Сравнение систем управления доступом (IdM/IAM) 2016

Сравнение систем управления доступом (IdM/IAM)  2016

Дополнительная вторая часть детального сравнения систем управления доступом (IdM/IAM), подготовленная специалистами Anti-Malware.ru. В ней проанализирован продукт российской 1IDM, зарубежных компаний Dell и SailPoint. В результате сравнения эти системы могут быть без труда сопоставлены с другими конкурентами, рассмотренными в аналогичном сравнении годом ранее. Сравнение поможет потенциальным покупателям сориентироваться в функциональности представленных на российском рынке IdM-систем.

 

 

 

1. Введение

2. Методология сравнения IdM-систем

3. Сравнение IdM-систем

3.1. Общие сведения

3.2. Архитектура решения

3.3. Системные требования (минимальные значения)

3.4. Коннекторы

3.5. Разработка коннекторов

3.6. Функциональные роли IDM

3.7. Общие функциональные возможности

3.8. Управление учетными записями

3.9. Управление правами доступа

3.10. Управление заявками

3.11. Отчетность

3.12. Аудит учетных записей и прав доступа

3.13. Управление рисками

3.14. Производительность и отказоустойчивость

3.15. Дополнительные возможности

3.16. Лицензирование

 

 

Введение

Как мы уже писали в первой части «Сравнения систем управления доступом (IdM/IAM) — 2015», аббревиатура IdM (Identity Management) переводится как «система управления учетными или идентификационными данными». Однако под этим термином чаще подразумеваются гораздо более мощные системы, которые способны сами управлять доступом, т. е. системы IAM (Identity and Access Management). С учетом, что ранее мы придерживались аббревиатуры IdM, в данной статье мы также будем использовать это наименование (IdM-система).

Главной задачей IdM-систем является централизованное управление идентификационными данными, учетными записями и правами на доступ к информационным ресурсам. В основном решения данного класса были предназначены для крупных компаний и направлены на автоматизацию взаимодействия различных подразделений компании (кадровые службы, ИТ-подразделения, ИБ-подразделения и др.). Но в настоящее время наблюдается выход решений этого класса на более широкий рынок пользователей, который включает в себя, помимо крупных, компании поменьше.

При выборе решения неизбежно возникают вопросы. Чем принципиально отличаются между собой решения? На что ориентироваться при выборе IdM-системы? Как выбрать наиболее подходящее решение для вашей компании? К сожалению, универсального решения сегодня нет. В целом, относить IdM-системы к классу «коробочных продуктов», по нашему мнению, неправильно (в силу их сложности и многообразия решаемых ими задач). Именно поэтому важно понимать, чем один продукт отличается от другого.
Данное сравнение следует рассматривать как базисное, дополняющее предыдущее. Во всех тонкостях работы IdM-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой.

Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к боевым, что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.

 

Методология сравнения IdM-систем

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: от глубины исследования, а также степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.

Следуя этому принципу, мы отобрали более 100 критериев, сравнение по которым упростит выбор IdM-системы. К некоторым из критериев были добавлены пояснения. Кроме того, в данное сравнение были добавлены новые критерии (соответственно, ответы по добавленным критериям описаны только для IdM-систем, представленных в настоящей статье).

Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общие сведения
  2. Архитектура решения
  3. Системные требования (минимальные значения)
  4. Коннекторы
  5. Разработка коннекторов
  6. Функциональные роли IdM
  7. Общие функциональные возможности
  8. Управление учетными записями
  9. Управление правами доступа
  10. Управление заявками
  11. Отчетность
  12. Аудит учетных записей и прав доступа
  13. Управление рисками
  14. Производительность и отказоустойчивость
  15. Дополнительные возможности

В сравнении с первой частью сравнения список критериев сравнения был дополнен с учетом особенностей новых IdM-систем. В частности добавлены следующие критерии:

