Обзор рынка систем управления правами доступа и учётными записями пользователей (IdM / IAM / IGA)

Системы управления учётными записями пользователей и правами доступа к информационным системам (IdM / IAM / IGA) позволяют автоматизировать соответствующие процессы, а также минимизировать риски в информационной безопасности за счёт сертификации и аттестации доступа, предотвращения конфликтов полномочий и применения риск-ориентированной модели управления доступом.

 

 

 

 

 

1. Введение
2. Современные системы класса IdM / IGA
3. Мировой рынок IdM / IGA
4. Российский рынок IdM / IGA
5. Обзор отечественного рынка IdM / IGA
   
   1. 5.1. 1IDM
   2. 5.2. Ankey IDM
   3. 5.3. Avanpost IDM
   4. 5.4. Solar inRights
   5. 5.5. ОТР.УСБ
6. Обзор зарубежного рынка IdM / IGA
   
   1. 6.1. Evolveum midPoint
   2. 6.2. IBM Security Identity Manager
   3. 6.3. One Identity Manager
   4. 6.4. Oracle Identity Manager
   5. 6.5. SailPoint IdentityIQ
7. Выводы

Введение

Аббревиатуру IdM (Identity Management) можно расшифровать как «управление учётными или идентификационными данными».

Класс IdM-систем давно не является новинкой для российского и уж тем более мирового рынка. Они уверенно набирают популярность в качестве инструмента централизованного управления учётными данными и правами пользователей в корпоративных средах. Более того, системы этого класса успели не только сформироваться в своих базовых функциях, начиная непосредственно с управления доступом между различными системами и постепенно автоматизируя данную процедуру, но и перейти к более сложному процессу построения ролевых моделей, создания их комбинаций, системы заявок и управления ими. При этом общемировые тренды и здесь несколько отличаются от привычных на российском рынке; в последние несколько лет в обиход введён другой термин, описывающий логическое продолжение развития систем этого класса — IGA (Identity Governance & Administration).

Системы класса IGA имеют расширенные функциональные возможности. Изменения в терминологии, в частности, отражают тот факт, что была реализована более сложная модель сертификации доступа и полномочий, введены дополнительные соответствия между назначенными доступами, добавлены контроль конфликтов и риск-ориентированная модель.

Подробнее ознакомиться с развитием этого класса решений и их отличительных особенностей можно в нашей статье «Эволюция систем IGA (Identity Governance and Administration)».

Рассмотрим наиболее заметные и зарекомендовавшие себя на рынке системы, а также общую тенденцию в части изменения их функциональности.

Современные системы класса IdM / IGA

Несмотря на изменение терминов, описывающих данный класс решений, их базовые задачи остались прежними. Это — автоматизация, наведение порядка, упрощение управления учётными записями и доступом к информационным системам внутри предприятия. Благодаря этому снижаются затраты времени у различных служб (кадровых, ИТ, ИБ и других) на этот процесс и, что немаловажно, решается проблема человеческого фактора при назначении того или иного доступа. В выигрыше остаются все: люди предоставляющие доступ, люди его контролирующие, а также сами получатели доступа, т. к. процесс сокращается в разы, а то и на порядки.

Общие принципы работы систем управления идентификацией и доступом также остаются неизменными. Используются доверенные источники информации о пользователях, их назначениях и рабочих статусах, на этой основе строятся механизмы внесения изменений (создание, блокирование, удаление учётных записей, изменение прав доступа и т. д.) в контролируемые внутри инфраструктуры информационные системы. Изменения могут вноситься как автоматически, так и вручную. Для корректного взаимодействия со внешними информационными системами применяются различные коннекторы, позволяющие интегрировать разнородные системы в единый комплекс управления доступом — к примеру, при помощи API. Кроме этого, в IdM-системах реализованы функции по автоматизации процесса самообслуживания.

В рамках одного из эфиров AM Live, посвящённого выбору современной системы IdM / IGA, представители отечественных и зарубежных вендоров, а также системных интеграторов обсудили то, как и зачем заказчики внедряют решения для управления доступом, высказали свои мнения относительно технических особенностей IdM-систем, а также поделились со зрителями своим видением перспектив рынка IGA в России.

