oracle identity manager что это

Oracle Identity Manager

Oracle Identity Manager (OIM) является полностью интегрированной платформой для управления идентификацией и доступом (IAM) от одного из лидеров ИТ-индустрии. OIM обеспечивает уникальную масштабируемость, защищает критические приложения и данные, независимо от их размещения, позволяет организациям быстро добиться соответствия нормативным требованиям и снизить операционные расходы.

OIM спроектирован для управления доступом пользователей ко всем корпоративным ресурсам на протяжении всего жизненного цикла управления идентификационными данными пользователей, начиная с процесса приема на работу до завершающей процедуры блокирования (или отзыва) учетной записи.

OIM может использоваться как в среде, ориентированной на корпоративных пользователей (интранет), так и в среде, ориентированной на заказчиков и партнеров (экстранет). Превосходная масштабируемость OIM в среде экстранет позволяет предприятию поддерживать миллионы заказчиков и партнеров, получающих доступ к ресурсам корпорации посредством традиционных web-клиентов или смартфонов. В этом случае OIM предоставляет как интерфейс для централизованной обработки кадровых событий (приема на работу, уход в отпуск, увольнение и проч.), так и интерфейс для самостоятельной регистрации пользователей различных приложений корпорации, например, для Oracle PeopleSoft Enterprise Customer Relationship Management, Oracle E-Business iSupplier или Oracle E-Business iRecruitment. Тем самым повышается степень защиты персональных данных за счет централизованного управления учетными данными внешних пользователей и партнеров.

Архитектура Oracle Identity Manager

Архитектура OIM позволяет отделить уровень бизнес-логики от уровня исполнения, упростив таким образом изменение системы в соответствии с изменяющимися требованиями предприятия-пользователя.

Все компоненты OIM разработаны на основе Java EE (Java Platform Enterprise Edition), что дает возможность использовать OIM на различных платформах и наиболее эффективно использовать имеющиеся ресурсы предприятия-пользователя.

В зависимости от потребностей и масштабов предприятия компоненты OIM могут быть развернуты на одном сервере или нескольких серверах для обеспечения наилучшей производительности и отказоустойчивости.

Функциональные уровни Oracle Identity Manager

Сервисы и модули, необходимые функционирования системы, условно разделены на функциональные уровни:

Хранилище метаданных

Все конфигурации различных компонентов OIM централизованно хранятся в XML-хранилище (Metadata Store – MDS), которое является общим для различных сервисов, предоставляемых Oracle Fusion Middleware (Oracle SOA, WebCenter и т.д.). Эта новая модель метаданных позволяет запускать одновременно несколько задач, выполняющих различные действия в одной целевой системе.

Сервис автоматизированного провижининга

Провижининг (provisioning) – это процесс создания и изменения учетных записей пользователей в целевых системах и предоставление пользователям прав доступа к ресурсам этих систем. Автоматизация этого процесса позволяет ускорить и упростить управление правами доступа пользователей.

Модуль администрирования пользователей

Модуль администрирования включает сервисы:

Управление политиками

OIM позволяет автоматически на основе политик предоставлять пользователям доступ к ресурсам. Для любого множества пользователей администраторы могут определить уровни доступа к каждому используемому ресурсу, предоставляя каждому пользователю точный набор полномочий, необходимых для выполнения поставленных задач. Политики могут автоматически срабатывать в отношении определенных ролей или атрибутов пользователей, создавая условия для реализации контроля доступа на основе ролей (RBAC) и на основе атрибутов (ABAC).

Управление полномочиями на основе политик позволяет обрабатывать множество запросов и выполнять множество согласований параллельно во времени, снижая нагрузку на администраторов и руководителей предприятия, связанную с управлением идентификацией и доступом.

Управление рабочими процессами

OIM позволяет разделять рабочие процессы утверждения запросов и провижининга. Рабочий процесс утверждения запросов описывает последовательность действий, связанных с согласованием и утверждением запросов. Рабочий процесс провижининга позволяет структурировать, формализовать и автоматизировать выполнение процедур создания и изменения учетных записей пользователей.

OIM предоставляет пользователям, администраторам и аудиторам графический интерфейс, который позволяет отображать последовательности задач и зависимостей для лучшего понимания структуры процесса, редактировать процесс и управлять им.