  1. Возможность размещения всех компонентов системы на одном сервере-приложений.
  2. Наличие оптимизированного интерфейса для мобильных устройств.
  3. Возможность проводить обновление системы в продуктивной среде поверх существующего решения без его переустановки.
  4. Возможность задания соблюдения политик по консистентности данных (наличие менеджеров департамента, корректность заполнения данных по сотруднику и т.д.).
  5. Возможность одновременной поддержки нескольких доверенных источников данных.
  6. Поддержка нескольких учетных записей для одного пользователя в одном приложении.
  7. Возможность настройки правил запрета совмещения доступа (Segregation of Duties – SOD).
  8. Превентивная проверка и выявление несовместимых комбинаций полномочий при заведении заявки (по матрицам SoD).
  9. Блок критериев «Управление рисками»:
    1. оценка рисков, основанных на выданном сотруднику доступе;
    2. карта рисков доступа в виде графического отчета;
    3. возможность редактирования правил расчета рисков через портал самообслуживания;
    4. возможность автоматического запуска процессов реатестации доступа\блокировки пользователя по достижению определенных уровней риска.
  10. Возможность первоначальной автоматизированной массовой загрузки и переносов объектов из разных сред системы (среды разработки, тестовой, продуктивной): учетных записей, коннекторов, приложений, ролей, матрицы SOD с возможностью конфигурировать параметры для различных сред.
  11. Возможность изменения интерфейса системы штатными средствами.

Во второй части сравнения мы рассмотрели три новых IdM-системы, которые заявили о себе на российском рынке сравнительно недавно, и которые, по мнению наших читателей, были незаслуженно забыты в предыдущем сравнении:

Российское решение:

  1. 1IDM 1.6.11

Зарубежные решения:

  1. SailPoint Identity IQ 7.1
  2. Dell One Identity Manager 7.0.2

Все производители перечисленных выше IdM-систем активно участвовали в доработке списка критериев сравнения и помогали со сбором необходимой информации.

В приведенном сравнении IdM-систем мы не делали их итогового ранжирования. Также здесь отображены только три новых решения, с рассмотренными ранее можно ознакомиться в статье «Сравнение систем управления доступом (IdM/IAM) — 2015». Мы надеемся, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из IdM-систем наиболее подходит для его целей. Ведь в каждом конкретном случае потенциальный заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

 

Сравнение IdM-систем

Общие сведения

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Компания-вендор ООО «Один Айдиэм» SailPoint Technologies, Inc. Dell Software
Целевой сегмент Крупный, средний и малый бизнес, госсектор Крупный и средний бизнес Крупный и средний бизнес (от 500 пользователей)
Штаб-квартира Россия, Москва США, Техас, Остин США, Калифорния, Алисо-Вьехо
Веб-сайт www.1idm.ru www.sailpoint.com https://software.dell.com/products/identity-manager/ 
Лицензии Нет Нет Нет
Сертификаты Нет (планируется в 2017 году) Нет Нет (планируется в 1 квартале 2017 года)
Услуги Техническая поддержка, разработка коннекторов, помощь партнерам во внедрении, обучение Помощь партнерам во внедрении, консалтинг, обучение, различные варианты технической поддержки Техническая поддержка базовая, критичная 24/7 или премьер с персональным инженером; помощь партнерам во внедрении; курсы обучения для партнеров и заказчиков; бесплатные пилоты
Сроки внедрения В среднем 3-4 месяца В среднем от 3 до 10 месяцев в зависимости от количества подключаемых систем, настраиваемых бизнесс-процессов и требуемых функций От 2 месяцев до 1 года в зависимости от набора задач 
Сравниваемые версии 1IDM 1.6.11 SailPoint Identity IQ 7.1 Dell One Identity Manager  7.0.2
Интерфейс (язык) Русский Английский, русская локализация под клиента (присутствует партнерский перевод) и еще 8 групп языков Русский, английский и еще 12 языков
Соответсвие требованиям законодательных актов и регуляторов в области ИБ Соответствие требованиям 152-ФЗ, руководящих документов ФСТЭК России и ФСБ, отраслевых стандартов СТО БР ИББС-1.0-2014, PCI DSS, ISO 27001 Соответствие требованиям 152-ФЗ, СТО БР ИББС, PCI DSS в части управления и аудита УЗ и доступов Соответствие требованиям ISO 27001, ISO 27002, PCI DSS, 152-ФЗ, SOX и других отраслевых стандартов
Крупнейшее из известных внедрений (только со ссылкой на пресс-релиз) Информация не разглашается Информация по проектам в России не разглашается, более 600 клиентов по всему миру «Ренессанс Кредит» (пресс-релиз в работе). Более 10 проектов в России, более 6000 тыс. проектов по всему миру

 