Можно выделить обязательные и дополнительные возможности систем IdM / IGA для удовлетворения типичных потребностей организаций.

Обязательно:

• Управление жизненным циклом идентификации.
• Поддержка запросов доступа.
• Автоматизация рабочего процесса.
• Сертификация / аттестация доступа.
• Наличие готовых коннекторов для применяемых систем.
• Аналитика и отчётность.

Дополнительно:

• Управление политиками и ролями.
• Управление паролями.
• Исключение избыточности прав и разграничение несовместимых полномочий.

Поэтому современная система управления идентификацией (IGA) является комплексной и сложной. Соответственно, и процесс её внедрения в организациях — комплексный и, в определённых ситуациях, весьма трудоёмкий.

Вопрос о том, с какой стороны следует подходить ко внедрению и эксплуатации систем управления правами доступа и учётными записями пользователей, мы разбирали в одной из предыдущих статей о внедрении и применении IdM-систем на российском рынке.

Мировой рынок IdM / IGA

Мировой рынок систем по управлению идентификацией можно смело назвать зрелым и даже в некотором смысле обретшим свои финальные очертания. Несмотря на это, конечно, до сих пор появляются новые функциональные особенности и рынок продолжает развиваться, при этом акцент, по мнению специалистов Gartner, смещается с модели предоставления услуг из облака в сторону управления другими облачными активами и интеграции дополнительных возможностей в основные инструменты. Компании-заказчики отлично понимают необходимость подобного класса решений, так что те пользуются уверенным спросом.

Ландшафт IdM / IGA претерпел значительные изменения за последние годы в соответствии со всё более динамичным характером современного предприятия — в особенности если принимать во внимание общемировую тенденцию к рассредоточению рабочих ресурсов по всему миру и возможности работы из любого удобного места. Множество пользователей в разных часовых поясах, множество систем и приложений, от локальных до облачных, требуют быстрого и простого процесса получения эффективно управляемого доступа. В результате формируется дополнительная потребность в системах класса IGA на мировом рынке.

 

Рисунок 1. «Магический квадрант» Gartner в сегменте Identity Governance & Administration по состоянию на август 2019 года

 

С 2019 года Gartner не обновляла свой квадрант, но при этом продолжает анализировать развитие данного сегмента рынка. По прогнозу от 04.07.2022, более 40 % организаций на рынке к 2025 году будут использовать IGA и информацию из них как часть более широкой структуры идентификации, чтобы снизить риски для безопасности в среде предоставления доступа, а сами эти системы станут неотъемлемой частью ИБ.

В список решений для обзора вошли следующие разработки, которые наиболее известны на отечественном рынке:

• Evolveum midPoint.
• IBM Security Identity Manager.
• One Identity Manager.
• Oracle Identity Manager.
• SailPoint IdentityIQ.

Российский рынок IdM / IGA

Российский рынок в данном случае можно отнести к развивающимся, несмотря на то что на нём существует достаточное количество зрелых решений.

С одной стороны, это обусловлено тем, что изначально не была сформирована потребность в решениях данного класса и его развитие началось с адаптации проверенных зарубежных разработок. С другой — причиной можно назвать саму специфику решений данного класса и готовность организаций к долгосрочному и кропотливому процессу проектирования и внедрения. Но потребность уже сформирована, результаты предыдущих внедрений в крупных компаниях получены и учтены не только потребителями, но и отечественными производителями IdM-систем.

Другим фактором развития отечественного рынка можно назвать импортозамещение, которое не обошло стороной и этот класс систем, что стимулирует заказчиков обращать внимание на российские IdM-системы, а производителей — добавлять новые и развивать существующие функциональные возможности для удовлетворения потребностей клиентов.

Согласно проведённому нами ранее анализу российского рынка ИБ, объём сектора управления доступом и учётными записями в 2020 году оценивался в 9,4 млрд рублей (130 млн долларов). При этом доля систем IdM / IGA в нём достигала 24,4 %. Разбивка по составляющим в процентах приведена на рисунке 2. С полным анализом можно ознакомиться в нашей статье.

 

Рисунок 2. Российский рынок управления доступом и учётными записями по сегментам в 2020 году

 

Как можно увидеть, рынок IdM / IGA пока отстаёт от сектора средств аутентификации, но в обозримой перспективе будет расширяться для удовлетворения потребностей в более полном контроле корпоративных аккаунтов как рядовых пользователей, так и обладающих расширенными привилегиями в инфраструктуре.

