Ролевая модель в IdM системах

Так исторически сложилось, что средства управления доступом реализованы в технических терминах, которые не всегда хорошо соответствуют бизнес модели. Системы IdM призваны наладить диалог между бизнесом и IT в части управления доступом. Ролевая модель управления доступом – это одно из средств перевода требований к правам доступа сотрудников с одного языка на другой.

Управление требованиями безопасности

В простейшем случае IDM можно использовать для автоматизации операций с учетными записями. При серьезном подходе, система не только делает то, что ей скажут, но еще и следит за тем, чтобы полномочия назначались только «как надо», а также вовремя поднимает шум, если вдруг где-то реальность разошлась с требованиями безопасности.

Право доступа как абстракция

ISIM предлагает интересную концепцию "права доступа", отражающую разный взгляд на права доступа со стороны бизнеса и ИТ. Существуют разные технические способы изменения полномочий сотрудника в системе - добавить учетную запись, изменить атрибуты существующей учетной записи, назначить бизнес-роль и т.п. Однако пользователя системы эти нюансы, как правило, не интересуют. Пользователь хочет просто получить нужный ему доступ.
ISIM дает пользователю возможность поиска в каталоге доступных ему прав доступа. Право доступа - это "нечто", имеющее название и описание в терминах понятных конечному пользователю, например: "Доступ к корпоративной системе документооборота". Запросив и получив этот доступ, сотрудник сможет зайти в СЭД. Но что фактически произошло, как в действительности изменились учетные  - остается за кадром. Как же это работает?

Сотрудники и учетные записи

Назначение полномочий сотруднику сильно различается с точки зрения бизнеса и ИТ. Бизнес рассматривает полномочия, в первую очередь, как возможность выполнения сотрудником определенных бизнес задач. С точки зрения ИТ-подразделения полномочия – это свойства учетных записей сотрудников. Система управления доступом выступает в роли переводчика между этими представлениями. Посмотрим как это делает ISIM.

IBM Security Identity Manager - Введение

Пред тем как начинать любую автоматизацию стоит ознакомиться с возможностями выбранного решения и сформулировать автоматизируемые операции в терминах модели, используемой системой. Сегодня я начинаю рассказывать про объектную модель и принцип работы решения по управлению доступом от IBM – Security Identity Manager.

Information Rights Management

Пока данные находятся в информационной системе, например, СЭД, доступ к ним контролируется средствами системы. Но как только информация покидает систему в виде отдельного документа, контроль над её использованием теряется. IRM (Information Rights Management) – класс систем, которые позволяют не терять контроль над документами после их публикации.

Экономика внедрения IDM решения

Внедрение систем класса Identity Management обходится довольно дорого. Давайте внимательно посмотрим, какие затраты сопровождают внедрение IDM решения, а также за счет чего эти инвестиции окупаются.

Эволюция системы управления полномочиями

Любая современная информационная система имеет встроенные средства контроля доступа. И, с функциональной точки зрения, этих средств совершенно достаточно для управления полномочиями пользователей – любому пользователю можно выдать любые полномочия, предусмотренные моделью доступа рассматриваемой системы. Но совершенно ниоткуда не следует, что делать это будет быстро и удобно.

Информация о правах доступа пользователей непрерывно изменяется. В относительно небольших организациях несложно настраивать и поддерживать актуальность прав доступа вручную: добавлять и блокировать учетные записи по мере необходимости, периодически просматривать списки учетных записей и полномочий, чтобы убедиться, что нет никого лишнего, и т.п. С ростом организации количество систем и работающих с ними сотрудников увеличивается. Объем информации о разрешениях растет лавинообразно. Контроль над тысячами учетных записей в десятках информационных систем – уже очень нетривиальная задача.