Для проектирования рабочих процессов в OIM используются механизмы Oracle SOA’s BPEL и Oracle JDeveloper.

Управление паролями

Сервисы управления паролями включают:

Аудит и управление соответствием

Сервисы аудита и управления соответствием включают:

Реконсиляция

Процесс реконсиляции включает генерацию событий, которые должны быть обработаны OIM. Эти события отражают незначительные изменения в целевых системах и наряду с другой информацией содержат измененные данные и тип изменений.

API управления событиями OIM, API-реконсиляции и интерфейс управления событиями реконсиляции OIM защищены с помощью авторизационных политик, контролируемых Oracle Entitlements Server.

Разделение обязанностей

Концепция разделения обязанностей (Segregation of Duties, SoD) реализуется посредством применения методов сдерживания и противовесов в рамках бизнес-процессов, когда для выполнения критичных операций требуется участие более чем одного работника.

OIM позволяет использовать разделение обязанностей при провижининге и снизить таким образом риски, связанные с преднамеренным или случайным ненадлежащим использованием ресурсов предприятия. При реализации SoD в OIM, запросы, инициированные пользователями, проверяются и утверждаются механизмом SoD и другими пользователями. Можно ввести разнообразные уровни системной и человеческой проверки, чтобы гарантировать, что даже изменения в оригинальном запросе были тщательно проверены. Такой превентивный подход позволяет выявить и исправить потенциально конфликтующие назначения полномочий пользователям, прежде чем запрашиваемые полномочия будут предоставлены.

Сервисы интеграции и генератор адаптеров (Adapter Factory)

OIM может быть интегрирован с любым приложением или ресурсом с помощью гибкой настраиваемой технологии безагентных интерфейсов.

Oracle сформировал библиотеку предварительно настроенных коннекторов для популярных приложений и пользовательских хранилищ. Каждый такой коннектор поддерживает широкий спектр функций для управления идентификационными данными и использует наиболее подходящий метод интеграции, рекомендованный для целевого ресурса, будь то закрытое приложение или система на основе открытых стандартов.

Интеграция с приложениями, для которых не существует готовых коннекторов, может стать нетривиальной задачей. Генератор адаптеров, входящий в состав OIM, упрощает настройку и поддержку интеграции с такими приложениями. Генератор адаптеров предоставляет простые инструменты для генерации кода Java-классов, используемых как для доступа к целевым системам, так и для реализации дополнительной функциональности внутри OIM.

Источник

Identity and Access Management (IAM)

Решения Oracle Identity and Access Management обеспечивают безопасный доступ к корпоративным приложениям как для облачных, так и для локальных развертываний.

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

Узнайте, почему KuppingerCole признает Oracle лидером в сфере управления доступом и аналитики.

Читайте, как Oracle удовлетворяет меняющиеся потребности предприятий в сфере управления идентификационными данными.

Безопасное управление доступом к корпоративным нагрузкам.

Гибкая защита нагрузок

Решения Oracle Identity and Access Management предлагают варианты развертывания для защиты облачных и локальных нагрузок. Заказчики могут выбирать решение по управлению идентификационными данными, соответствующее их потребностям, с использованием облачной модели identity as a service (IDaaS), развертыванием ПО в корпоративном ЦОД или интегрированный идентификационный сервис для управления доступом к облачной инфраструктуре.

Интегрированное, высокомасштабируемое управление идентификационными данными

Решения по управлению идентификационными данными Oracle масштабируются на миллионы пользователей и интегрируются с инфраструктурой Oracle Cloud и приложениями, чтобы помочь компаниям обеспечить соответствие нормативным правилам и снизить операционные расходы.

Мощные и гибкие возможности для управления идентификационными данными

Решение Oracle Enterprise Identity Management отличается широкими возможностями настройки и может быть развернуто как для программной работы локально, так и в качестве экземпляра Oracle Cloud Infrastructure. Оно обеспечивает безопасный доступ для сотрудников, поставщиков, партнеров и заказчиков, помогая компаниям развертывать нагрузки на инфраструктуре выбранного ими провайдера и предоставляя при этом все режимы доступа.

Встроенные возможности управления доступом и идентификационными данными

Сервис Oracle Cloud Infrastructure имеет встроенные возможности управления доступом и идентификационными данными, которые дают компаниям средства контролировать доступ к облачным ресурсам с помощью простых для определения политик и правил.

