Обзор 1IDM, системы управления учетными записями и доступом

В статье рассматривается система управления учетными записями и доступом 1IDM, разработанная одноименной российской компанией. В материале представлены архитектура решения, его функциональные возможности и описание основных интерфейсов системы.

 

 

 

 

 

1. Введение

2. Архитектура 1IDM

3. Функциональные возможности 1IDM

4. Работа с 1IDM

5. Выводы

 

 

Введение

Российский рынок IdM/IAM-систем молодой, но активно развивающийся. На нем представлены как зарубежные продукты, так и отечественные. В наших статьях мы уже делали обзор популярных IdM/IAM-систем в контексте мирового и российского рынка («Обзор IdM/IAM-систем на мировом и российском рынке»), а также проводили детальное сравнение таких систем управления доступом («Сравнение систем управления доступом (IdM/IAM) 2015»). В 2015 году на российском рынке появился новый игрок, который представил решение, относящееся к классу IdM/IAM-систем. Название этого производителя  — 1IDM — прекрасно отражает направление его деятельности.

Продукт 1IDM — это комплексное интеллектуальное решение, предназначенное для автоматизации управления учетными записями и правами доступа пользователей в информационных системах, построения ролевых моделей, аудита имеющихся доступов, обработки электронных заявок на доступ и др. 1IDM создан на базе популярной в России платформы автоматизации 1С:Предприятие, провижининга OpenIDM и коннекторов OpenICF.

Здесь необходимо отметить, что использование системы 1С:Предприятие, у которой более миллиона инсталляций в России,  в качестве базовой платформы несомненно является отличительной особенностью продукта среди представителей IdM/IAM-систем на российском рынке.

1IDM оптимален для внедрения в организациях среднего и крупного бизнеса — как в компаниях с количеством сотрудников от 500 человек, так и в организациях с тысячами сотрудников и географически разнесенной сетью офисов и филиалов, при этом не существует требования к предварительному использованию платформы 1С:Предприятие заказчиком.

Компания 1IDM была основана группой профессионалов, выполнивших серию крупных IdM-проектов за последние несколько лет — у них возникла идея создания продукта, который бы отвечал требованиям российских реалий и менталитета, а также мог работать с отечественными кадровыми системами, что позволило бы намного быстрее интегрироваться в существующие у заказчика бизнес-процессы. Проанализировав лучшие мировые системы управления доступом, с учетом актуальных требований и реалий российского рынка IdM/IAM-решений и требований отраслевых регуляторов, специалисты компании разработали собственное IdM-решение.

Работа над созданием продукта велась около 2 лет, а кризисные явления и тема импортозамещения ускорили процесс разработки, в результате чего первый релиз работающей системы вышел в начале лета 2015 года.

 

Архитектура 1IDM

Система 1IDM представляет собой продукт, созданный на базе открытых платформ, и состоит из следующих компонентов:

  • модуль бизнес-логики и пользовательского интерфейса (реализован на базе 1С:Предприятие 8.3);
  • модуль управления взаимодействием с информационными системами — провижининг (реализован на базе OpenIDM);
  • модули интеграции с информационными системами — коннекторы (реализованы на базе OpenICF);
  • база данных;
  • консоль администратора и пользователей системы (веб-интерфейс).

Использование платформы автоматизации 1С:Предприятие и открытых платформ предоставляет следующие преимущества:

  • использование системы 1IDM на базе уже имеющейся у клиента платформы 1С:Предприятие — тем самым уменьшается стоимость внедрения и поддержки новой системы;
  • использование 1С:Предприятие позволяет на основе типовой конфигурации дорабатывать систему 1IDM под конкретного клиента;
  • использование открытых платформ дает возможность компаниям, использующим 1IDM, самостоятельно выбирать тип дальнейшего сопровождения системы — привлекать стороннего подрядчика или осуществлять сопровождение силами собственных ИТ-специалистов.

 

Рисунок 1. Архитектура решения

Архитектура решения

 

В состав продукта входит комплект штатных коннекторов к ключевым информационным системам (предоставляется без дополнительной платы). В случае отсутствия коннектора к какой-либо системе производитель предоставляет услуги по разработке коннекторов на заказ (ориентировочно разработка коннекторов занимает 3-5 дней):

  • для широко распространенных на российском рынке информационных систем разработка коннектора выполняется бесплатно;
  • для специфичных информационных систем услуга по разработке коннектора является платной.

Ниже приведен перечень штатных коннекторов к ключевым информационным системам:

  • Кадровые системы:
  • 1C:Предприятие 8 «ЗУП»;
  • 1C:Предприятие 8 «УПП»;
  • Oracle HR;
  • SAP HCM;
  • БОСС-Кадровик.
  • Каталоги и почтовые системы:
  • Microsoft Active Directory;
  • LDAP (Open LDAP, Zimbra LDAP и др.);
  • Microsoft Exchange;
  • IBM Lotus Notes/Domino.
  • ERP-системы и Порталы:
  • 1C:Предприятие 8;
  • SAP R/3;
  • Oracle EBS;
  • Microsoft SharePoint.
  • CRM-системы:
  • Oracle Siebel;
  • Microsoft Dynamics;
  • Salesforce.
  • Операционные системы:
  • Solaris;
  • Windows;
  • Linux;
  • IBM OS/400.
  • Универсальные коннекторы:
  • СУБД (Oracle, SQL Server, DB2 и др.);
  • File (CSV, XML и др.);
  • PowerShell;
  • WebServices (REST, SPML, SOAP, JSON).

Кроме того, система 1IDM содержит штатные модули интеграции с распространенными на российском рынке системами для поддержки технологии единого входа (SSO), формирования электронной подписи: Indeed ID, КриптоПро.

В системе реализованы веб-сервисы, с помощью которых возможно выполнить интеграцию с внешними системами согласования запросов и системами Service Desk.

 

Функциональные возможности 1IDM

1IDM представляет собой решение, предназначенное для автоматизации управления учетными записями и правами доступа пользователей в информационных системах, построения ролевых моделей, аудита имеющихся доступов, обработки электронных заявок на доступ и др. Кроме того, в системе реализованы контроль рисков прав доступа, управление привилегированными и сервисными учетными записями, модуль по анализу привилегий в информационных системах для автоматизированного создания бизнес-ролей.

Ниже приведены функциональные возможности 1IDM:

  • синхронизация с кадровыми и целевыми системами;
  • разработка своих коннекторов на языках программирования .NET и Java;
  • возможность интеграции с внешними системами для согласования заявок и с системами класса Service Desk;
  • наличие API для взаимодействия 1IDM и внешних (не целевых) систем через веб-сервисы и COM;
  • в состав продукта входит комплект штатных коннекторов к целевым системам;
  • системой предоставляются штатно реализованные бизнес-процессы (управление учетными записями пользователей, правами пользователей, организационной структурой, IdM-ролями);
  • синхронизация всех внутренних справочников 1IDM с внешними источниками осуществляется в автоматическом режиме;
  • управление правами доступа к целевой системе, для которой отсутствует прямое физическое подключение к 1IDM («отключенные» приложения);
  • настройка в один клик реакции на кадровые события по смене рабочего статуса пользователя, переводу в организационной структуре, смене ФИО;
  • поддерживается обработка нескольких одновременных кадровых назначений;
  • в системе поддерживается ролевая модель доступа (автоматическое назначение прав доступа пользователям на основании формальных признаков, таких как «тип пользователя», «место работы», «подразделение» и др.);
  • в системе поддерживается атрибутивная модель назначения прав доступа;
  • каталог прав доступа — поддержка типов доступа: учетная запись (в целевой системе), привилегия (конечное право доступа в целевой системе), бизнес-роль (бизнес-совокупность систем, привилегий и др. ролей); автоматическая синхронизация привилегий и информационных ресурсов из целевых систем с возможностью чтения только необходимых прав доступа; разграничение видимости прав для различных групп пользователей и т. д.;
  • поддерживается работа с несколькими учетными записями для одного пользователя;
  • в системе реализован контроль рисков, при котором выполняется расчет показателя риска на основе анализа прав доступа пользователей, их принадлежности к подразделениям, SoD-матрице, правам, для которых не был проведен плановый пересмотр;
  • настройка бизнес-процессов согласования заявки;
  • поддерживаются заявки на временный доступ к привилегированным учетным записям;
  • поддержка ЭП для подписи запросов согласующими лицами;
  • в состав системы входят штатные функциональные роли («Пользователь», «Руководитель», «Владелец роли», «Сотрудник ИБ»), а также существует возможность конфигурирования своих ролей без программирования;
  • поддержка механизмов аутентификации на основании внутреннего логина/пароля пользователя в 1IDM, Kerberos-аутентификации;
  • система отчетности, содержащая, в том числе, историю обработки всех заявок и историю изменения доступов пользователей (реализована штатная возможность создания новых отчетов без программирования);
  • выполнение аудита учетных записей и прав доступа пользователей в целевых системах с возможностью автоматической либо ручной обработки обнаруженных расхождений в 1IDM;
  • в системе поддерживаются оповещения по событиям через e-mail и SMS (например, «Создание пользователя», «Создание заявки на согласование»);
  • для конечных пользователей системы предоставляется «Модуль самообслуживания пользователей».

 

Работа с 1IDM

Работа с системой 1IDM начинается с главной страницы, где содержится информация и элементы управления, к которым пользователи обращаются чаще других. Содержание начальной страницы может настраиваться в соответствии с потребностями заказчика.

 

Рисунок 2. Начальная страница 1IDM

Начальная страница 1IDM

 

Интерфейс системы 1IDM предоставляет пользователю для работы следующее меню:

  • «Главное»;
  • «Пользователи»;
  • «Права и ресурсы»;
  • «Запросы»;
  • «Отчеты»;
  • «Администрирование».

Меню «Пользователи» предназначено для управления информацией о компаниях, организационной структуре и пользователями.

 

Рисунок 3. Управление пользователями в 1IDM

Управление пользователями в 1IDM

 

В карточке каждого пользователя содержится персональная информация о нем, месте его работы, информация о правах, учетных записях и ролях, предоставленных ему в информационных системах предприятия, а также информация о делегировании полномочий. При необходимости список атрибутов может быть изменен.

 

Рисунок 4. Карточка пользователя в 1IDM

Карточка пользователя в 1IDM

 

Для управления правами доступа используется меню «Права и ресурсы», в котором есть каталог, содержащий информацию обо всех приложениях, правах и ролях, доступных в системе. Также здесь настраивается работа с информационными ресурсами (например, сетевыми папками), правила ролевой модели, запрос доступа к привилегированным учетным записям и доступен список всех учетных записей, зарегистрированных в системе.

 

Рисунок 5. Каталог прав 1IDM

Каталог прав 1IDM

 

Создание и обработка запросов на предоставление и изменение прав осуществляется в меню «Запросы». Здесь для пользователя доступна информация обо всех его созданных запросах, информация о запросах, требующих его согласования, а также настраиваются маршруты согласования запросов и логика обработки кадровых событий.

 

Рисунок 6. Работа с запросами в 1IDM

Работа с запросами в 1IDM

 

В меню «Отчеты» можно построить отчеты по истории заявок, истории изменения прав доступа пользователей, по использованию привилегированных учетных записей и т. д.

 

Рисунок 7. Отчеты в 1IDM

Отчеты в 1IDM

 

Меню «Администрирование» предоставляет функции для настройки, обслуживания и мониторинга состояния системы.

 

Рисунок 8. Администрирование 1IDM

Администрирование 1IDM

 

Выводы

В данном кратком обзоре мы познакомились с новой системой управления учетными записями и доступом 1IDM. Эта разработка отечественного производителя обладает следующими ключевыми преимуществами:

  • российское IdM/IAM-решение;
  • открытый исходный код компонентов;
  • реализация на базе открытых платформ и тесная интеграция с 1C:Предприятие;
  • необходимый функционал доступен из коробки (производитель заявляет минимальное программирование при внедрении);
  • обширные возможности по настройке системы;
  • быстрый и удобный веб-интерфейс;
  • доступность внедрения и сопровождения;
  • интеграция со сторонними продуктами по информационной безопасности (Indeed ID, КриптоПро).

Как видно из приведенного обзора, в системе реализовано большинство основных функций, которые сегодня требуются от IdM/IAM-систем (отличия от существующих продуктов, конечно же, имеются, но в данной статье детальное сравнение не предполагается). Из явно видимых недостатков в настоящее время можно выделить следующие:

  • имеются ограничения по кастомизации (в веб-интерфейсе нельзя отобразить логотип клиента, присутствуют элементы, относящиеся к системе 1С, которые нельзя скрыть, и т. д.), при этом система легко может быть интегрирована в имеющийся корпоративный портал;
  • отсутствует возможность согласовать или отклонить несколько запросов прав за раз, но в одном запросе могут быть запрошены различные права для нескольких пользователей, и согласование может быть частичным;
  • отсутствие у продукта сертификации по требованиям ФСТЭК России (это может являться существенным ограничением при использовании продукта в организациях государственного сектора и во многих частных компаниях).

В целом, система 1IDM представляет собой довольно мощный набор инструментов для автоматизации управления учетными записями и правами пользователей в информационных системах. Хотя решение находится в начале своего развития, по нашей оценке, оно уже является достойным представителем российских продуктов в классе IdM/IAM-решений.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.