM Security Identity Governance, IBM QRadar SIEM, IBM Security Access Manager for Web, IBM Security Access Manager for Enterprise SSO, IBM Security Priviledged Identity Manager, IBM Security Federated Identity Manager, IBM RACF2, RSA Authentication Manager |
Поддержка интеграции с приложениями сторонних производителей (в том числе SAP, PeopleSoft и Siebel), а также поддержка нескольких каталогов и баз данных пользователей (Oracle WebLogic Server и Microsoft SharePoint) | Да | Да (встраивание в корпоративные порталы, интеграция с внешними системами документооборота) | Да | Да | Да (включая SAP, PeopleSoft, Siebel, Microsoft SharePoint) |
Поддержка облачных приложений, таких как IBM LotusLive ™, Salesforce.com и приложений Google за счет использования открытых стандартов, как SAML, Liberty, WS-Federation, WS-Security, WS-Trust, OpenID и Oauth | Да | Да(поддержка облачных сервисов аутентификации SAML, WS-Security и т.д.) | Да (Office365, GoogleAps) | Да | Да (включая LotusLive, SalesForce.com, Google apps) |
Обеспечение интеграции и аутентификации с открытыми интерфейсами прикладного программирования (API) | Да | Да | Да | Да | Да |
Лицензирование
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
Алексей Воронцов, IT Security Architect, IBM
Андрей Конусов, Генеральный директор, Аванпост
Валентин Крохин, Директор по маркетингу, Solar Security
Дмитрий Бондарь, Руководитель направления inRights, Solar Security
Олег Губка, Директор по развитию, Аванпост
Роман Павлов, Менеджер продукта, ТрастВерс
Читайте также: Сравнение систем управления доступом (IdM/IAM) 2016. Для продуктов: 1IDM, SailPoint Identity IQ, Dell One Identity.
- Фитофтороз на помидорах в теплице что делать в домашних условиях
- Трещины на крайней плоти что делать