Оставьте Ваши отзывы.

Оставьте Ваш отзыв! Поддержите ИТ-руководителей, поделившись отзывами о решениях Oracle Identity and Access Management. Ваш отзыв важен для будущего Oracle IAM. Просим Вас уделить 15 минут Вашего времени, чтобы пройти опрос Gartner Peer Insights и оставить анонимный отзыв.

Oracle — сильный партнер, оказывающий поддержку своим заказчикам. Решение Oracle IDCS предлагает надежную, масштабируемую и высокопроизводительную платформу IAM.

Руководитель программы, розничная торговля

Обзоры сравнительного анализа Gartner представляют собой субъективные мнения отдельных конечных пользователей, основанные на их собственном опыте, и не отражают взглядов компании Gartner и ее филиалов.

Продукты Identity and Access Management (IAM)

Удобные в использовании готовые средства для безопасного управления идентификационными данными

Oracle Identity Cloud Service предлагает функции облачного управления безопасностью и идентификационными данными нового поколения и является неотъемлемой частью корпоративной системы безопасности компании. Сервис также обеспечивает возможности управления доступом и безопасностью приложений.

Преимущество

Управление доступом к облачной инфраструктуре

Сервис Oracle Cloud Infrastructure Identity and Access Management является интегрированным решением по управлению учетными данными, которое дает компаниям возможность контролировать, кто имеет доступ к облачным ресурсам, какой это тип доступа и к каким конкретно ресурсам. Компании могут управлять большими организационными структурами и использовать большое количество правил на основе логических групп пользователей и ресурсов, а также легко определяемых политик.

Преимущества

Функции комплексного управления доступом для приложений, данных и веб-сайтов

Oracle Access Management полностью интегрирует Ваши идентификационные данные и системы, обеспечивая безопасный доступ из любого места, в любое время и любым способом. Это достигается за счет выполнения комплексной аутентификации пользователей с учетом рисков, а также реализации механизма однократной регистрации (SSO).

Источник

Oracle Identity Management

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

Oracle Identity Manager, как часть Oracle Fusion Middleware, обеспечивает унифицированную и интегрированную платформу безопасности, разработанную для управления идентификационными данными пользователей и обеспечения их средствами безопасного доступа к корпоративным ресурсам, предоставления надежного делового сотрудничества в интерактивном режиме, поддержки и оптимизации ИТ и обеспечения соответствия требованиям законодательства и внутренних политик организации. Решение предоставляет средства защиты информационных систем высоко уровня, позволяет избежать фрагментарности хранилищ учетных данных, средств управления и контроля.

Что такое Identity Management?

Где хранятся персональные данные?

В первую очередь, в кадровой системе. Кроме того, в каталоге Active Directory, в карточках пользователей прикладных систем, в данных почтовых программ, в системах управления клиентами, в биллинговых системах, в системах сервис-деск и так далее. Зачастую, эта информация не согласована. Один и тот же человек может быть прописан во множестве систем одновременно, к тому же, не везде он может быть прописан одинаково и корректно.

Для чего нужен Oracle Identity Management?

Oracle Identity Management позволяет привести в единый общий каталог актуальные и корректные персональные данные пользователей, интегрировать каталог с инфраструктурой компании. Таким образом, компоненты решения позволяют компаниям управлять полным жизненным циклом персональных данных пользователя на ресурсах компании, как внутри периметра защиты, так вне его, независимо от того, какие приложения используются в организации.

Одна из основных задач OIM – создание и управление единым и актуальным каталогом персональной информации. По сути, это решение является конструктором-платформой с возможностью кастомизации под реальные бизнес-процессы. Функционал Oracle Identity Manager позволяет, в том числе, управлять «гранулированными правами», настраивать типовой доступ и т.д. Такой конструктор состоит из набора компонентов, которые могут работать как независимо друг от друга так и как интегрированный набор сервисов.

Кроме того, продукт предлагает адаптивную систему согласования заявок: они проходят согласование либо целиком, либо по каждой роли отдельно. В первом случае, если пользователю запросили десять ролей, каждому владельцу роли придёт на согласование вся заявка целиком. Во втором- заявка «распадётся» на отдельные роли, и владельцы, которые отвечают за запрошенные роли, получат заявки отдельно по каждой роли.