Рынок отечественных решений IdM / IGA представлен следующими системами:

• 1IDM.
• Ankey IDM.
• Avanpost IDM.
• Solar inRights.
• ОТР.УСБ.

Обзор отечественного рынка IdM / IGA

 

 

1IDM

Компания 1IDM работает на рынке с 2014 года.

1IDM — решение класса Identity Management для автоматизации управления учётными записями и правами пользователей в информационных системах, построения ролевых моделей, аудита имеющихся доступов, обработки электронных заявок на доступ, построения отчётов.

В качестве базовой платформы используется «1С: Предприятие 8.3». Система подходит для реализации проектов любого масштаба и сложности как в государственных структурах, так и в коммерческих организациях.

 

Рисунок 3. Пример карточки пользователя со списком назначенных прав

 

1IDM поддерживает следующие операции с учётными записями в управляемых системах: создание, удаление, предоставление и отзыв прав, блокировка и разблокировка, обновление атрибутов, смена имени (логина). Конкретная операция должна поддерживаться самим целевым приложением.

Есть коннекторы для Active Directory, Exchange, Redmine, Alfresco, системы «Парус», SalesForce, RSBank и Hyperion, универсальный коннектор для СУБД. Обеспечивается полная совместимость с 1C. Суммарно система имеет более 40 коннекторов под ПО в среде Windows и более 10 — в среде Linux.

Особенности:

• Включена в реестр отечественного программного обеспечения.
• Открытый исходный код.
• Кроссплатформенность (поддержка Windows, Linux), наличие большого количества готовых коннекторов к информационным системам, представленным на российском рынке.
• Каталог прав, организационно-штатная структура, справочники пользователей и ресурсов. Все элементы объединены одной моделью данных.
• Управление правами на основе регламентных заданий для формирования очередей взаимосвязанных операций.
• Возможность выявления несоответствий с применением механизма периодических пересмотров прав доступа.
• Простые инструменты для диагностики и сопровождения системы, доступные из пользовательского интерфейса.
• Минимальный порог входа в проект.

Несколько лет назад мы рассматривали данное решение в рамках обзора, ознакомиться с ним можно здесь.

Подробнее о продукте — на сайте разработчика.

 

 

Ankey IDM

«Газинформсервис» — один из наиболее крупных в России системных интеграторов и вендоров в области информационной безопасности. Компания основана в 2004 году, специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.

Ankey IDM — это система для централизованного управления учётными записями пользователей и их полномочиями в корпоративных информационных системах. Решение реализовывает современный подход и практики IGA.

 

Рисунок 4. Схема работы решения Ankey IDM

 

Основная функциональность системы реализована таким образом, чтобы обеспечить выгоды для всех подразделений, вовлечённых в бизнес-процесс предоставления, контроля и использования доступов в рамках организации — от служб ИТ и ИБ до отделов HR и руководства организации. Продукт разработан с учётом потребности в технологическом суверенитете, входит в реестр отечественного ПО и имеет сертификат ФСТЭК России.

Особенности:

• Эффективно работает в географически распределённых структурах с большим количеством корпоративных пользователей и полномочий.
• Конструктор бизнес-процессов включает в себя типовые шаги, вычисляемые поля и справочники, а также дополнительные триггеры, которыми можно дополнить согласования для высокой скорости принятия решений.
• Более 40 готовых коннекторов для целевых систем: 1C (ЗУП, УТ, CRM, УХ), Bitrix24, Directum, «БОСС-Кадровик», «Галактика», CommuniGatePro, Docsvision, SharePoint, Lotus, Skype for Business, Oracle, OpenLDAP, FreeIPA, SambaDC, Astra Linux Directory, Microsoft Active Directory, продуктов SAP, а также универсальные — REST API, SOAP, для SQL / СУБД, SSH и даже для CSV / XML.
• Возможность глубокой интеграции с решениями обеспечивающими безопасный контур: Indeed ESSO, Identity Blitz SSO, СКДПУ НТ, PT SIEM, Indeed PAM и другими.
• Поддерживает как Windows-, так и Linux-системы и не ограничивается использованием архитектуры процессоров х86-64.
• Имеет интерактивный интерфейс REST API для интеграции с другими приложениями (например, ITSM).