Архитектура решения

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Сервер IdM Да Да Да
База данных IdM Да Да Да
Коннекторы (количество) Более 10 к доверенным источникам информации, более 20 к целевым системам Более 95 коннекторов Более 30 коннекторов
Консоль администратора Да (веб-интерфейс) Да (единый веб-интерфейс для всех пользователей системы) Да (толстый/тонкий клиент)
Консоль пользователей (администратор безопасности, владелец ресурса, сотрудник и др.) Да (веб-интерфейс) Да (единый веб-интерфейс для всех пользователей системы) Да (веб-интерфейс с адаптацией под любое устройство)
Другие компоненты системы Веб-сервер, сервер приложений на базе «1С: Предприятие», служба управления адаптерами для связи с управляемыми информационными системами на базе технологии ICF (Identity Connector Framework) (Java и .NET) Сервисы взаимодействия с информационными системами, инструменты загрузки ролевой модели, матрицы соответствий SoD, импорта/экспорта, консольная утилита для администрирования системы, позволяющая эффективно производить массовые операции над объектами, и прочие функции, представленные в веб-интерфейсе.  Возможность расширения базового функционала системы с помощью фреймворка плагинов и парнерских разработок https://www.sailpoint.com/partners/technology-partners/ В составе системы более 30 приложений, в том числе: сервисы (или daemon) коннекторов, консоль разработчика, консоль создания ролевой модели на основе текущих прав пользователей, консоль настройки проектов синхронизации
Возможность размещения всех компонентов системы на одном сервере приложений Да Да Да

 

Системные требования (минимальные значения)

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Требования к аппаратному обеспечению для серверной части Сервер
CPU: 2 ядра Intel Xeon с частотой не менее 2 ГГц;
RAM: не менее 8 ГБ;
HDD: 60 ГБ
Сервер
CPU: 2 ядра Intel Xeon с частотой не менее 2 ГГц;
RAM: не менее 8 ГБ;
HDD: 60 Гб
Сервер IdM
CPU: 8 ядер с частотой не менее 2.5 ГГц;
RAM: 16 GB;
HDD: 40 GB.
Web-сервер:
CPU: 4 ядра с частотой не менее 1.65 ГГц;
RAM: не менее 4 ГБ;
YDD: 40 ГБ.
СУБД:
CPU: 8 ядер с частотой не менее 2.5 ГГц;
RAM: не менее 16 ГБ;
HDD: 100 ГБ
Требования к аппаратному обеспечению для клиентской части Особых требований не предъявляется Особых требований не предъявляется Особых требований не предъявляется
Требования к программному обеспечению для серверной части

Сервер IdM
Windows 2008 R2 и выше, Red Hat Enterprise Linux 6 (UL1+) и выше, SUSE 11 и выше, CentOS Linux 6 и выше
Web-сервер:
Microsoft IIS 7.5 и выше, Apache 2.2 и выше
СУБД:
Microsoft SQL Server 2008 SP1 и выше, Oracle Database 11gR1 (версия не ниже 11.1.0.7.0), Oracle Database 11gR2 (версия не ниже 11.2.0.3), PostgreSQL 8.1.5 и выше, IBM DB2 9.1 и выше

Сервер IdM
ОС: Windows Server 2008 R2/2012 R2;
Red Hat Enterprise Linux 7.0/7.1;
SuSE Linux Enterprise Server 10/11;
Solaris 10/11;
IBM AIX 6.1/7.1
Web-сервер:
Apache Tomcat 7/8;
Oracle WebLogic 11g/12c;
IBM WebSphere 8.5.0/8.5.5;
JBoss Application Server 7.3/7.4
СУБД:
Microsoft SQL Server 2012/2014; MySQL 5.6;
Oracle 11g R1/R2/12c;
IBM DB2 9.7/10.5
Java:
Sun, Oracle, IBM JDK 7/8
Сервер IdM:
Windows Server 2008 (x64) SP 2 и выше;
SUSE Enterprise Server 10
Web-сервер:
Windows Server 2008 (x64) SP 2 и выше;
Microsoft IIS 7 и выше, Apache HTTP Server 2.0/2.2
СУБД:
Windows Server 2008 (x64) SP 2 и выше;
Oracle Database 12c и выше;
Microsoft SQL Server 2012 SP 1 и выше
Требования к программному обеспечению  для клиентской части Браузеры: Microsoft Internet Explorer 8.0 и выше, Google Chrome, Mozilla Firefox 24 и выше, Safari 4 и выше Браузеры: Microsoft Internet Explorer 10/11, Mozilla Firefox 38+, Safari 9, Google Chrome 46+ Браузеры: Microsoft Internet Explorer 9.0 и выше, Mozilla Firefox, Google Chrome, Microsoft Edge
Требования к межсетевому взаимодействию Протокол TCP/IP Протокол TCP/IP Протокол TCP/IP
Наличие оптимизированного интерфейса для мобильных устройств  Да (весь интерфейс оптимизирован для работы на мобильных устройствах) Да (планшет, смартфон, ноутбук с сенсорным  экраном) Да
Возможность установки IdM на виртуальных машинах Да Да Да
Возможность проводить обновление системы в продуктивной среде поверх существующего решения без его переустановки  Да (посредством механизма сравнения и объединения конфигураций) Да Да