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

Продукт имеет очень высокую степень гибкости, особенно в части изменения пользовательского интерфейса, самостоятельной разработки коннекторов к нестандартным системам (например, можно настроить согласование заявки из письма), но при этом требует высокого уровня квалификации персонала. И, хотя, интерфейс продукта достаточно понятный, часто компании хотят дорабатывать его под себя. Здесь оказываются полезными широкие возможности настройки. Кроме того, решение включает коннекторы к распространенным приложениям, и обеспечивает работу решения в разнородных средах.

Функционал решения

Управление правами

Управление заявками

Отчетность

Инструменты конфигурирования

Контроль изменений в системе, выполненных в обход IdM

Контроль рисков прав доступа пользователей

Разграничение областей видимости прав/ролей (кто и что может запрашивать)

Разграничение видимости форм интерфейса и их полей

Ручной ввод данных о сотрудниках в IdM

Управление сервисными учетными записями

Ролевое управление доступом

Поддержка иерархии ролей

Разграничение доступа к функциям IdM (настройка функциональных ролей)

Аттестация (пересмотр прав доступа)

Динамическое вычисление значений полей в формах интерфейса

Сброс пароля по контрольным вопросам

Массовое согласование заявок

Делегирование полномочий по согласованию заявок на период отпуска

Уведомления по электронной почте

Назначение заявок на исполнение вручную

Запрос нескольким сотрудникам нескольких ролей в одной заявке

Создание заявок на предоставление дополнительных прав

Запрос прав по преднастроенному шаблону заявки

Отчетность о состоянии прав на конкретную дату

Гистограммы и графики в отчета

Добавление собственных сущностей и форм

Изменение формы карточки сотрудника

Изменение формы заявки

Индивидуальная компоновка интерфейса

Oracle Identity Management ориентирован на обслуживание потребностей приложений. Его использование позволяет заказчикам отделить бизнес-логику от безопасности и управления ресурсами, и, таки образом, повысить скорость разработки и уменьшить стоимость сопровождения. Производитель может предложить полный стек программно-аппаратных решений, что снижает ТСО и упрощает поддержку.

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

Где работает OIM?

Крупный банк в Украине успешно провел внедрение Oracle IDM для централизации управления учетными данными. При помощи web-коннекторов OIM был интегрирован с HR системой в головном офисе. Таким образом, система работает с актуальной информацией, на основании которой распределяются права доступа к информационным системам банка. Кроме того была реализована возможность пользователей самостоятельно управлять паролями и синхронизацией с AD.

Лицензирование

Продукт лицензируется по количеству целевых систем, с которыми необходимо взаимодействовать. Независимо от того, будет заказчик использовать готовый коннектор, или планирует разрабатывать его под себя, на коннектор также требуется лицензия. В зависимости от количества пользователей можно выбирать один из двух продуктов для оптимального лицензирования.

Права продаж

Продавать Oracle Identity Manager могут все партнеры со статусом Gold и Platinum. Для распространения продукта реселлеру следует подтвердить права продаж (платные экзамены не требуются). Подтверждение прав продаж продуктов предоставляет партнеру возможность регистрировать проекты.

Следует также упомянуть, что IDМ нельзя назвать «отраслевым» решением. Необходимость регулирования права доступа актуальна для любой организации. В завершение хотим отметить, что опыт использования решения в мире и в Украине большой. Текущие задачи, которые желают решить заказчики при помощи Oracle Identity Management, свидетельствует о востребованности решения на рынке Украины.

Источник

Сравнение систем управления доступом (IdM/IAM)

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

oracle identity manager что это. Смотреть фото oracle identity manager что это. Смотреть картинку oracle identity manager что это. Картинка про oracle identity manager что это. Фото oracle identity manager что это

Данная статья — детальное сравнение систем управления доступом (IdM/IAM). В ней мы проанализировали и сопоставили лидирующие на отечественном рынке продукты как российских, так и зарубежных компаний. Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке IdM-системы и на что стоит ориентироваться при их выборе.

Введение

Аббревиатура IdM (Identity Management) переводится как как «система управления учетными или идентификационными данными». Однако под этим термином чаще подразумеваются гораздо более мощные системы, которые способны сами управлять доступом, т. е. системы IAM (Identity and Access Management). Но аббревиатура IdM является более популярной на сегодняшний день, поэтому далее по тексту мы будем использовать именно ее.