Предлагаем ознакомиться с детальным обзором Ankey IDM.

Подробнее о продукте можно узнать на сайте разработчика.

 

 

Avanpost IDM

Компания «Аванпост» является российским разработчиком систем аутентификации и управления доступом к информационным ресурсам предприятия, работает на рынке с 2007 года.

Рассматриваемая система позволяет автоматизировать процессы управления жизненным циклом идентификационных данных, повысить уровень информационной безопасности и оптимизировать затраты на администрирование ИТ-инфраструктуры.

 

Рисунок 5. Схема работы Avanpost IDM

 

Интеграция Avanpost IDM с информационными ресурсами организации осуществляется посредством коннекторов, которые позволяют связать систему с любыми прикладными элементами корпоративной информационной среды: доверенными источниками (1C ЗУП, SAP HR, Oracle HR, «БОСС-Кадровик», «Диасофт», «Галактика» и др.), целевыми системами (Windows, Linux, Oracle, MySQL, PostgreSQL, Informix, InterBase, Exchange, Lotus, SharePoint, SAP, 1C, Directum, SCIM, SOAP, REST).

Особенности:

• Гибкая настройка бизнес-процессов обработки событий (кадровых, аудита и прочих) и управления заявками на доступ с помощью конструктора, настраиваемых справочников и вычисляющих функций.
• Мультиарендность — возможность использования одного экземпляра для нескольких организаций в рамках группы компаний с изоляцией управления и публикацией ресурсов между компаниями.
• Наличие атрибутивных политик управления доступом (ABAC), расширенные возможности управления доступом контрагентов.
• Поддержка параллельных организационных структур: функциональных, Agile, структур проектного управления и прочих, а также полной горизонтальной масштабируемости и географического резервирования.
• Возможность управления административными, технологическими аккаунтами и различными видами неперсонифицированных учётных записей.
• Кроссплатформенность (Windows, Linux), поддержка контейнерной виртуализации (Kubernetes, OpenShift). 
• Наличие большого количества готовых коннекторов к управляемым информационным системам и доверенным источникам, представленным на российском рынке, а также проработанных интеграций со смежными системами, включая системы класса ITSM, PAM, Secret Management, SIEM, SOAR; открытые документированные API.
• Входит в единый реестр отечественного ПО, сертифицирована по 4-му уровню контроля отсутствия недекларированных возможностей и может быть использована в автоматизированных системах до класса защищённости 1Г включительно и информационных системах персональных данных до 1-го класса включительно. Также сертифицирована на корректность встраивания криптоалгоритмов (КС2).

Детальнее ознакомиться с моделью управления доступом в Avanpost IDM вы можете в нашем обзоре.

Подробнее о продукте можно узнать на сайте разработчика.

 

 

Solar inRights

Solar inRights — платформа IdM / IGA для обеспечения исполнения процессов и регламентов по управлению правами доступа сотрудников к информационным ресурсам. Система позволяет управлять жизненным циклом учётных записей, ролей, информационных систем и других субъектов.

В продукте реализованы автоматизация жизненного цикла пользователей (от найма до увольнения), предоставление и отзыв доступа автоматически и вручную, создание и редактирование маршрутов согласования заявок, мгновенное выявление нарушений в правах пользователей и сценарии автоматического и ручного реагирования на расхождения, механизмы контроля ИБ за счёт управления ролевой моделью, SoD-конфликтами, уровнем риска по сотрудникам и пр.

 

Рисунок 6. Схема работы Solar inRights

 

Система является кроссплатформенной, поддерживает Windows и Linux, включая Ubuntu, CentOS, Astra Linux и Alt Linux, а также наиболее популярные СУБД — PostgreSQL, Microsoft SQL Server, Oracle. Интегрируется с более чем 40 внешними системами.

Имеется возможность расширить список интеграций за счёт оперативной разработки новых коннекторов, используя фреймворк ICF (Identity Connector Framework) / ConnID. При импортозамещении он позволяет переиспользовать существующие коннекторы, построенные на предшествующих ConnID технологиях.

