Avanpost IDM позволяет поддерживать самые крупные территориально распределенные организации

В очень крупных организациях процесс изменения прав при наступлении кадровых событий и организационно-штатных изменений значительно сложнее, чем в структурах меньшего масштаба. В зависимости от рода деятельности, должностного положения, графика работы пользователя и других условий, необходимо по-разному реагировать на изменения, происходящие с ним в кадровой системе. Например, права доступа могут зависеть от того, находится ли сотрудник на своем рабочем месте, в другом подразделении компании или работает удаленно. Так, большинству работников на время отпуска нужно полностью блокировать доступ к информационным системам предприятия, некоторым желательно оставить ограниченный доступ к определенным ресурсам, а VIP-пользователям — сохранить все условия для полноценной работы. У конкретных организаций эти правила могут быть весьма разнообразными и значительно более сложными.

Теперь Avanpost IDM содержит чрезвычайно гибкие средства настройки политик обработки кадровых событий (приема на работу и увольнения, изменения должности и мн. др.). Для структурных подразделений, должностей или произвольных списков пользователей стало возможным не только выбирать сценарий автоматического реагирования системы (из числа предопределенных, а также настроенных в ходе внедрения), но и задавать тонкие нюансы такой обработки.

При этом весь функционал создания и настройки сценариев обработки кадровых событий встроен в Avanpost 5.5 и доступен в интерфейсе администратора IDM-системы. Иными словами, уполномоченные сотрудники заказчика могут самостоятельно описывать и менять политики обработки кадровых событий — без необходимости доработки или обращения к интегратору. При этом возможности редактора политик покрывают практически все потребности любой крупной организации.

Данный механизм является существенным преимуществом Avanpost IDM перед конкурирующими продуктами от ведущих поставщиков IDM-систем, в которых для реализации подобного функционала требуется дополнительная разработка, а также длительный период адаптации и настройки продукта для конкретного потребителя.

Целый ряд нововведений в настройке ролевой модели кардинально упрощает создание и сопровождение ролевых моделей в крупных территориально распределенных организациях.

Так, для таких организаций характерно существование небольших отличий между филиалами в части назначения прав доступа (например, сотрудники филиала выходят в Интернет через файрволл филиала, а не центрального офиса). И хотя такие отклонения незначительны, их отражение в ролевой модели организации ранее требовало создания собственного комплекта модифицированных ролей для каждого филиала. Число ролей многократно возрастало, ролевая модель значительно усложнялась.

Новый механизм позволяет создавать универсальные роли, автоматически формирующие состав прав для получающего ее пользователя — в зависимости от его данных. Так, в предыдущем примере правильный доступ к интернету будет автоматически назначаться пользователю на основе его принадлежности к филиалу.
Подчеркнем, что механизм вычисления ролей критически важен для применения Avanpost IDM в очень крупных организациях с разветвленной структурой. При этом, как и в случае с редактором политик обработки кадровых событий, механизм вычисления ролей встроен в Avanpost 5.5 и доступен заказчику через удобный пользовательский интерфейс. Функциональность и удобство использования этого механизма — это важное конкурентное преимущество Avanpost IDM 5.5, так как аналогичные продукты требуют дополнительной разработки на уровне интеграции с управляемыми ИС.

Разрабатывая механизм вычисления ролей, влияющий на жизненный цикл IDM, компания Аванпост провела обширное обследование, включая консультации со своими клиентами — федеральными ведомствами и коммерческими организациями (Федеральная налоговая служба России, Россельхозбанк и ряд других). Анализ полученных данных позволил создать чрезвычайно простое и гибкое решение, охватывающее большинство сценариев настройки ролевой модели для крупной территориально распределенной организации.

Кроме того, ряд усовершенствований в блоке настройки ролевых моделей упростил создание ролей, сопровождение и вывод из эксплуатации, сделали более удобной работу с архивными ролями, а также предоставил пользователям расширенные средства фильтрации для поиска ролей.

SoD (Segregation of duties) — это популярная сегодня концепция разделения полномочий, основная идея которой состоит в предотвращении выполнения управляющих и контролирующих действий одним лицом. При практическом применении этой концепции большое значение приобретает выявление и предотвращение SoD-конфликтов, т. е. такого разделения полномочий, которое приводит к противоречиям в правах пользователя (например, к взаимоисключающим полномочиям). Подобные конфликты являются причиной злоупотребления правами пользователями.

Во время работы с информационной системой возникает потребность в ограничении прав пользователей (например, кассир, осуществляющий определенные операции, не может быть контролером по ним), в результате необходимо вводить ограничения на совмещение ролей.

В сложных, многоуровневых ролевых моделях выявление и предотвращение SOD-конфликтов становится чрезвычайно сложной задачей, с которой практически невозможно справиться вручную. Механизм предотвращения SoD-конфликтов, встроенный в Avanpost IDM 5.5, защищает организацию от нарушения политики SOD, обеспечивает высокий уровень автоматизации, позволяет устанавливать сложные критерии назначения роли, настраивать ограничения использования роли — с минимальным уровнем ложных срабатываний.

