О проекте
Характеристики проекта
//
- Проектная команда Аванпоста
- Насыщенный ИТ-ландшафт
- Более 20 000 пользователей
Ключевые задачи проекта. Требования к промышленному внедрению
//
UAP. Автоматизация управления доступом и жизненным циклом УЗ
IAG. Комплаенс и автоматизация процессов управления рисками
- Избавить квалифицированный персонал от рутинных операций по управлению УЗ, при этом отказаться от устаревшей ИТ-системы, которая использовалась для автоматизации отдельных задач управления УЗ.
- В 2021 г. развернуть систему Avanpost IDM, интегрировать кадровый источник и реализовать процессы управления доступом для основных систем (Active Directory, Exchange и др.) в продуктивном контуре.
- В 2022—2023 годах реализовать управление УЗ в прикладных системах Заказчика (Система автоматизированного проектирования, Электронный архив и др.).
IAG. Комплаенс и автоматизация процессов управления рисками
- Минимизировать риски, связанные с управлением полномочиями доступа, исключив влияние человеческого фактора и организовав контроль нелегитимно выданных доступов.
- Укрепить имидж организации в составе холдинга как реализующей современные практики в области информационной безопасности.
Решение
Описание проекта
//
Пилотный некоммерческий проект
Познакомил Заказчика с возможностями Avanpost IDM, убедил, что продукт пригоден к работе в инфраструктуре конкретного предприятия, помог разработать требования к промышленному внедрению.
Доверенный источник данных
Кадровая информация (справочники сотрудников, должностей, организационной структуры) загружается из 1С «Зарплата и управление персоналом». Взаимодействие серверных компонентов IDM с кадровой системой реализовано посредством интерфейсного модуля (управляющего коннектора).
Интеграция с ИС
Над которыми осуществляется управляющее взаимодействие, реализовано централизованное управление учетными записями в семи информационных системах Заказчика:
Аутентификация пользователей
Реализована через удобную административную консоль.
Элементы бизнес-логики
Проектные решения
В рамках автоматизации процессов сокращения рисков:
Познакомил Заказчика с возможностями Avanpost IDM, убедил, что продукт пригоден к работе в инфраструктуре конкретного предприятия, помог разработать требования к промышленному внедрению.
Доверенный источник данных
Кадровая информация (справочники сотрудников, должностей, организационной структуры) загружается из 1С «Зарплата и управление персоналом». Взаимодействие серверных компонентов IDM с кадровой системой реализовано посредством интерфейсного модуля (управляющего коннектора).
Интеграция с ИС
Над которыми осуществляется управляющее взаимодействие, реализовано централизованное управление учетными записями в семи информационных системах Заказчика:
- MS Active Directory — применен готовый коннектор, из числа поставляемых с продуктом;
- MS Exchange — стандартные коннекторы адаптированы под особенности использования данной И С Заказчиком;
- 1С «Зарплата и управление персоналом» — стандартные коннекторы адаптированы под особенности внедрения данной И С Заказчиком;
- 1С «Документооборот» — стандартные коннекторы адаптированы под особенности внедрения данной И С Заказчиком;
- Электронный архив — коннектор разработан с нуля;
- Система автоматизированного проектирования (CAП) — коннектор разработан с нуля;
- Фреймворк, являющийся средой запуска для нескольких десятков бизнес-приложений (собственная разработка Заказчиком) — коннектор разработан с нуля, произведена доработка API.
Аутентификация пользователей
Реализована через удобную административную консоль.
Элементы бизнес-логики
- Реализация схем кадровых бизнес-процессов, заявок, шаблонов почтовых уведомлений, шаблонов учетных записей, исчерпывающих набор отчетов.
- Полностью автоматизирован процесс управления полномочиями доступа работников предприятия Заказчика реализована через удобную административную консоль.
Проектные решения
В рамках автоматизации процессов сокращения рисков:
- В интеграции с 1С «Документооборот» применена расширенная модель разграничения доступа, позволяющая выдавать многомерные полномочия. Например, одному и тому же пользователю роль «Кладовщик» может быть выдана в сочетании с доступом к данным только основного склада, тогда как роль «Менеджер склада» будет назначена так, чтобы предоставить доступ к данным сразу нескольких складов. Реализованы декларирование полномочий от одной логической записи к другой и автоматическая передача для руководителя при увеличении, переводах, длительных отпусках.
- Неординарно реализована интеграция с Exchange: в зависимости от грейда пользователю предоставляется «внутренний» (для работы исключительно в корпоративной сети) либо «внешний» почтовый ящик; доступно преобразование почтового ящика из одного типа в другой с изменениями основного почтового адреса, при этом не теряется корреспонденция со старого почтового адреса.
- Каждое бизнес-приложение в составе фреймворка имеет собственный набор полномочий. Полномочия хранятся в реляционной базе данных, аутентификационная информация не размещается в LDAP-каталоге. В случае подключения нового бизнес-приложения Заказчик сможет организовать управление УЗ в нем без доработки интеграционной связки.
Результаты внедрения
//
Система выполняет операции преимущественно сама
Преобладающая часть операций по администрированию учетных записей выполняется системой без привлечения персонала.
Все действия проходят через новую систему
В системе реализован процесс автоматического отслеживания и обработки фактов выдачи полномочий доступа нелегитимно, в обход IDM.
Замещение старой системы
Функции старой «казённой» IDM-системы полностью замещены.
Автоматизация действий администрирования
Действия, полная автоматизация которых не является алгоритмически возможной (1−2%), теперь выполняются в административной консоли Avanpost IDM и переданы от Администраторов к Операторам службы сервис-деск. Например, при необходимости выдать доступы пользователю, не попадающему под действие автоматических алгоритмов, следует в административной консоли указать представленные полномочия, выбрав их из справочника. Система сама определяет, нужно ли создавать учетную запись, вычислит значение ее атрибутов, по электронной почте уведомит уполномоченных лиц и вышлет логин и пароль.
Преобладающая часть операций по администрированию учетных записей выполняется системой без привлечения персонала.
Все действия проходят через новую систему
В системе реализован процесс автоматического отслеживания и обработки фактов выдачи полномочий доступа нелегитимно, в обход IDM.
Замещение старой системы
Функции старой «казённой» IDM-системы полностью замещены.
Автоматизация действий администрирования
Действия, полная автоматизация которых не является алгоритмически возможной (1−2%), теперь выполняются в административной консоли Avanpost IDM и переданы от Администраторов к Операторам службы сервис-деск. Например, при необходимости выдать доступы пользователю, не попадающему под действие автоматических алгоритмов, следует в административной консоли указать представленные полномочия, выбрав их из справочника. Система сама определяет, нужно ли создавать учетную запись, вычислит значение ее атрибутов, по электронной почте уведомит уполномоченных лиц и вышлет логин и пароль.
