Avanpost IDM 6.0 — это новая версия отечественной IDM-системы для централизованного управления учетными записями и правами доступа пользователей к корпоративным ресурсам. Обновления версии 6.0 в первую очередь нацелены на поддержку стека российского программного обеспечения в рамках государственной программы импортозамещения. Архитектурные изменения в обновлении направлены на постепенный переход к концепции IGA (Identity Governance and Administration).
ВведениеВ крупных организациях с множеством информационных ресурсов значительно усложняется процедура управления учетными записями и правами доступа. Штатные разрозненные средства отнимают у персонала много времени и не позволяют быстро реагировать на изменения кадрового состава и функциональных обязанностей, что в итоге приводит к проблемам безопасности и несанкционированного доступа.
Для новых средств управления обычно создаются новые базы пользователей, частично дублирующие уже существующие или содержащие данные принципиально иных групп пользователей (например, подрядчиков, внештатных сотрудников и т. д.). Головной болью администраторов является также закономерное постоянное изменение содержания баз данных вследствие изменения персональных данных сотрудников, приема на работу или увольнения, изменения должностей, непрерывного роста числа информационных ресурсов, расширения парка программно-технических средств, изменения прав доступа к ресурсам и др. Конечно, полный список сложностей по управлению учетными записями и доступом к ресурсам неизмеримо больше, но и приведенных примеров достаточно для оценки сложности процесса координированной обработки соответствующих данных. Со временем ручное управление разрозненными базами становится практически невозможным, время ожидания пользователем внесения изменений в учетные записи достигает критических значений.
Для автоматизации процессов управления учетными записями и правами доступа к корпоративным ресурсам существует отдельный класс решений — IDM-системы. Такие системы могут быть востребованы организациями в самых разнообразных сферах деятельности: банки, телекоммуникационные компании, торговые и промышленные предприятия, правительственные учреждения и многие другие. На международном рынке к настоящему времени сложилась ситуация, при которой концепция Identity Management практически полностью замещена концепцией Identity Governance and Administration (IGA). В рамках последнего подхода в качестве объекта, на который обращено основное внимание, выступает скорее сотрудник и его поведение в системе, а не собственно корпоративная система. Поэтому продукты, реализующие подход IGA, обязательно обеспечивают управление жизненным циклом пользователей и ролей в соответствии с существующими в организации бизнес-процессами, аудит, отчетность и аналитику по отношению к правам доступа пользователей к информационным ресурсам, пересмотр полномочий и др. Иными словами, задачи таких систем значительно шире, нежели корректное представление прав доступа к ресурсам, ожидаемое от IDM-систем.
В настоящем обзоре рассмотрим новую версию одного из наиболее заметных на рынке отечественных решений — Avanpost IDM 6.0, основной задачей которого является предоставление возможности централизованного управления учетными записями и правами доступа к корпоративным ресурсам.
Возможности Avanpost IDM Основными возможностями Avanpost IDM являются:
- Управление жизненным циклом учетных записей пользователей в соответствии с кадровыми событиями. Доступно создание, блокирование и удаление учетных записей в связи с такими событиями, как, например, прием на работу, перевод на новую должность или в другое подразделение, отпуск, увольнение сотрудника.
- Автоматическое управление правами доступа пользователей на основе ролевой модели. Администратор Avanpost IDM назначает права доступа для существующих ролей, которые будут распространяться на каждого сотрудника этой роли. Доступно также присвоение исключительных прав, отличных от прав роли.
- Управление заявками пользователей к информационным ресурсам. Возможно создание и управление заявками различных типов (для себя, для сотрудников, «как у сотрудника», на время, отзыв прав, блокировка и разблокировка учетных записей, изменение личных данных и др.).
- Централизованное управление паролями пользователей. Для каждого зарегистрированного ресурса может быть настроена парольная политика, а пользователь может изменить собственный пароль в личном кабинете Avanpost IDM. Так же, возможна синхронизация паролей между учетными записями пользователей в том числе, с доменом Active Directory.