 

Коннекторы

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Коннекторы к доверенным источникам 1С ЗУП 2.5, 1С ЗУП 3, 1С УПП, Oracle HR, «Босс-Кадровик» SAP HR/HCM, Oracle HRMS, PeopleSoft HCM. Универсальные коннекторы — Database Table/SQL View, Delimited Flat File, LDIF, XML, Rule Based, Logical Connector, «1С: Предприятие» (партнерская разработка), EMC Documentum (партнерская разработка), возможность настройки любого приложения  в качестве доверенного источника Любая подключенная система может использоваться в качестве доверенного источника
Коннекторы к целевым системам: ОС Windows, Linux (Ubuntu, Red Hat), Solaris, AIX IBM Windows, Unix, Linux, Solaris, AIX, IBM I Windows, Unix, Linux, RACF, IBM I, CA Top Secret, CA ACF2
Коннекторы к целевым системам: СУБД Microsoft SQL Server, Oracle DB, PostgreSQL, MySQL Microsoft SQL Server, Oracle DB, IBM DB2, Sybase, универсальный JDBC-коннектор  Microsoft SQL Server, Oracle DB, SQLite, MySQL, DB2, CData ADO.NET Provider
Коннекторы к целевым системам: ППО Office356, SharePoint Microsoft Project Server, Siebel CRM, BMC Remedy Service Desk, Google Apps, Dropbox, Salesforce, RACF, Amazon Web Services, CyberArk, Tivoli Access Manager Microsoft SharePoint
Коннекторы к целевым системам: почтовые сервисы Microsoft Exchange, IBM Lotus Notes/Domino Microsoft Exchange, IBM Lotus Notes/Domino Microsoft Exchange, Lotus Notes/Domino
Коннекторы к целевым системам: PKI Нет RSA, Authentication Manager Партнерские разработки — коннектор к УЦ CryptoPro 
Коннекторы к целевым системам: хранилище данных SAP Dropbox, Google Drive Microsoft SharePoint, DFS, NetAPP, EMC, SAP
Коннекторы к целевым системам: СЭД EMC Documentum, «1С: Документооборот» Microsoft SharePoint, Microsoft SharePoint Online, Lotus Notes/Domino Нет
Коннекторы к целевым системам: веб-сервисы REST, JSON, SPML, SOAP SCIM, REST, SPML, SOAP, JSON SOAP, REST, WCF
Коннекторы к целевым системам: СКУД Нет Нет Нет
Коннекторы к целевым системам: ERP SAP, 1С (любые конфигурации), Oracle EBS SAP R/3, Oracle EBS, NetSuite, «1С: Предприятие» (партнерская разработка) SAP Web Application Server, SAP NetWeaver Application Server
Коннекторы к целевым системам: другие Microsoft Active Directory, LDAP, PowerShell, CSV, Liferay Portal, GitLab server, Azure Active Directory, IndeedID SSO Microsoft Active Directory, Microsoft  Azure Active Directory/ Office 365, SAP Portal, Oracle Identity Manager, Microsoft Forefront Identity Manager, Sun Identity Manager, Novell Identity Manager, IBM Tivoli Provisioning,  ServiceNow, BMC Remedy Service Desk, HPSM Microsoft Active Directory, Windows PowerShell , Generic LDAP, коннектор к текстовым файлам с разделителями

 

Разработка коннекторов

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Разработка производителем коннекторов на заказ Да Да Да
Среда для самостоятельной разработки коннекторов (SDK) Да (1С, Java SDK, .NET SDK) Да (фабрика коннекторов — инструментарий разработки коннекторов и Java SDK Open Connector; входит в комплект поставки) Да (входит в комплект поставки, ADO .Net)

 

Функциональные роли IDM

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Администратор системы Да Да Да
Администратор безопасности Да Да Да
Администратор учетных записей Да Да Да
Администратор ресурса Да Да (можно добавить как атрибут ресурса/приложения) Да
Администратор ролей (включает в себя все роли) Да Да Да
Сотрудник службы поддержки Да Да Да
Владелец ресурса Да Да Да
Владелец роли Да Да Да
Линейный руководитель Да Да Да
Сотрудник Да Да Да
Возможность настройки функциональных ролей Да (возможность настройки необходимых ролей в процессе внедрения) Да (возможность конфигурирования  любых новых типов ролей) Да
Другие роли Нет Аудитор, Администратор пакетных запросов, Администратор сертификации, Специалист по надзору за нормативно-правовым соответствием, Администратор правил, Администратор управления свойствами атрибутов, Администратор прав, Администратор запросов, Администратор ИТ-роли, Администратор организационных ролей, Администратор паролей, Администратор политик SOD, Администратор завершения жизненного цикла учетной записи, Наблюдатель результата выполнения задач, SCIM-исполнитель, Исполнитель веб-служб (WebService), Администратор рабочей группы, Администратор различных элементов работ, Менеджер доступа, Администратор заведения различных форм, Администратор системного протоколирования и другие (более 30 ролей) Более 30 предустановленных ролей

 

Общие функциональные возможности

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Автоматический запуск рабочих процессов по событиям доверенного источника (учет кадровых событий) Да Да Да
Создание собственных правил, позволяющих производить дополнительные вычисления и выполнять обращения к внешним источникам данных Да Да Да
Настройка организационной структуры предприятия (автоматическая, ручная) Да (автоматическая, ручная) Да Да
Настройка рабочих процессов (включая согласование и автоматическое создание, изменение, удаление учетных записей/ролей/ресурсов/оргструктуры) Да (включая согласование и автоматическое создание, изменение, удаление учетных записей/ролей/оргструктуры) Да (включая согласование и автоматическое создание, изменение, удаление учетных записей/ролей/оргструктуры) Да
Настройка отображаемых форм (карточки заявки/сотрудника/роли/ресурса/подразделения) Да (карточки заявки/сотрудника/роли/
ресурса/подразделения)
Да (карточки заявки/сотрудника/роли/ресурса/подразделения) Да (настройка любых отображаемых форм на основе имеющихся данных)
Возможность расширения атрибутов объектов ИС (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений) Да (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений) Да (атрибуты карточки сотрудника, атрибуты роли, атрибуты подразделений, атрибуты приложения) Да
Возможность задания соблюдения политик по консистентности данных (наличие менеджеров департамента, корректность заполнения данных по сотруднику и т. д.) Да (посредством проверок корректности ручного ввода) Да (с помощью создания правил проверки консистентности) Да (настройка проверки корректности заполнения любых данных в системе)
Проверка отсутствия ответственных за участие в бизнес-процессах Да (например, при отсутствии ответственного можно настроить бизнес-процесс для выбора других лиц и произвести уведомление) Да (с помощью создания соответствующего правила) Да (с возможностью выбора новых ответственных в рамках автоматически запускаемых процедур согласования)
Поддержка Kerberos-аутентификации (в различные консоли продукта) Да Да Да (по привязанной к сотруднику учетной записи)
Обеспечение синхронизации данных  между несколькими источниками Да Да Да
Возможность одновременной поддержки нескольких доверенных источников данных Да Да Да

 

Управление учетными записями

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Создание учетных записей Да Да Да
Поддержка нескольких учетных записей для одного пользователя в одном приложении  Да Да Да
Внесение изменений в учетные записи Да Да Да
Настройка правил заполнения атрибутов учетных записей Да Да Да
Блокировка/удаление учетных записей Да Да Да
Возможность автоматизации управления учетными записями Да Да Да
Возможность ручного управления учетными записями Да Да Да
Настройка сценариев действий с учетными записями при определенных условиях (увольнение, отпуск и т. д.) Да Да Да
Централизованное хранение учетных записей Да Да Да
Возможность устанавливать взаимозавимости между учетными записями в различных целевых системах Да Да Да
Возможность автоматического связывания учетных записей с сотрудниками по правилам Да Да Да
Возможность настройки правил генерации паролей для каждой целевой системы Да Да Да

 

Управление правами доступа

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Ролевая модель доступа (автоматическое построение) Нет Да Да
Ролевая модель доступа (ручное построение) Да Да Да
Атрибутная модель прав доступа Да Да Да
Управление типовым доступом подразделения Да Да Да
Ресертификация ролей (процесс актуализации ролей) Нет Да Да
Сертификация/аттестация прав доступа Да Да Да
Просмотр информации по правам доступа Да Да Да
Наличие фильтра для просмотра информации по правам доступа Да Да Да
Автоматическое изменение прав доступа по заявкам Да Да Да
Ручное изменение прав доступа по заявкам Да (есть возможность интегрироваться с целевой системой только на чтение, когда операции в ИС выполняются администратором вручную, а система проверяет произведенные действия) Да Да
Наличие у роли атрибута, определяющего автоматическое и ручное назначение роли Да Да Да
Предоставление роли/прав на заданный период времени Да Да Да (с возможностью изменения на этапе согласования)
Возможность настройки правил запрета совмещения доступа (Segregation of Duties) Да Да Да
Управление правами доступа к целевой системе, для которой отсутствует прямое физическое подключение к IdM Да (создание заявки на исполнение администратором целевой системы в 1IDM либо в системе Service Desk) Да (создание заявки на исполнение администратором целевой системы в SailPoint Identity IQ с почтовым уведомлением, передача заявки в службу технической поддержки или постановка ручной задачи (WorkItem)) Да (создание заявки на исполнение администратором целевой системы или передача заявки в Service Desk с последующим мониторингом ее исполнения)

 

Управление заявками

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Создание заявок (для одного пользователя) Да Да Да
Создание заявок (для нескольких пользователей) Да Да Да
Создание заявок (на несколько прав для нескольких пользователей) Да Да Да
Содание заявки по образцу Да (есть шаблонные наборы прав, есть возможность запросить права «как у другого сотрудника») Да (можно выдавать доступы «как у другого сотрудника» \ «как у группы сотрудников»), в различных разрезах (организационных, функциональных, территориальных и др.) Да
Создание заявки сотрудником Да Да Да
Создание заявки руководителем Да Да Да
Создание заявки администратором IdM Да Да Да
Импорт заявок из внешних систем Да (доступны программные интерфейсы для интеграции) Да (готовые коннекторы к BMC Remedy, ServiceNow, HPSM, а также программные интерфейсы для интеграции SCIM, REST ) Да (доступны программные интерфейсы для интеграции)
Согласование заявок (последовательное, параллельное) Да (последовательное, параллельное) Да (последовательное, параллельное) Да (последовательное, параллельное)
Возможность согласовать или отколнить несколько заявок за раз Нет Да Да
Возможность согласования отдельных прав доступа внутри одной заявки Да Да Да
Просмотр заявок Да Да Да
Ограничение видимости заявок (необходимо для согласования владельцами ресурсов, чтобы они не видели не свои ресурсы в заявке) Да Да Да
Внесение изменений (уточнений) в заявку при согласовании Да (изменение срока действия) Да Да
Группирование заявок по согласующим лицам Да Да Да
Делегирование права согласования (автоматическое, ручное) Да (автоматическое, ручное) Да (автоматическое, ручное) Да (автоматическое, ручное)
Cогласование заявок средствами внешних систем документооборота Да Да Да
Использование ЭП при создании и согласовании заявок Да Да Да (дополнительная аутентификация через Oauth)
Автоматическое исполнение заявок Да Да Да
Ручное исполнение заявок Да Да Да
Настройка бизнес-процессов согласования заявки Да Да Да (в графическом интерфейсе)
Составление принудительного списка согласующих лиц Да Да Да
Настройка регламента сроков согласования заявки Да Да Да (по рабочим часам, с учетом территориального распределения)
Контроль исполнения заявок Да Да Да
Настройка оповещений по электронной почте — по какому событию и каким получателям отправляются Да (e-mail, SMS, возможность добавления типов транспорта — по любому действию) Да (e-mail — по любому действию) Да (e-mail — по любому действию с заявкой)

 

Отчетность

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Построение отчетов Да Да Да
Типы отчетов Отчеты по правам доступа пользователя (какие у данного пользователя права, в каких целевых системах, на основании чего выданы), с возможностью постройки отчета на указанную дату или период времени.

Отчеты по истории обработанных заявок (которые данный пользователь создал, либо в обработке которых принимал участие).

Отчеты по истории доступа к привилегированным учетным записям
Более 100 отчетов по группам:
административные отчеты;
отчет о конфликтах политик безопасности;
отчеты по процессу;
отчеты по сертификации прав доступа;
отчеты о привилегиях и полномочиях в системах;
отчеты о identity;
отчеты по ролям и управлению ролями;
отчеты о приложениях;
отчеты о ресурсах;
отчеты по рискам;
отчеты об учетных записях и пользователях;
отчеты о привилегиях учетных записей;
отчеты по привилегированному доступу;
отчеты по непривязанным учетным записям к Identity;
отчет о статусах запросов прав доступа;
отчет о статусах запросов учетных записей;
отчет о запросах на управление паролями;
отчет о состоянии рабочих задач;
отчеты об активности пользователей;
отчеты по правам доступа пользователя;
отчеты по истории обработанных заявок;
отчеты по истории доступа к привилегированным учетным записям;
и др.
Более 100 отчетов, соответствующих основным стандартам IT-аудита
Отображение отчетов (веб-страница, экспорт в файл, печать) Веб-страница, экспорт в файл (Excel, PDF и другие), печать, отправка отчетов по расписанию по e-mail Веб-страница, экспорт в файл (PDF,CSV), печать Веб-страница, экспорт в файл (Excel, PDF и другие), печать, получение по e-mail по индивидуальному расписанию
Пользователь имеет возможность задать свою форму отчета Да Да (также может на основе существующего шаблона сделать отчет для себя) Да (с использованием инструмента для создания любых собственных отчетов), возможность выгрузить как отчет любое представление портала самообслуживания
Разработка производителем форм отчетов на заказ Да Да Да
Отчеты в виде таблиц Да Да Да
Графические отчеты Да Да Да (для отображения в портале самообслуживания с поддержкой динамических переходов к объектам)
Наличие фильтров для отбора информации при формировании отчетов Да Да Да (также настройка подписок на отчеты по расписанию)
Отчеты о состоянии прав на определенную дату в прошлом (Snapshot) Да Да Да (возможность сделать отчеты с исторической информацией по любому объекту в системе — смена фамилии, преименование групп и т. д.)

 

Аудит учетных записей и прав доступа

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Автоматизированный аудит прав доступа Да Да Да
Аудит прав доступа и различных событий по предоставлению прав доступа, выполняемый администратором Да Да Да
Автоматическое обнаружение несогласованных полномочий Да Да Да
Превентивная проверка и выявление несовместимых комбинаций полномочий при заведении заявки (по матрицам SoD)  Да Да Да
Уведомление ответственных лиц о несоответствии Да Да Да
Автоматическое исправление несоответствия Да Да Да
Возможность пересмотра учетных записей пользователей по событию Да Да Да
Возможность пересмотра учетных записей пользователей по расписанию Да Да Да
Проверка наличия «мертвых» учетных записей и возможность их блокировки в автоматическом и ручном режиме Да (блокировка в ручном режиме) Да Да

 

Управление рисками

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Оценка рисков, основанных на выданном сотруднику доступе Да (расчет показателя риска выполняется на основе анализа прав доступа пользователей, их принадлежности к подразделениям, SoD-матрице, правам, для которых не был проведен плановый пересмотр) Да (динамическая модель рисков, учитываются привилегии, проведенные сертификации, их
возраст, нарушение политик SOD и прочее)
Да
Карта рисков доступа в виде графического отчета Нет Да Да (с динамическими переходами к объектам риска)
Возможность редактирования правил расчета рисков через портал самообслуживания Да Да Да (как вручную, так и автоматически)
Возможность автоматического запуска процессов реаттестации доступа \ блокировки пользователя по достижению определенных уровней риска Да (выборку пользователей можно производить по уровню риска) Да Да (возможность запуска любых необходимых бизнес-процессов)

 

 

Производительность и отказоустойчивость

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Масштабируемость системы (по производительности и объему обрабатываемой информации) Возможна кластеризация сервера приложений, СУБД, размещение сервера коннекторов на отдельных хостах. Возможно определение функциональных назначений узлов кластера сервера приложений (например, выделенный сервер для обработки фоновых задач или запросов пользователей) Кластеризация компонентов системы, возможность разделять сервера для веб-интерфейса и обработки задач Возможна кластеризация всех компонентов решений. Масштабирование нагрузки путем создания отдельных сервисов-коннекторов для систем
Возможности резервирования Путем использования стандартных механизмов работы с базами данных Путем использования стандартных механизмов работы с базами данных Путем использования стандартных механизмов работы с базами данных