Таким образом, главной задачей IdM-систем является централизованное управление идентификационными данными, учетными записями и правами на доступ к информационным ресурсам. В основном решения данного класса предназначены для крупных компаний и направлены на автоматизацию взаимодействия различных подразделений компании (кадровые службы, ИТ-подразделения, ИБ-подразделения и др.).

Сложность IdM-систем, а также закрытость документации значительно усложняют процесс их осознанного выбора для заказчика. Зачастую в открытом доступе можно найти лишь маркетинговую информацию, которая на практике имеет мало общего с реальностью. Мы убедились в этом на собственном опыте.

При выборе решения неизбежно возникают вопросы. Чем принципиально отличаются между собой решения? На что ориентироваться при выборе IdM-системы? Как выбрать наиболее подходящее решение для вашей компании? К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого.

Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы IdM-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой.

Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.

Тем не менее мы не будем останавливаться на достигнутом результате. В дальнейшем мы планируем проводить более глубокие сравнения IdM-систем по их реальной технологической эффективности.

Методология сравнения IdM-систем

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: глубины исследования, степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.

Следуя такому принципу, мы отобрали более 100 критериев, сравнение по которым упростит выбор IdM-системы. К некоторым из критериев были добавлены пояснения. Для удобства все сравнительные критерии были разделены на следующие категории:

Для участия в сравнении было отобрано пять наиболее известных и популярных в России IdM-систем:

Российские:

Зарубежные:

Все производители перечисленных выше IdM-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации.

В приведенном сравнении IdM-систем мы не делали их итогового ранжирования. Мы надеемся, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из IdM-систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

Сравнение IdM-систем

Общие сведения

Архитектура решения

Системные требования (минимальные значения)

Коннекторы

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Коннекторы к доверенным источникам1С, Oracle HR,SAP, Босс Кадровик, ДИАСОФТ, СЕ.Кадры, Галактика,Госналог, LDAP, HRB, XML, Excel1С, SAP HR, SQL, TXT, XML, Excel, поддержка настраиваемых скриптов для выгрузки кадровых данных1C, Босс-Кадровик, SAP HCM (в качестве доверенного источника может использоваться в том числе любая управляемая система)Большинство из 35 универсальных коннекторов могут быть использованы и как доверенный источник и как целевая система (reconcilation & provisioning)

Разработка коннекторов

Функциональные роли IDM

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Администратор ситемыДаДаДаДаДа
Администратор безопасностиДаДаДаДа (аудитор)Да (аудитор)
Администратор учетных записейДаДаНетДаДа (сотрудник справочной службы, менеджер, владелец службы)
Администратор ресурсаДаДаНетДаНет
Администратор ролей (включает в себя все роли)ДаДаНетДаНет
Сотрудник службы поддержкиНетНетДаДаДа
Владелец ресурсаДаДаДаДаДа
Владелец ролиНетДаДаДаДа (для статических и динамических ролей)
Линейный руководительНетДаДаДаДа (менеджер)
СотрудникДаДаДаДаДа
Возможность настройки функциональных ролейНетДаДаДаДа (внутренняя ролевая модель, возможность управлять своими собственными ролями посредством продукта)
Другие ролиАдминистратор кадровой системы, самостоятельно формируемые ролиНетВладелец системы, кураторALL USERS, OPERATORS, SELF OPERATORS, BIReportAdministratorПривилегированный администратор

Общие функциональные возможности

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Автоматический запуск рабочих процессов по событиям доверенного источника (учет кадровых событий)ДаДаДа (в реальном времени)ДаДа
Создание собственных правил, позволяющие производить дополнительные вычисления и выполнять обращения к внешним источникам данныхДаДа (посредством подсистемы синхронизации)Да (правила пишутся на скриптовых языках JavaScript и Groovy, и позволяют вносить изменения без необходимости перезапуска системы)ДаДа
Настройка организационной структуры предприятия (автоматическая, ручная)Да (автоматическая, ручная)Да (автоматическая, ручная)Да (автоматическая, ручная)ДаДа
Настройка рабочих процессов (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/ресурсов/оргструктуры)Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры)Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры)Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры и других)ДаДа (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры)
Настройка отображаемых форм (карточки заявки/сотрудника/роли/ресурса/подразделения)НетДа (карточка заявки)Да (карточка заявки/сотрудника/роли/ресурса/подразделения)Да (карточка заявки/сотрудника/подразделения)Да (сотрудника/подразделения)
Возможность расширения атрибутов объектов ИС (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений)НетДа (атрибуты карточки сотрудника, атрибуты подразделений)Да (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений)Да (атрибуты карточки сотрудника, атрибуты подразделений)Да (атрибуты карточки сотрудника, атрибуты подразделений)
Поддержка Kerberos-аутентификации (в различные консоли продукта)ДаДаДаДаДа (поддержка всех механизмов аутентификации, предусмотренных WebSphere Application Server включая SPNEGO)
Обеспечение синхронизации данных между несколькими источникамиДаДаДа (возможно в режиме реального времени)ДаДа