Особенности:

• Входит в единый реестр отечественного ПО, сертифицирована ФСТЭК России на соответствие требованиям по безопасности информации по 4-му уровню доверия и технических условий.
• При разработке используется стек технологий Java, на которых развивается большинство российского ПО, включая версии Liberica / Axiom, официально разрешённые к использованию в государственных структурах.
• Имеет широкий спектр визуальных инструментов администрирования, не требующих инженерных настроек и доработки (конструкторы ролей, каталогов ролей, маршрутов согласования и др.).
• Лёгкая индивидуализация под конкретные требования компании без потери возможности устанавливать обновления (новые версии) системы.
• Интеграция с любыми кадровыми источниками и с системами данных по типу ERP, CRM, АБС, СУБД, LDAP и др., а также со смежными решениями по безопасности — SIEM, SSO, СКУД и др.
• Возможность подключить Solar InRIghts как клиент для авторизации во внешней системе, используя технологию децентрализованной системы аутентификации OpenID.

Расширенную информацию о Solar inRights 3.0 вы можете узнать из нашего обзора.

Подробнее о продукте — на сайте разработчика.

 

 

ОТР.УСБ

ОТР.УСБ — это средство централизованной идентификации и аутентификации пользователей, защиты от несанкционированного доступа на прикладном уровне в многопользовательском режиме обработки данных разработки ГК «ОТР».

ГК ОТР («Организационно-технологические решения») — российский системный ИТ-интегратор, стратегический партнёр по цифровому преображению государства и бизнеса.

ОТР.УСБ позволяет автоматизировать ряд процессов по регистрации, синхронизации и изменению учётных записей и прав доступа, а также заявок на их создание.

 

Рисунок 7. Схема работы ОТР.УСБ

 

Среда функционирования ОТР.УСБ состоит из отечественного и опенсорсного программного обеспечения, имеет сертификат ФСТЭК России о соответствии требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждённым приказом ФСТЭК России от 02.06.2020 № 76, по 2-му уровню доверия.

Особенности:

• Широкий круг применения, в т. ч. в ГИС до 1-го класса защищённости, автоматизированных системах до класса защищённости 2А, информационных системах, где обрабатывается информация уровня «совершенно секретно».
• Возможности масштабирования и индивидуализации с учётом требований и бизнес-задач заказчика.
• Лёгкая интеграция с решениями компании, а также с наиболее распространёнными источниками данных (Active Directory, Astra Linux Directory, FreeIPA, REST, PostgreSQL, Apache Kafka).
• Возможность интеграции с хостовыми СЗИ Secret Net Studio-C и Secret Net 7.

Подробнее о продукте можно узнать на сайте разработчика.

Обзор зарубежного рынка IdM / IGA

 

 

Evolveum midPoint

Компания Evolveum была основана независимыми ИТ-специалистами и нацелена на профессиональную разработку решений с открытым исходным кодом для управления учётными записями и доступом. Она базируется в Центральной Европе и имеет партнёрскую сеть в более чем 35 странах.

Решение midPoint является открытой IGA-платформой на основе Java. Продукт доступен на рынке с 2011 года и предоставляется бесплатно, модель построения бизнеса компании основана на платной поддержке клиентов в части настройки, доработки и внедрения решения. Система предназначена для интеграции в существующую ИТ-среду предприятий, университетов и подобных организаций, может работать в структурах любого масштаба.

 

Рисунок 8. Схема взаимодействия midPoint с пользователями и управляемыми системами

 

Система имеет широкие возможности по конфигурированию и позволяет настраивать большинство сценариев без необходимости программирования и доработок. При этом в ней присутствуют специальные скриптовые выражения, расширяющие эти возможности. 

Как и другие IGA-платформы, midPoint обеспечивает в том числе расширенные возможности управления на основе ролей (RBAC) и работу с SoD-конфликтами.

На момент написания обзора система была доступна для скачивания, а на сайте производителя не было указаний на ограничения в её использовании на территории РФ.

Особенности:

• Открытый исходный код.
• Отсутствие платы за лицензию на продукт.
• Большое сообщество пользователей и разработчиков.
• Наличие множества готовых коннекторов к информационным системам и возможность создания собственных.
• Возможность использования системы как в инфраструктуре организации, так и в облачной среде.
• Большой набор необходимых функций для работы в режиме полноценной IGA-платформы: RBAC, SoD, портал самообслуживания, управление правами, функции аудита и отчётности, а также возможности по расширению системы.