Механизм предотвращения SoD-конфликтов повышает целостность ролевой модели, т. к. защищает от технических ошибок (например, устанавливает запрет на удаление роли при наличии зависимостей). Кроме того, в Avanpost IDM 5.5 сотрудник не сможет получить роль, на которую у него нет полномочий.

Механизм автоматического разрешения SoD-конфликтов чрезвычайно упростил сопровождение IDM-решений. Если без него сложно настраивать и поддерживать библиотеку правил уже при 500 ролях, то теперь работа с несколькими тысячами ролей не представляет значительных трудностей. Если учесть, что в крупных территориально распределенных организациях благодаря вышеописанному механизму вычисления ролей число ролей резко снижается, оба механизма дают мощный синергический эффект.

Новые возможности появились в подсистеме управления процессами обработки заявок и поддержания соответствующего электронного документооборота: теперь блоки бизнес-процессов интегрированы с системой событий, а сценарии выхода из блока можно задавать в графическом редакторе.

Кроме того, улучшено реагирование на ошибки времени выполнения (например, нужный ресурс недоступен) — теперь такие заявки попадают к администратору IDM, который может выполнять корректирующие действия, после чего обработка заявки будет продолжена. Кроме того, уменьшено число необратимых действий, а также улучшены механизмы напоминаний и эскалации заявок.

Особо отметим, что теперь бизнес-процессы в Avanpost IDM стали асинхронными: после любого действия пользователя интерфейс ПО «замирает» на минимальное время, после чего дальнейшая обработка заявки выполняется в фоновом режиме. Это привело к качественному скачку отзывчивости интерфейса — пользователю кажется, что система реагирует практически мгновенно.
Кроме того, улучшен механизм импорта/экспорта схем бизнес-процессов. Это особенно значимо для больших схем, с которыми оперируют крупные организации.

Практическая ценность любого внедренного IDM-решения напрямую зависит от степени его интеграции с другими элементами информационной системы организации: чем шире круг систем инфраструктурного и прикладного уровня, права доступа к которым централизованно контролирует IDM, тем весомее вклад последней в борьбу со злоумышленниками и тем в большей степени она разгружает персонал ИБ-подразделений от рутинной работы. Именно поэтому превосходство Avanpost IDM по числу готовых модулей сопряжения (коннекторов) и простота создания новых коннекторов являются столь важным преимуществом для организаций, внедривших этот продукт.

Сегодня для организаций, переходящих на импортонезависимые ИТ-решения, особенно важно наличие в Avanpost IDM большого числа готовых коннекторов к популярному российскому ПО (например, 1С: Предприятие или СЭД DocsVision), а также к лучшему ПО с открытым кодом: ОС на основе Linux, СУБД, всем распространенным реализациям каталогов LDAP (Open LDAP, 389 LDAP, Free IPA) и др. По этому параметру Avanpost IDM давно и с большим отрывом превосходит любое конкурирующее решение, представленное на российском рынке.

Вместе с тем, компания Аванпост продолжает создавать новые коннекторы (из последних разработок отметим систему «Застава» компании «Элвис Плюс»), а также обеспечивает совместимость существующих коннекторов c новыми версиями соответствующего ПО. В частности, была проверена совместимость новой версии Avanpost IDM с распространенными зарубежными ОС на базе Linux (Red Hat, Suse, Ubuntu и Debian), а также с первой российской операционной системой уровня предприятия (ОС АЛЬТ компании «Базальт СПО»). Отметим, что во всех случаях универсальный коннектор Avanpost IDM для ОС Linux обеспечивает как управление пользователями и их правами, так и извлечение учетных данных, на которое, в свою очередь, опираются инструменты автоматизированного построения ролевых моделей и проведения аудитов фактических прав доступа.

Работая в связке с программным продуктом Avanpost WebSSO (однократная аутентификация пользователя в приложениях всех типов: облачных, мобильных, традиционных), IDM-система Аванпост автоматически приобретает функцию «проверки на лету» (on-demand provisioning). В такой конфигурации IDM-система вообще не требует коннектора для прямого взаимодействия с теми ИТ-системами, которые работают с WebSSO через стандартные протоколы аутентификации. Реагируя на такой запрос, WebSSO «спрашивает» IDM-систему, соответствует ли он правам пользователя.

Для определенных видов информационных систем (например, порталы или SaaS-сервисы, с которыми может работать большое число внешних пользователей; взаимодействующие организации, предоставляющие друг другу доступ к своим приложениям и защищенным информационным ресурсам) это дает целый ряд преимуществ. Во-первых, при такой схеме аудит прав вообще не требуется, т. к. IDM каждый раз проверяет права пользователя в указанной системе по ролевой модели, что исключает отклонение фактических прав в системе от утвержденных. Во-вторых, значительно упрощается интеграция IDM с другими элементами ИС: если при разработке коннектора нужно реализовать 12 функций, то при подключении через WebSSO их всего две. Наконец, заказчик получает возможность сократить затраты на лицензии, поскольку учитывается только фактическое использование ПО.

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.