Управление учетными записями

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Создание учетных записейДаДаДаДаДа
Внесение изменений в учетные записиДаДаДаДаДа
Настройка правил заполнения атрибутов учетных записейДаДаДа (с помощью предустановаленных правил или JavaScript/Groovy)ДаДа
Блокировка/удаление учетных записейДаДаДаДаДа
Возможность автоматизации управления учетными записямиДаДаДаДаДа
Возможность ручного управления учетными записямиДаДаДаДаДа
Настройка сценариев действий с учетными записями при определенных условиях (увольнение, отпуск и т.д.)ДаДаДаДаДа
Централизованное хранение учетных записейДаДаДаДаДа
Возможность устанавливать взаимозависистости между учётными записями в различных целевых системахДаНетДа (также есть список защищённых учетных записей)ДаДа
Возможность автоматического связывания учётных записей с сотрудниками по правиламДаДаДаДаДа
Возможность настройки правил генерации паролей для каждой целевой системыДаНетДаДаДа

Управление правами доступа

Управление заявками

Отчетность

Общие отчеты (отчет по учетным записям; отчет по подразделениям; отчет по должностям; отчет по пользователям)

Основные отчеты (сотрудники, у которых отзывалась роль; сотрудники, которым назначалась роль; роли, которые отзывались у сотрудника; роли, которые назначались сотруднику; сотрудники, у которых отзывалось право; сотрудники, владевшие правом; роли, назначавшиеся по должности; роли, назначавшиеся по подразделению)

Отчеты по заявкам (заявки за период; заявки на согласовании более х времени; отклоненные заявки за период; заявки по запрашивающему пользователю;
заявки по утверждающему пользователю; количество запросов на роль)

Общие отчеты (отчеты этой группы содержат сведения о заявках, сотрудниках организации и ресурсах подразделений)

Отчеты отдела кадров (отчеты этой группы содержат сведения, необходимые для работы отдела кадров)

Отчеты службы ИБ(эти отчеты содержат сведения о наличии и отсутствии связей объектов системы между собой)

Требования( отчеты, предоставляющие данные процесса рабочего потока, например операции с учетной записью, утверждения и отклонения)

Пользователи и учетные записи (отчеты, которые позволяют получить данные о пользователях и учетных записях, например: права доступа физических лиц, активность учетной записи)

Службы (отчеты, предоставляющие данные о службах, например статистические данные о согласовании, список служб и сводка по учетным записям службы)

Аудит и защита (отчеты, предоставляющие данные об аудите и безопасности, например сведения об управлении доступом, события аудита и учетные записи, не отвечающие требованиям)

Аудит учетных записей и прав доступа

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Построение отчетовДаДаДаДаДа
Типы отчетовОтчёты о текущих состояниях объектов (заявок, карточек сотрудников, ролей, ресурсов и т.п.)