Подробнее о продукте можно узнать на сайте разработчика.

 

 

IBM Security Identity Manager

IBM Security Identity Manager — это автоматизированное решение для администрирования доступа пользователей в ИТ-средах, обеспечивающее эффективное управление идентификацией на всём предприятии.

Продукт помогает создавать, изменять и аннулировать полномочия пользователей в течение всего их жизненного цикла. IBM Security Identity Manager способен сократить затраты на администрирование ИТ, обеспечить защищённость и соответствие нормативным требованиям. Процесс выдачи учётных записей и доступов централизовывается как в операционных системах, так и в приложениях.

 

Рисунок 9. Схема работы IBM Security Identity Manager

 

На текущий момент компания IBM не осуществляет деятельности на территории Российской Федерации.

Особенности:

• Возможность управления идентификационными данными с упором на функциональные роли.
• Поддерживаются отдельные пользовательские интерфейсы, которые показывают людям только те задачи, которые им нужно выполнять.
• Упрощает и автоматизирует процесс периодической проверки пользователей, учётных записей и прав доступа.
• Отчёты уменьшают длительность подготовки к аудиту и обеспечивают интегрированное отображение прав доступа и действий по предоставлению доступа к учётным записям для всех управляемых пользователей и систем.
• Имеются статические и динамические роли.
• Есть возможность настройки электронного документооборота по заявкам на получение прав доступа (рабочий поток).

Подробнее о продукте можно узнать на сайте разработчика.

 

 

One Identity Manager

IGA-решение One Identity Manager является одним из самых популярных на рынке России и СНГ. Особенностью данной платформы, с одной стороны, является обширная функциональность, которая позволяет через интуитивный интерфейс делать конфигурации бизнес-процессов, выявлять роли, формировать отчёты, настраивать коннекторы через конструкторы, встроенные в продукт. С другой стороны, система полностью открыта для глубокой индивидуализации. Цель вендора — снизить порог вхождения в тему IdM как интеграторов, так и самих заказчиков, которые часто независимо и самостоятельно развивают данную платформу после первоначального этапа внедрения.

Другой важной особенностью One Identity является стратегия реализации единой экосистемы решений для обеспечения и контроля доступа — Unified Identity Platform. Вендор присутствует во всех трёх «магических квадрантах» Gartner, связанных с доступом: IdM / IGA, PAM и Access Management. Таким образом, в решении можно объединить назначение прав доступа для всех сотрудников компании с функциональностью многофакторной аутентификации с учётом поведения и рисков, а также дополнительно контролировать привилегированных сотрудников и подрядчиков, при этом имея целостные отчёты, политики и обзор из единого интерфейса.

 

Рисунок 10. Интерактивный обзор связей карточки сотрудника, его учётных записей, бизнес-ролей и других объектов

 

На текущий момент компания не осуществляет деятельности на территории Российской Федерации.

Особенности:

• Большая часть настроек производится в графическом интерфейсе, за счёт чего достигается высокая скорость внедрения.
• Наличие множества готовых коннекторов к информационным системам, а также возможность использования конструктора для коннекторов.
• Удобный портал самообслуживания пользователя, который облегчает взаимодействие с системой; наличие интерфейса на русском языке.
• Конструктор бизнес-ролей для помощи в построении ролевой модели на основании уже существующих прав доступа в информационных системах.
• Рисковая модель с повышающими и понижающими факторами. Риски могут, например, инициировать процессы ресертификации доступа владельцами ресурсов.
• Единая экосистема решений для доступа: PAM (контроль привилегированного доступа), Data Governance (контроль неструктурированных данных), MFA (многофакторная аутентификация), SSO (единая точка входа), CIAM (управление доступом клиентов), CIEM (управление полномочиями в облаке).
• Полная открытость для доработок и самостоятельного развития.

Для получения расширенной информации о One Identity Manager читайте наш обзор.

Подробнее о продукте можно узнать на сайте разработчика.