- Аудит прав доступа пользователей в управляемых системах. Администратору доступен просмотр изменений по учетным записям и правам доступа, в том числе выполненным в обход IDM. Хорошим подспорьем для администратора является функция почтовой рассылки о событиях IDM (создание и блокирование учетных записей, назначение и отзыв прав, изменение свойств учетных записей, генерация и сброс паролей, аудит целевых систем, согласование и обработка заявок и др.).
Новое в Avanpost в IDM 6.0Avanpost IDM 6.0 претерпела ряд очень важных изменений:
- Продукт полностью совместим с наиболее популярными дистрибутивами операционной системы Linux, добавлена поддержка СУБД Postgres при установке на любую операционную систему. При этом при использовании всех поддерживаемых СУБД Avanpost IDM 6.0 в Linux и Windows обеспечивается одинаковая функциональность, соответствующая полному набору функций современной IDM-системы.
- Решение Avanpost IDM подготовлено к добавлению в последующих версиях функций класса IGA (Identity Governance and Administration), о которых мы упоминали во введении. Для этого в версии 6.0 кардинальным образом изменена архитектура ядра IDM, подготовлен плацдарм для новых улучшений.
- Внедрение в процесс разработки Avanpost IDM комплекса agile-методик (FDD, Kanban и SCRUM). Портирование Avanpost IDM производилось уже в рамках нового подхода и позволило снизить затраты и обеспечить адаптивность управления разработкой.
Отметим также, что Avanpost IDM 6.0 сохранил совместимость со всеми многочисленными платформонезависимыми и платформозависимыми модулями сопряжения (коннекторами), которые интегрируют Avanpost IDM с прикладным и инфраструктурным программным обеспечением.
Архитектура Avanpost IDM Архитектура решения основана на модульном принципе. Компоненты его реализованы в виде сервисов и веб-приложений, взаимодействие между которыми производится посредством сервисной шины. Такой подход обеспечивает гибкость, отказоустойчивость и масштабируемость решения.
Главный компонент системы Avanpost IDM — сервер IDM. Интеграция сервера с информационными системами, для которых необходимо централизованное управление доступом к корпоративным ресурсам, осуществляется с помощью специальных модулей сопряжения — коннекторов. Помимо коннекторов для целевых информационных систем в продукте поддерживаются коннекторы для доверенных источников информации, таких как, например, база данных кадровой службы. Допустимое число коннекторов может измеряться десятками, а этого с запасом хватит для самых крупных организаций.
Для лучшего понимания концепции Avanpost IDM следует уточнить, что подразумевается под корпоративным ресурсом, доступом к которому можно управлять. Для Avanpost IDM ресурс — это атомарная сущность, в которой производится авторизация пользователей, обладающая собственной моделью безопасности, находящаяся под контролем.
В настоящее время разработаны коннекторы к целевым системам, в число которых входят:
- LDAP-каталоги и доменные сервисы (MS Active Directory, Open LDAP, Free IPA, 389 Directory Server, Apache Directory, MS AD LDS, Novell eDirectory);
- Операционные системы (Windows, Linux, AIX, Solaris);
- СУБД (Oracle, MS SQL, My SQL, PostgreSQL, Informix, InterBase, Tibero);
- платформы и прикладное программное обеспечение (MS Exchange, IBM Lotus Notes/Domino, MS SharePoint, SAP, 1C, Directum, Галактика, Redmine, 1C Bitrix, Jira/Confluence, MS Lync / Skype for Business…);
- веб-сервисы (SCIM, SOAP, REST, SAML);
- облачные сервисы (Google Apps, Office 365);
- адаптеры к открытым фреймворкам (Open ICF, ConnId).
Из числа поддерживаемых доверенных источников можно отметить: кадровые системы:
1C «Зарплата и управление персоналом»
SAP HR
Oracle HR
«Босс Кадровик»
«Диасофт»
"Галактика" и др.
- различные приложения и сервисы:
LDAP
Excel
CSV
XML и др.
Производитель предоставляет SDK, включающий документацию, который позволяет реализовать адаптер любого вида к внутренним системам, как самостоятельно, так и с привлечением квалифицированных компаний- интеграторов.
Управление инфраструктурой Avanpost IDM со стороны ответственного персонала производится через веб-интерфейс с помощью специальных консолей:
- консоль администратора IDM;
- консоль управления заявками;
- консоль управления отчетами.
Работа с Avanpost IDM Консоль администратора
Консоль администратора IDM — основной элемент управления комплекса, с помощью которого производится управление учетными записями и доступом пользователей.
Режим «Консоль администратора» предназначен для:
- управления пользователями;
- управления учетными записями пользователей;
- просмотра и выполнения задач назначения и отзыва ролей пользователям;
- управления кадровой структурой;
- просмотра и устранения ошибок в журнале аудита ресурсов.
Управление пользователями и учетными записями пользователей В режиме «Сотрудники» с помощью консоли администратора можно назначать и отзывать роли, разрешать конфликты при назначении или отзыве ролей пользователя, просматривать историю назначения ролей пользователю, а также управлять учетными записями пользователей.
Одним из основных отличий с точки зрения интерфейса относительно пятой версии является перенос функций Кадровой консоли в консоль администратора. Теперь функции создания внештатных пользователей, редактирования организационно-штатной структуры и данных пользователей доступны из основной консоли управления сервисом. Для разграничения доступа к ним предусмотрены отдельные привилегии в режиме «Настройка доступа».
В главном окне консоли администрирования в режиме «Сотрудники» отображается список пользователей системы. Число пользователей может быть велико, поэтому для удобства поиска нужного сотрудника предусмотрен механизм фильтрации перечня по полям, в которых можно указать филиал, подразделение, ФИО сотрудника.
Перечень сотрудников автоматически обновляется в соответствии с данными доверенного источника (поддерживаемой кадровой системы, приложения или сервиса), поэтому запись о любом изменении в списке учетных записей отображается в консоли администратора почти сразу после того, как оно было произведено в доверенном источнике информации.
Для просмотра детальной информации о любом сотруднике можно нажать кнопку «Подробнее», после чего открываются свойства учетной записи в виде карточки пользователя.
В карточке содержатся сведения об отозванных и текущих ролях пользователя, учетных записях пользователей на подконтрольных ресурсах, задачи на изменение ролей пользователя, исключения при аудите (права для роли, не распространяющиеся на конкретного пользователя этой роли) и недостающие по кадрам роли (роли, у которых в настройках задано их автоматическое назначение подразделению и/или должности, соответствующей текущему пользователю, но которые при этом отсутствуют у пользователя).
Управление учетными записями включает:
- создание учетных записей;
- удаление учетных записей;
- просмотр свойств учетных записей;
- назначение ролей учетным записям.
Для создания новой учетной записи достаточно в соответствующей рабочей области нажать кнопку «Добавить», заполнить поля формы регистрации учетной записи и выбрать из списка ресурс, к которому должна быть привязана учетная запись (Active Directory, 1C, Lotus Notes и т. п.). Удаление учетных записей и просмотр свойств выполняются также прозрачным образом по нажатию одной кнопки. Свойства учетной записи включают следующую информацию:
- имя учетной записи;
- ФИО пользователя;
- состояние учетной записи: включена/не определена/заблокирована/удалена/отключена;
- дата последней синхронизации с источником;
- ресурс, в котором создана учетная запись;
- назначенные учетной записи роли, а также права и свойства в ресурсе.
При назначении учетной записи ролей также можно выбрать нужную роль из списка и воспользоваться поиском по ресурсам.
Централизованное управление кадровой структурой Для централизованного внесения изменений в организационно-штатную структуру организации, создания и настраивания прав доступа системных ролей служит консоль Администратора IDM. Управление кадровой структурой также нужно для случаев, когда не все пользователи, в отношении которых требуются функции учета и управления, могут быть зарегистрированы в кадровой системе (например, организация пользуется услугами подрядчиков или имеет внештатных сотрудников, есть стажеры, в отношении которых еще не принято решение о принятии на работу). Эта функция очень полезна, так как зачастую внешних пользователей, имеющих доступ к информационной системе, нужно контролировать не меньше, чем внутренних.
Записи об уволенных и работающих сотрудниках подсвечиваются разными цветами (уволенные − красным), что позволяет даже при беглом взгляде оценить состояние учетных записей.
Функции управления кадровой структурой во многом дублируют функциональность кадровой системы, позволяя вносить изменения в структуру организации без ущерба для полноты имеющихся о сотрудниках сведений.
Аудит изменений прав Попытки назначения прав пользователю в рамках одного из ресурсов в обход Avanpost IDM можно легко отследить с помощью встроенной функции аудита. Для этого на странице аудита ресурсов на вкладке «Превышение полномочий» отображается информация о назначенных в обход системы IDM правах доступа.
Неприемлемая ситуация легко исправляется путем единственного нажатия кнопки. При этом нет нужды постоянно отслеживать содержание данного перечня. Вместо этого можно настроить уведомление администратора о подобных происшествия и проводить необходимые операции в рамках аудита прав доступа к ресурсам только при получении тревожного уведомления. В результате исправления нештатной ситуации изменения будут внесены во все подконтрольные ресурсы.
Управление ролями Бизнес-роль (роль) в системе представляет собой совокупность доступов сотрудника к определенным ресурсам (информационным системам, базам данных) и приложениям. В Avanpost IDM предусмотрен специальный режим «Настройка ролей», который предназначен для:
- управления каталогами ролей;
- создания, изменения и удаления бизнес роли;
- настройки атрибутов роли;
- добавления и удаления ресурсов в роли;
- определения подразделения и должности, которым роль должна назначаться автоматически;
- ограничения использования роли;
- назначения владельцев роли;
- настройки правил сочетания роли с другими ролями;
- формирования списка подписчиков при назначении роли.
В отдельном окне можно управлять списком существующих ролей: изменять их настройки, группировать согласно желательным признакам путем распределения по каталогам.
Режим «Настройка ролей» определяет права доступа пользователей к ресурсам и наличие учетной записи пользователя в ресурсе.
Посмотрим на доступные настройки для ролей.
На вкладке «Ресурсы» можно назначить ресурс, на котором следует автоматически создавать учетные записи пользователей с текущей настраиваемой ролью.
На отдельной вкладке можно настроить автоматическое назначение базовой роли всем сотрудникам, принятым в одно и то же подразделение. Например, для всех сотрудников отдела информационных технологий можно назначить базовую роль «IT-отдел», а затем определить ресурсы, к которым должны иметь доступ все сотрудники с этой ролью.
Если на вкладках «Ресурсы» и «Автоматическое назначение» сделаны корректные настройки, после создания в базе данных кадровой службы записи о новом сотруднике Avanpost IDM автоматически назначит ему нужную роль в собственной базе данных, а затем запись о пользователе и его роли будет занесена в указанный ресурс (например, Active Directory).
Вкладка «Ограничение использования» позволяет ограничить видимость роли при создании заявки на предоставление роли для пользователя, являющегося сотрудником, определенного подразделения и/или должности. Ограничения добавляются в виде правил, которые могут распространяться на подразделение или подразделение и должность.
Чтобы администратору не приходилось отслеживать изменения свойств ролей самостоятельно, Avanpost IDM предоставляет возможность настройки рассылки информации о роли (например, о назначении роли пользователю). Эта настройка производится на вкладке «Подписчики». Рассылка может осуществляться по разным событиям в отношении роли, а список событий определяется администратором комплекса.
Управление ресурсами Интересная функциональность представлена применительно к ресурсам. В консоли IDM можно настроить парольные политики, которые будут распространяться на весь ресурс, а также отдельным списком задать связанные ресурсы, изменения в которых затронут текущий.
Управление заявками через кабинет самообслуживанияЕсли в организации не используется IDM-система, сотрудникам для получения необходимых прав доступа к ресурсам приходится сообщать об этом администратору лично или писать соответствующее заявление, предварительно согласовывать его с руководством или, в зависимости от действующих в организации регламентов, выполнять иные действия. На практике принятие решения о предоставлении доступа может занимать продолжительное время — в связи с загруженностью администратор может забыть о просьбе сотрудника или неправильно его понять; наконец, просто потерять заявление. В этой части Avanpost IDM позволяет существенно упростить жизнь. Рядовые сотрудники и их руководители могут управлять заявками из личного кабинета, используя соответствующую консоль; при этом необходимые роли и ресурсы выбираются из списка возможных.
В личном кабинете предоставляется возможность создавать заявки, просматривать их текущее состояние и изменять пароли для собственных учетных записей.
В свою очередь, руководители подразделений могут создавать заявки как на себя, так и в отношении подчиненных сотрудников. Отображаемые в личном кабинете заявки могут быть отфильтрованы по различным признакам (вид заявки, статус, инициатор и т. д.).
Заявки распространяются в том числе:
- на предоставление/отзыв доступа;
- на изменение личных данных;
- на блокировку/разблокировку учетной записи.
Возможно также создание заявки на временное предоставление доступа.
Заявка может быть дополнена обоснованием необходимости изменения доступа. Обоснование может быть задано в свободной форме в предназначенном для этого поле ввода или может иметь документальное сопровождение в виде прикрепляемых файлов.
Настройка процессов согласования осуществляется в редакторе процессов, вызываемом в личном кабинете по кнопке «Настроить» — «Редактор процессов» в свернутом меню боковой панели.
Тип согласующих заявку лиц задается администратором в соответствии с действующим в организации регламентом. В качестве согласующего может выступать, например, руководитель сотрудника.
Пример схемы согласования заявок (бизнес-процесса) представлен на рисунке ниже.
Встроенный в Avanpost IDM редактор бизнес-процессов позволяет разрабатывать и выполнять тонкую настройку процессов согласования и обработки заявок.
Бизнес-процесс описывается средствами удобного графического интерфейса в формате схемы. На схеме бизнес-процесса задается последовательность выполнения его этапов и условия переходов. Графическая модель «формулируется» интуитивно понятным образом — посредством перетаскивания мышью блоков операций, доступных в списке блоков. Далее блоки соединяются переходами.
Очень удобно, что в Avanpost IDM для удобства уже включен набор базовых схем бизнес-процессов. Таким образом, можно выбрать подходящий шаблон и внести в него необходимые уточнения.
Рассылка уведомлений о различных изменениях в системе Для настройки электронных уведомлений в адрес администраторов и пользователей реализован режим «Настройка почтовых рассылок». Рассылки электронных уведомлений можно настраивать по типу события, функциональной роли получателя в системе; возможно и непосредственное задание лица, которому должны приходить уведомления. Настройка почтовых уведомлений может осуществляться для событий, показанных на рисунке ниже.
Дополнительно, доступна отправка уведомлений на любом шаге бизнес-процесса, а для самых сложных случаев — на основе события в шине.
Формирование отчетов Для получения общего представления о состоянии системы можно воспользоваться набором форм для создания отчетов, предоставляемым по умолчанию (рисунок 14), или создать собственную форму представления отчета.
Для создания собственной формы представления реализован дизайнер отчетов. С его помощью можно настроить внешний вид, параметры и источники данных отчета.
Стоит отметить, что формирование отчета в Avanpost IDM является достаточно сложной процедурой со множеством настраиваемых элементов, которая потребует от администратора значительно больших временных затрат, но при этом позволит получить в итоге большое разнообразие отчетов под разные нужды.
Выводы Avanpost IDM 6.0 представляет собой полноценную современную систему централизованного управления учетными записями и правами доступа для территориально распределенных информационных систем различного типа и масштаба. На протяжении многих лет отставание в данной области отечественных разработок от западных аналогов носило критический характер, но в последнее время можно отметить существенные подвижки в нужном направлении.
Создается общее впечатление, что решение компании «Аванпост» может рассматриваться в одном ряду с ведущими зарубежными продуктами. Система Avanpost IDM была успешно внедрена во многих крупных (до 150 000 пользователей) государственных и коммерческих организациях России.
Важным аргументом является то обстоятельство, что программный продукт Avanpost IDM имеет сертификат соответствия ФСТЭК России, который подтверждает соответствие продукта требованиям руководящих документов ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей (НДВ) и требованиям Технических условий. Таким образом, решение может на законных основаниях использоваться в государственных информационных системах и системах обработки персональных данных для реализации соответствующих мер защиты. К числу таковых можно отнести защиту организации от угроз, связанных с неприемлемыми временными задержками при ручном исполнении заявок на изменение прав доступа; утратой актуальности ролевых моделей; противоречиями между ролевыми моделями и фактическими правами доступа; ошибками при задании прав доступа; накоплением избыточных прав доступа.
Значительное изменение архитектуры ядра IDM, сформировавшее фундамент для постепенного добавления недостающих функций решений класса IGA, позволяет констатировать полную поддержку Avanpost IDM 6.0 тенденций, определяющих будущее российского ИТ-рынка. В соответствии с пятилетней стратегией компании «Аванпост», объявленной в феврале 2018 года, основной линией развития Avanpost IDM является движение в сторону IGA как для российского, так и для зарубежных рынков.
Достоинства: - Существенная экономия времени на обработку заявок на изменение прав доступа и личных данных сотрудников.
- Гибкая настройка процессов согласования заявок.
- Возможность синхронизации множества источников данных о сотрудниках.
- Просмотр не только текущих, но и отозванных ранее ролей пользователей.
- Контроль превышения полномочий.
- Своевременное уведомление всех заинтересованных лиц об изменениях в штате организации, правах и параметрах ролей пользователей.
- Полная совместимость с Linux, поддержка СУБД Postgres при установке на любую операционную систему. При использовании всех поддерживаемых СУБД Avanpost IDM 6.0 при работе в Linux и Windows обеспечивает одинаковую функциональность.
- Возможность безошибочного и быстрого переноса описаний процессов в ходе миграции на новую версию IDM.
Недостатки:- Обычно развертывание с нуля любой IDM-системы, и продукт Avanpost IDM не исключение, представляет собой достаточно сложный и трудозатратный проект.
- Avanpost IDM предлагает возможности гибкой самостоятельной настройки сервисов под нужды заказчиков, но фактически кастомизация сложна: например, создание собственных форм отчетности в дополнение к реализованным в продукте по умолчанию представляется нам нетривиальной задачей.
- На данный момент не реализованы отдельные функции IGA; в соответствии с пятилетней стратегией компании «Аванпост» их добавление ожидается в 2018—2019 годах.
В первую очередь новая версия Avanpost IDM 6.0 должна быть интересна для систем госуправления, госкорпораций, ТЭК, банковской сферы и крупных холдинговых структур, вынужденных учитывать санкционные риски.
Каждое из нововведений Avanpost IDM 6.0 (поддержка Linux, переход на импортонезависимые СУБД и «движок» бизнес-процессов, реализация на этой платформе полной функциональности IDM и средств корректного внедрения, заложенный фундамент для эффективной реализации функций IGA, поддержка коннекторов к самому широкому кругу прикладного и инфраструктурного программного обеспечения, простая технология создания новых модулей сопряжения, а также гибкая, адаптивная и экономная технологию управления разработкой и внедрением для всего жизненного цикла продуктов линейки Avanpost) направлено на современные тенденции, снижает издержки и риски заказчиков и интеграторов. Совокупность возможностей нового этапного релиза IDM-системы Avanpost позволяет существенно помочь в воплощении в жизнь этих тенденций в масштабах российского ИТ-рынка.