Отчёты об изменениях объектов

Отчёты о состоянии объектов на дату в прошлом

Отчеты по политикам доступа

Отчеты по аттестации, заявкам и согласованиям

Отчеты по ролям и организационной структуре

Отчеты по ресурсам и правам доступа

Отчеты по пользователям

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Автоматизированный аудит прав доступаДа (через регулярные промежутки времени)Да (непрерывный контроль прав пользователей в режиме реального времени)Да(в режиме реального времени)ДаДа
Аудит прав доступа и различных событий по предоставлению прав доступа, выполняемый администраторомДаДа (посредством использоания подсистемы отчетов)Да (интерактивно и в отчётах)ДаДа
Автоматическое обнаружение несогласованных полномочийДаДаДаДаДа
Уведомление ответсвенных лиц о несоответствииДаДаДаДаДа
Автоматическое исправление несоответствияДаДа (после согласования офицером ИБ)Да (по согласованию и автоматически)ДаДа
Возможность пересмотра учётных записей пользователей по событиюДаДаДаДаДа
Возможность пересмотра учётных записей пользователей по расписаниюДаНетДаДаДа
Проверка наличия «мертвых» учетных записей и возможность их блокировки в автоматическом и ручном режимеДа (блокировка в ручном режиме)Да (блокировка в ручном режиме)Да (блокировка вручную и автоматически по правилам)ДаДа

Производительность и отказоустойчивость

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Масштабируемость системы (по производительности и объему обрабатываемой информации)Возможна кластеризацияFail-over и load balancing кластеризацияВозможность кластеризации основных компонентов (приложение и база данных), а также размещения служб управления коннекторами на отдельных хостахКластеризация, внутреннее распаралеливание нагрузки, вертикальное и горизонтальное масштабированиеВозможна кластеризация всех компонентов решения (сервера приложений, СУБД, LDAP каталоги)
Возможности резервированияПутем использования стандартных механизмов работы с базами данныхПутем использования стандартных механизмов работы с базами данныхПутем использования стандартных механизмов работы с базами данныхПутем использования стандартных механизмов работы с базами данныхПутем использования стандартных механизмов работы с базами данных и LDAP калатолгов.

Дополнительные возможности

Параметр сравненияAvanpost IDMКУБSolar inRightsOracle Identity ManagerIBM Security Identity Manager
Наличие собственных дополнительных модулей безопасностиPKI, SSOМодуль управления и контроля программно-аппаратных конфигурацийDLP, контроль безопасности кода, аналитика ИБМожно использовать средства защиты ОС (например, сертифицированного по СВТ НСД3+НДВ2 Oracle Enterprise Linux), СУБД (например, прозрачное шифрование Oracle Advanced Security или контроль Databas Vault), сервера Weblogic (SSL 3.0 или TLS в Platform Security Services) и других решений Oracle Identity & Access ManagementНет
Интеграция со стронними системами безопасностиSSO, SIEM, PKI, ITSM, СКУДSSO, SIEM, PKI, ITSM, СКУДSSO, SIEM, PKI, ITSM, СКУД, DLP, Anti-FraudSSO через OAM, авторизация через OES, мобильная безопасность через OMSS, доставка учетных данных на рабочие станции через ESSO и т.д.IBM Security Identity Governance, IBM QRadar SIEM, IBM Security Access Manager for Web, IBM Security Access Manager for Enterprise SSO, IBM Security Priviledged Identity Manager, IBM Security Federated Identity Manager, IBM RACF2, RSA Authentication Manager
Поддержка интеграции с приложениями сторонних производителей (в том числе SAP, PeopleSoft и Siebel), а также поддержка нескольких каталогов и баз данных пользователей (Oracle WebLogic Server и Microsoft SharePoint)ДаДа (встраивание в корпоративные порталы, интеграция с внешними системами документооборота)ДаДаДа (включая SAP, PeopleSoft, Siebel, Microsoft SharePoint)
Поддержка облачных приложений, таких как IBM LotusLive ™, Salesforce.com и приложений Google за счет использования открытых стандартов, как SAML, Liberty, WS-Federation, WS-Security, WS-Trust, OpenID и OauthДаДа(поддержка облачных сервисов аутентификации SAML, WS-Security и т.д.)Да (Office365, GoogleAps)ДаДа (включая LotusLive, SalesForce.com, Google apps)
Обеспечение интеграции и аутентификации с открытыми интерфейсами прикладного программирования (API)ДаДаДаДаДа

Лицензирование

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Алексей Воронцов, IT Security Architect, IBM

Андрей Конусов, Генеральный директор, Аванпост

Валентин Крохин, Директор по маркетингу, Solar Security

Дмитрий Бондарь, Руководитель направления inRights, Solar Security

Олег Губка, Директор по развитию, Аванпост

Роман Павлов, Менеджер продукта, ТрастВерс

Читайте также: Сравнение систем управления доступом (IdM/IAM) 2016. Для продуктов: 1IDM, SailPoint Identity IQ, Dell One Identity.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *