Jet inView IdM: как техничный подход к управлению доступом становится бизнес-ориентированным

Jet inView IdM: как техничный подход к управлению доступом становится бизнес-ориентированным

В марте 2014 года компания «Инфосистемы Джет» выпустила решение для контроля прав доступа к информационным ресурсам – Jet inView Identity Manager (Jet inView IdM). В обзоре будут рассмотрены функциональные возможности решения Jet inView IdM.

Jet inView IdM отличается развитыми инструментами настройки и наличием процессов контроля и управления правами доступа, выстроенных в соответствии с требованиями российских компаний. Недавно был выпущен и новый модуль графического интерфейса для конечных пользователей, в котором реализован ряд широко востребованных функций, таких, к примеру, как частичное согласование заявок.

 

 

1. Введение

2. Возможности настройки Jet inView IdM

3. Работа с системой

4. Интеграция с информационными системами

5. Выводы

 

 

Введение

Системы управления правами доступа сотрудников, или Identity Management (IdM) – это относительно молодой для России класс систем информационной безопасности, который активно набирает популярность в последнее время. На рынке появляется всё больше IdM решений и можно сказать, что это один из самых динамичных сегментов в b2b. Системы этого класса предназначены для централизации и автоматизации управления учётными записями в информационных системах. Потребность в системе IdM возникает у компании, когда предоставление доступа к информационным системам становится «узким местом» - предоставление доступа занимает несколько дней, значительно вырастает штат специалистов, которые отвечают за выдачу прав, и становится практически невозможно контролировать распределение доступа. С помощью IdM автоматизируется полный цикл управления правами доступа сотрудников в информационных системах. Автоматизируются процессы предоставления прав доступа при приёме на работу, процессы пересмотра прав при смене должности и блокировки доступа при увольнении; процессы запроса, согласования и исполнение заявок на доступ; процессы управления паролями. В результате внедрения IdM снижаются операционные издержки, повышается прозрачность и контролируемость процесса управления правами доступа в организации.

 

Рисунок 1. Количество внедрений IdM в России

Количество внедрений IdM в России

 

Рисунок 2. Количество производителей IdM в России

Количество производителей IdM в России

 

Возможности настройки Jet inView IdM

Одна из ключевых характеристик, определяющих зрелость IdM-решения –  его гибкость. В этом контексте Jet inView IdM обладает большим количеством параметров и инструментов настройки, и о наиболее существенных из них мы расскажем в настоящем разделе.

Правила

Практически во всех элементах, содержащих логику (например, технологических процессах), могут использоваться собственные правила, позволяющие производить дополнительные вычисления и выполнять обращения к внешним источникам данных. Правила пишутся на языке JavaScript и позволяют вносить изменения без необходимости перезапуска системы. Благодаря этому существенно расширяются штатные возможности системы, и реализуется собственная логика вычислений там, где это необходимо. Например, с помощью правил описываются алгоритмы генерации имён учётных записей и паролей в информационных системах, а также связывания существующих учётных записей с карточками сотрудников.

Настройка организационной структуры

Любые объекты в Jet inView IdM имеют определённую область видимости. Эти области могут соответствовать элементам организационной структуры. В соответствии с ней настраивается разграничение областей ответственности. Это требуется, например, для информационных систем в случае их децентрализации (когда в каждом филиале – свой экземпляр) и требуется ограничить видимость этой системы и её ресурсов, а также ответственность по согласованию только этим филиалом.

Настройка ролевой модели

Роли в Jet inView IdM представляют собой «контейнер», который может включать в себя другие роли, и который может быть назначен сотрудникам. По способу назначения роли могут быть статическими и динамическими. Статически роли можно запрашивать посредством заявок. Динамические роли назначаются автоматически, на основе правил. По типу, штатно, роли делятся на ИТ-роли и бизнес-роли. Первые предназначены для конечных полномочий, вторые – для ролей, соответствующих функциональным, либо должностным обязанностям. В систему можно добавлять свои типы ролей.

Настройка политик управления правами

К чему приведёт назначение сотруднику той или иной роли определяется специальными политиками. В политиках определяется перечень целевых информационных систем и правила заполнения атрибутов в них. С их помощью можно управлять всеми без исключения атрибутами учётных записей в целевых информационных системах, определять правила их формирования и контроля. Также с помощью политик осуществляется выявление изменений в целевых системах, выполненных в обход Jet inView IdM, контроль правил разделения ответственности (SoD), запуск процедуры периодического пересмотра прав и много другое.

Настройка процессов

Настройка технологических процессов осуществляется в графическом редакторе бизнес-процессов и представляет собой последовательность шагов, которыми могут быть какие-либо вычисления, согласование заявки, запрос дополнительной информации, оповещение по электронной почте. После того, как сформирован основной процесс, на каждом отдельном шаге можно настроить логические вычисления, такие как определение того, кто будет согласовывать заявку на следующем шаге, кому отправить оповещение и так далее. Процессы можно настроить для любого типа объектов – карточек сотрудников, ролей, учётных записей и других.

Настройка форм

Формы также настраиваются в графическом редакторе. При этом для каждого объекта, такого как карточка сотрудника, либо учётная запись в определённой системе, имеется перечень доступных атрибутов. Эти атрибуты можно переносить на форму этого объекта, группировать по отдельным вкладкам, а также определять правила проверки введённых значений. Формы, также как и процессы, можно определять для всех основных объектов Jet inView IdM.

Настройка отчётов

Для настройки отчётов используется промышленный редактор, позволяющий через графический интерфейс определить необходимый состав входных данных для отчёта, выбрать перечень полей и условия выборки. При необходимости, можно направлять прямые запросы к базе данных. Редактор позволяет использовать в отчётах графическое представление данных (например, гистограммы), а также настраивать автоматическую рассылку отчётов по расписанию.

Настройка полномочий в Jet inView IdM

Настройка полномочий в Jet inView IdM осуществляется двумя сущностями – представлениями и списками доступа. Представления определяют, какие именно вкладки и разделы пользовательского интерфейса видит сотрудник с определённой ролью в Jet inView IdM. Списки доступа определяют, какие операции может делать этот сотрудник с объектом, а также какие действия он может выполнять с каждым из его атрибутов. Это позволяет разграничить полномочия пользователей Jet inView IdM вплоть до прав на чтение и запись отдельных полей карточки сотрудника.

Предоставление прав доступа к функциям Jet inView IdM осуществляется таким же образом, как и предоставление доступа к целевым системам – через заявки.

Шаблоны

Jet inView IdM включает в себя предустановленные шаблоны основных элементов процесса управления правами доступа (как это сделано в компаниях, построивших у себя IdM). К таким элементам относятся типы и параметры карточек сотрудников, правила загрузки и объединения данных о сотрудниках из различных источников, правила генерации имён учётных записей и паролей в информационных системах, а также основных процессов управления правами доступа, таких как:

  • приём на работу;
  • перевод по должности;
  • увольнение;
  • запрос дополнительных прав;
  • отзыв прав доступа;
  • блокировка доступа;
  • блокировка на период отпуска;
  • возобновление доступа;
  • сброс пароля;
  • пересмотр прав доступа;
  • сверка.

Как видите, инструменты настройки Jet inView IdM весьма обширны. Они дают возможность адаптировать систему практически под любые (в том числе и нестандартные) требования или особенности инфраструктуры.

 

Работа с системой

Теперь рассмотрим работу с системой Jet inView IdM с точки зрения обычного пользователя – начальника одного из линейных подразделений.

Создание заявок на доступ

Допустим, сотруднику требуется запросить дополнительные права доступа для своих подчинённых. Он открывает браузер и заходит в интерфейс системы. Если в системе включена сквозная доменная аутентификация, то он сразу же увидит рабочую область. Если доменная аутентификация не используется, то система предложит ему ввести логин и пароль.

 

Рисунок 3. Окно входа в систему

Окно входа в систему

 

После аутентификации пользователь попадает на вкладку «Заявки», и уже здесь может согласовать заявки, назначенные на него, или просмотреть статус заявок, которые он подал. По ссылкам во вкладке доступна подробная информация о том, для кого были запрошены права, что именно запрошено, и на каком шаге заявка находится в настоящее время. Заявки можно отфильтровать по типу запроса. При этом (и это важно) можно согласовать сразу несколько заявок или определённую заявку целиком, а можно согласовать только часть запрошенных в заявке полномочий.

 

Рисунок 4. Интерфейс согласования заявок

Интерфейс согласования заявок

 

Далее,  чтобы выбрать подчинённых, которым требуется запросить права, пользователь переходит на вкладку «Сотрудники». В ней представлены карточки сотрудников в разрезе организационной структуры. При этом отображаются только те подразделения и карточки сотрудников, которые соответствуют уровню полномочий пользователя. Здесь можно добавить карточку нового сотрудника или, например, подрядчика, а также просмотреть уже имеющиеся карточки. Пользователь выбирает подчинённых, которым требуется запросить доступ и переходит на вкладку «Полномочия».

 

Рисунок 5. Вкладка «Сотрудники»

Вкладка «Сотрудники»

 

Во вкладке «Полномочия» представлен каталог прав доступа, сгруппированных по информационным системам. При этом, если известно название требуемого права доступа, можно воспользоваться функцией поиска.

 

Рисунок 6. Вкладка «Полномочия»

Вкладка «Полномочия»

 

Выбрав требуемые полномочия сотрудник переходит на вкладку «Запросить», где .видит детальную информацию о выбранных сотрудниках и полномочиях, а также о нарушениях политик безопасности, к которым может привести такой запрос. При необходимости выбор можно тут же скорректировать, исключив лишние элементы.

 

Рисунок 7. Экран создания заявки

Экран создания заявки

 

Заявка на доступ создается нажатием кнопки «Запросить». При желании, заявку можно подписать электронной цифровой подписью. После этого заявка проходит соответствующий процесс согласования, по завершении которого она автоматически исполняется системой Jet inView IdM.

Просмотр информации о сотрудниках

Если сотруднику необходимо посмотреть какие-либо данные о своих подчинённых, их правах доступа, или заявках, то это можно сделать в их карточках. Там отображается информация организационно-штатного характера, информация об учётных записях и правах доступа в информационных системах, архив заявок и график назначения заместителей.

 

Рисунок 8. Карточка сотрудника

Карточка сотрудника

 

В основном подразделе карточки сотрудника можно увидеть данные, полученные о нём из кадровой системы, либо путём непосредственного ввода через интерфейс. Тут же, если это позволяют полномочия текущего пользователя, можно внести необходимые изменения.

В подразделе «Полномочия» отображается список учётных записей пользователя в информационных системах и список назначенных ему прав. При необходимости, здесь же можно отозвать избыточные права.

В подразделе «Архив заявок» можно просмотреть список тех из них, которые, так или иначе, касаются конкретного сотрудника. Это заявки, в которых ему были запрошены права, в которых он выступал заявителем или в качестве согласующего.

В подразделе «Заместители» можно настроить график замещения ответственности по согласованию заявок на время отсутствия (например, отпуска или командировки).

Если в карточке сотрудника были внесены какие-либо изменения, для их вступления в силу нужно нажать кнопку «Сохранить».

Как видно, пользовательский интерфейс Jet inView IdM содержит весь необходимый для конечных пользователей функционал и при этом остается достаточно простым в использовании. Кроме этого он адаптирован для работы с мобильными устройствами.

 

Интеграция с информационными системами

Jet inView IdM обладает значительным числом модулей интеграции. Практически все модули функционируют удалённо, и не требуют установки дополнительного программного обеспечения на стороне целевых систем. Если к какой-либо системе нет штатного модуля интеграции, то такой модуль разрабатываются с использованием промышленного инструмента для интеграции данных. В настоящее время существуют модули интеграции со следующими информационными системами:

  1. Active Directory
  2. Blackberry Enterprise Server
  3. Cisco Unified Communications Manager
  4. Command Line
  5. DB2
  6. Desktop Password Reset Assistant (DPRA)
  7. Entrust
  8. Groupwise
  9. LDAP
  10. Lotus Notes
  11. Microsoft SQL Server
  12. Novell Directiry Server
  13. Oracle Database
  14. RSA Authentication Manager
  15. Sybase
  16. SmartCloud Control Desk
  17. Unix/Linux
  18. Windows Local Account
  19. Oracle eBusiness Suite
  20. Remedy AR System
  21. Documentum Content Server
  22. Salesforce.com
  23. SharePoint
  24. PeopleTools
  25. SAP Netweaver
  26. Siebel
  27. Google Applications
  28. Microsoft Office 365
  29. Computer Associates ACF2
  30. Computer Associates Top Secret
  31. i5OS
  32. RACF
  33. 1C
  34. Босс-Кадровик
  35. ЦФТ
  36. Инверсия
  37. MS Axapta
  38. B2
  39. ForPay
  40. BIS
  41. FlexCube
  42. Ва-Банк

 

Выводы

Говоря об особенностях Jet inView IdM, стоит отметить несколько ключевых. Во-первых, – новый пользовательский интерфейс: несмотря на свою простоту, он весьма функционален и хорошо подходит для работы бизнес-пользователей. Во-вторых, – предустановленные шаблоны настройки и большое количество модулей интеграции, за счет чего значительно сокращаются объём необходимых доработок и длительность внедрения продукта. В-третьих, развитые инструменты настройки решения, благодаря которым существенно снижается риск не оправдать ожидания заказчика от внедрения IdM, и, что немаловажно, появляется возможность сопровождения системы IdM силами специалистов заказчика. В целом можно сказать, что Jet inView IdM – одна из самых технологически развитых IdM-систем на российском рынке, являющаяся хорошим вариантом для импортозамещения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.

RSS: Новые статьи на Anti-Malware.ru