Так исторически сложилось, что средства управления доступом реализованы в технических терминах, которые не всегда хорошо соответствуют бизнес модели. Системы IdM призваны наладить диалог между бизнесом и IT в части управления доступом. Ролевая модель управления доступом – это одно из средств перевода требований к правам доступа сотрудников с одного языка на другой.
IT роль - это минимальный набор полномочий, необходимый для того, чтобы сотрудник мог выполнять определенную операцию. Например, регистрировать документы, принимать звонки и т.п. Например, IT-роль "Регистрировать документы" включает в себя два полномочия: учетная запись в СЭД и группа «Регистраторы» в СЭД. Часто IT-роли образуют иерархию, в этом случае вложенные роли наследуют все полномочия родительских ролей, и каждая роль связана ровно с одним полномочием.
Пример. Рисунок – иерархия IT-ролей и их связь с полномочиями.
Элементарные полномочия в системах определяются физическим способом реализации модели доступа. Способы определения полномочий на стороне систем могут быть самыми разными (группы, списки доступа, мандаты и т.п.). Полномочия объединяются в IT роли с целью упрощения выдачи прав для решения определенных задач. Превращение элементарных полномочий в IT-роли – это первый шаг к управлению доступом на языке бизнеса. Следующий шаг – это использование бизнес-ролей.
Бизнес-роль в IdM системе – это комплексный набор полномочий, необходимый для выполнения определенной бизнес задачи. Часто бизнес роль связывается с должностью или позицией в штатном расписании.
Сформулировать бизнес роль в виде элементарных полномочий прикладных систем может оказаться непростой задачей, поэтому для описания бизнес-ролей обычно используют IT-роли, соответствующие операциям, которые нужно выполнять сотруднику с такой бизнес-ролью.
К примеру, сотруднику бухгалтерии требуется иметь возможность создавать проводки в 1с и формировать отчеты. Сотрудник отдела управления договорами должен иметь возможность регистрировать договора в системе 1с и сэд. Бизнес-роли также часто образуют иерархию.
Проследить связь от бизнес-ролей до элементарных полномочий, особенно с учетом механизмов наследования, может показаться достаточно сложной задачей. Однако, на самом деле, такая модель управления доступом позволяет весьма прозрачно описать правила назначения прав сотрудникам, не нарушая принципа минимально необходимых полномочий.
IT роль - это минимальный набор полномочий, необходимый для того, чтобы сотрудник мог выполнять определенную операцию. Например, регистрировать документы, принимать звонки и т.п. Например, IT-роль "Регистрировать документы" включает в себя два полномочия: учетная запись в СЭД и группа «Регистраторы» в СЭД. Часто IT-роли образуют иерархию, в этом случае вложенные роли наследуют все полномочия родительских ролей, и каждая роль связана ровно с одним полномочием.
Пример. Рисунок – иерархия IT-ролей и их связь с полномочиями.
Элементарные полномочия в системах определяются физическим способом реализации модели доступа. Способы определения полномочий на стороне систем могут быть самыми разными (группы, списки доступа, мандаты и т.п.). Полномочия объединяются в IT роли с целью упрощения выдачи прав для решения определенных задач. Превращение элементарных полномочий в IT-роли – это первый шаг к управлению доступом на языке бизнеса. Следующий шаг – это использование бизнес-ролей.
Бизнес-роль в IdM системе – это комплексный набор полномочий, необходимый для выполнения определенной бизнес задачи. Часто бизнес роль связывается с должностью или позицией в штатном расписании.
Сформулировать бизнес роль в виде элементарных полномочий прикладных систем может оказаться непростой задачей, поэтому для описания бизнес-ролей обычно используют IT-роли, соответствующие операциям, которые нужно выполнять сотруднику с такой бизнес-ролью.
К примеру, сотруднику бухгалтерии требуется иметь возможность создавать проводки в 1с и формировать отчеты. Сотрудник отдела управления договорами должен иметь возможность регистрировать договора в системе 1с и сэд. Бизнес-роли также часто образуют иерархию.
Проследить связь от бизнес-ролей до элементарных полномочий, особенно с учетом механизмов наследования, может показаться достаточно сложной задачей. Однако, на самом деле, такая модель управления доступом позволяет весьма прозрачно описать правила назначения прав сотрудникам, не нарушая принципа минимально необходимых полномочий.