 

 

Oracle Identity Manager

Oracle Identity Manager (OIM) спроектирован для управления привилегиями доступа пользователей ко всем ресурсам компании на протяжении всего жизненного цикла учётных данных — от приёма сотрудника на работу или саморегистрации до увольнения или отказа от сервиса. OIM представляет собой интегрированную платформу для управления идентификационными данными и корпоративными ролями, а также для аудита и выполнения требований законодательства.

Платформа позволяет менеджерам отслеживать действия пользователей и обрабатывать запросы на доступ от членов команды. Oracle Identity Management предлагает множество функций, включая управление соответствием доступа, портал самообслуживания, контроль доступа, автоматические оповещения, двухфакторную аутентификацию (2FA) и многое другое. Система позволяет организациям управлять процессами авторизации и сеансами, а также обеспечивать безопасный доступ ко внешним приложениям с помощью стандартных возможностей SAML Federation и OAuth.

 

Рисунок 11. Концепция OIM

 

Oracle Identity Management поддерживает интеграцию с различными сторонними платформами, такими как ServiceNow, Concur, SAP SuccessFactors, Box, GoToMeeting, Salesforce, Dropbox и другими.

На текущий момент компания Oracle не осуществляет деятельности на территории Российской Федерации.

Особенности:

• Позволяет консолидировать ранее фрагментированные учётные данные в едином хранилище.
• Автоматически создаёт и изменяет учётные данные сотрудников во всех целевых системах на основе данных кадровой системы (приём, увольнение, отпуск, перевод, временное замещение) в соответствии с должностными обязанностями, политиками безопасности и результатами процессов согласования.
• Выявляет неиспользуемые учётные записи и несанкционированные изменения прав доступа администраторами целевых систем.
• Делегирует различные функции администрирования, в том числе периодическую проверку неизбыточности прав.
• Обеспечивает регистрацию мобильных устройств для корпоративного использования, управление каталогом мобильных приложений и правами пользователей по использованию мобильных программ и данных.
• Доступны оперативные и архивные данные аудита прав и история принятия решений о предоставлении доступа к целевым системам.

Подробнее о продукте можно узнать на сайте разработчика.

 

 

 

SailPoint IdentityIQ

SailPoint IdentityIQ — это единое решение для централизованного управления жизненным циклом и правами учётных записей на основе ролевых моделей, политик и правил. Продукт также реализовывает контроль прав доступа на предмет соответствия корпоративной модели безопасности (аттестация и сертификация).

Решение обеспечивает управление соответствием требованиям по безопасности учётных данных для комплексной защиты идентификации.

 

Рисунок 12. Концептуальная схема решения SailPoint IdentityIQ

 

В своём составе система имеет функции машинного обучения для улучшения автоматизированных процессов. IdentityIQ обладает набором коннекторов для быстрой интеграции в инфраструктуру, а также гибкими возможностями по интеграции с различными бизнес-приложениями.

Особенности:

• Удобный пользовательский интерфейс, портал самообслуживания.
• Автоматизированная политика управления учётными данными и правами доступа.
• Есть анализ рисков, связанных с предоставлением прав доступа.
• Поддерживается единая точка авторизации пользователей бизнес-приложений с любого устройства и в любое время, а также управление мобильными приложениями и данными.
• Управление доступом как к локальным приложениям, так и к облачным средам.
• Централизованное хранение данных по учётным записям, возможность определения единых политик, ролей и рисковой модели для управления пользователями и ресурсами.
• Возможность масштабирования в соответствии с увеличением количества пользователей, приложений и бизнес-единиц.

Подробнее о продукте можно узнать на сайте разработчика.

Выводы

Стремительная трансформация отечественного рынка и отказ от иностранного программного обеспечения диктуют новые правила в том числе и для систем класса IdM / IGA.

При этом за последние несколько лет эти системы значительно расширили свои функциональные возможности для более тесной интеграции в том числе и с процессами внутри компаний. На первый план выходят сложность организационной структуры и потребность в управлении рисками, что выражается в риск-ориентированных моделях IGA и внедрении концепции SoD при управлении учётными данными.

Российский рынок получил дополнительный стимул для развития этого класса систем, в том числе и из-за ухода ряда именитых игроков. Несмотря на тот факт, что не все иностранные игроки заявили о своём уходе с российского рынка, большинство решений на текущий момент недоступны для отечественных компаний.