В простейшем случае IDM можно использовать для автоматизации операций
с учетными записями. При серьезном подходе, система не только делает то, что ей
скажут, но еще и следит за тем, чтобы полномочия назначались только «как надо»,
а также вовремя поднимает шум, если вдруг где-то реальность разошлась с требованиями
безопасности.
Чтоб донести свои требования до ISIM, администратор безопасности описывает
их в виде набора «политик предоставления доступа». Каждая политика устроена
довольно просто и содержит ответы на 3 важных вопроса:
- Область действия политики – для сервисов каких подразделений она применяется;
- На каких пользователей распространяется политика – на всех или только назначенных на определенные бизнес-роли;
- Какие правила должны выполняться для учетных записей сервисов;
Политики предоставления доступа позволяют, например, указать, что у всех сотрудников организации …
- должна быть учетная запись в корпоративной Active Directory,
- должен быть корпоративный почтовый ящик, причем адрес должен совпадать с именем учетной записи в AD,
- может быть учетная запись в системе документооборота,
а у внештатных сотрудников …
- может быть учетная запись в Active Directory,
- но она не может входить в группы, предоставляющие доступ к бухгалтерии и финансовой информации.
Правила могут быть простыми, а могут быть и довольно
сложными, с использованием регулярных выражений, скриптов и т.п.
Есть несколько режимов применения политик. В самом жестком
режиме ISIM не допускает отклонений от указанных требований,
автоматически приводя учетные записи в соответствие с политиками и не позволяя
пользователям даже запросить полномочия сверх допустимого. В более мягких
режимах ISIM может уведомлять администратора о возникающих нарушениях или
только отмечать учетные записи, несоответствующие требованиям безопасности.
В жестком режиме система работает полностью автоматически.
Любые отклонения от требований устраняются без участия человека. Мягкие режимы
позволяют, например, обнаруживать факты нарушения требований ИБ, сделанные во
внешних системах в обход ISIM,
и уже потом принимать решение о том, что с ними делать.