 

Дополнительные возможности

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Наличие собственных дополнительных модулей безопасности Нет SecurityIQ: Комплексное решение по управлению и контролю доступа к неструктурированным данным (Data Access Governance) Наличие собственных дополнительных модулей безопасности
Data Governance Edition (DGE) — модуль для комплексного управления доступом к неструктурированным данным. WebSSO  — решение по управлению доступом к приложениям на основе технологии reverse proxy. ESSO — система единой точки входа для всех приложений. TPAM — решение по контролю за действиями привилегированных пользователей, запись сессий и хранилище административных паролей. PAS4U — AD-интеграция для UNIX/LINUX/MAC. Defender — двухфакторная аутентификация на базе программных или аппаратных токенов. ChangeAuditor — аудит AD и других ключевых систем в режиме реального времени, запрет на прямые изменения в целевых системах в режиме онлайн. Кроме того, штатные инструменты шифрования БД, модуль авторизации, поддерживается протокол Oauth для взаимодействия с внешними организациями
Интеграция со сторонними системами безопасности SSO, SIEM, PKI, GRC и др. SSO, SIEM, PKI, MDM, GRC и др. Средства дополнительной аутентификации (через Oauth, через любой CA), One Identity Password Manager
Поддержка интеграции с приложениями сторонних производителей (в том числе SAP, PeopleSoft и Siebel), а также поддержка нескольких каталогов и баз данных пользователей (Oracle WebLogic Server и Microsoft SharePoint) Да Да Да
Поддержка облачных приложений, таких как IBM LotusLive ™, Salesforce.com и приложений Google за счет использования открытых стандартов, как SAML, Liberty, WS-Federation, WS-Security, WS-Trust, OpenID и Oauth Да (включая Salesforce, Google Apps) Да Да
Обеспечение интеграции и аутентификации с открытыми интерфейсами прикладного программирования (API) Да Да Да
Возможность первоначальной автоматизированной массовой загрузки и переносов объектов из разных сред системы (среды разработки, тестовой, продуктивной): учетных записей, коннекторов, приложений, ролей, матрицы SOD с возможностью конфигурировать параметры для различных сред Да (есть как инструмент переноса программных изменений (сравнение и объединение конфигураций), так и средство переноса отдельных данных через экспорт-импорт) Да Да
Возможность изменения интерфейса системы штатными средствами  Да (интерфейс меняется встроенным в платформу средством разработки) Да Да

 

Лицензирование

Параметр сравнения 1IDM SailPoint Identity IQ Dell One Identity
Описание политики лицензирования Политика лицензирования учитывает количество пользователей, имеющих активные учетные записи.
Кроме того, для работы системы необходимо достаточное количество лицензий на платформу «1С: Предприятие»: серверы и конкурентные (одновременно работающие с системой) пользователи
Политика лицензирования учитывает количество пользователей по необходимым модулям  (Модуль управления соответствием, Модуль управления жизненным циклом) и базовую платформу (лицензию). Коннекторы к целевым системам входят в базовую лицензию. Предусмотрено лицензирование внешних пользователей (партнеров или клиентов) Политика лицензирования учитывает  количество управляемых сотрудников. Все коннекторы и полный функционал системы входят в стоимость стандартной лицензии. Дополнительно может добавляться add-on для управления доступом к неструктурированным данным. Есть лицензии для внешних пользователей (партнеров или клиентов)
Калькулятор цен www.1idm.ru
(цена предоставляется по запросу)
www.sailpoint.com
(цена предоставляется по запросу)
https://software.dell.com/products/identity-manager/
(цена предоставляется по запросу)

 

 

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Роман Федосеев, Генеральный директор, 1IDM

Андрей Промыслов, Генеральный директор, Identigy

Dimitri Janzen, Sales Executive, SailPoint

Яна Шевченко, Независимый консультант

Яков Фишелев, Менеджер по территории - СНГ, Израиль и ЮАР, Dell One Identity

Егор Чернышов, Менеджер по работе с крупными корпоративными клиентами, Aflex Distribution

Дуров Дмитрий, Инженер, Aflex Distribution

 

Читайте также: Сравнение систем управления доступом (IdM/IAM)  2015. Для продуктов: Avanpost IDM, КУБ, Solar inRights, Oracle Identity Manager, IBM Security Identity Manager

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru