Системы управления учётными записями пользователей и правами доступа к информационным системам (IdM / IAM / IGA) позволяют автоматизировать соответствующие процессы, а также минимизировать риски в информационной безопасности за счёт сертификации и аттестации доступа, предотвращения конфликтов полномочий и применения риск-ориентированной модели управления доступом.
- Введение
- Современные системы класса IdM / IGA
- Мировой рынок IdM / IGA
- Российский рынок IdM / IGA
- Обзор отечественного рынка IdM / IGA
- 5.1. 1IDM
- 5.2. Ankey IDM
- 5.3. Avanpost IDM
- 5.4. Solar inRights
- 5.5. ОТР.УСБ
- Обзор зарубежного рынка IdM / IGA
- 6.1. Evolveum midPoint
- 6.2. IBM Security Identity Manager
- 6.3. One Identity Manager
- 6.4. Oracle Identity Manager
- 6.5. SailPoint IdentityIQ
- Выводы
Введение
Аббревиатуру IdM (Identity Management) можно расшифровать как «управление учётными или идентификационными данными».
Класс IdM-систем давно не является новинкой для российского и уж тем более мирового рынка. Они уверенно набирают популярность в качестве инструмента централизованного управления учётными данными и правами пользователей в корпоративных средах. Более того, системы этого класса успели не только сформироваться в своих базовых функциях, начиная непосредственно с управления доступом между различными системами и постепенно автоматизируя данную процедуру, но и перейти к более сложному процессу построения ролевых моделей, создания их комбинаций, системы заявок и управления ими. При этом общемировые тренды и здесь несколько отличаются от привычных на российском рынке; в последние несколько лет в обиход введён другой термин, описывающий логическое продолжение развития систем этого класса — IGA (Identity Governance & Administration).
Системы класса IGA имеют расширенные функциональные возможности. Изменения в терминологии, в частности, отражают тот факт, что была реализована более сложная модель сертификации доступа и полномочий, введены дополнительные соответствия между назначенными доступами, добавлены контроль конфликтов и риск-ориентированная модель.
Подробнее ознакомиться с развитием этого класса решений и их отличительных особенностей можно в нашей статье «Эволюция систем IGA (Identity Governance and Administration)».
Рассмотрим наиболее заметные и зарекомендовавшие себя на рынке системы, а также общую тенденцию в части изменения их функциональности.
Современные системы класса IdM / IGA
Несмотря на изменение терминов, описывающих данный класс решений, их базовые задачи остались прежними. Это — автоматизация, наведение порядка, упрощение управления учётными записями и доступом к информационным системам внутри предприятия. Благодаря этому снижаются затраты времени у различных служб (кадровых, ИТ, ИБ и других) на этот процесс и, что немаловажно, решается проблема человеческого фактора при назначении того или иного доступа. В выигрыше остаются все: люди предоставляющие доступ, люди его контролирующие, а также сами получатели доступа, т. к. процесс сокращается в разы, а то и на порядки.
Общие принципы работы систем управления идентификацией и доступом также остаются неизменными. Используются доверенные источники информации о пользователях, их назначениях и рабочих статусах, на этой основе строятся механизмы внесения изменений (создание, блокирование, удаление учётных записей, изменение прав доступа и т. д.) в контролируемые внутри инфраструктуры информационные системы. Изменения могут вноситься как автоматически, так и вручную. Для корректного взаимодействия со внешними информационными системами применяются различные коннекторы, позволяющие интегрировать разнородные системы в единый комплекс управления доступом — к примеру, при помощи API. Кроме этого, в IdM-системах реализованы функции по автоматизации процесса самообслуживания.
В рамках одного из эфиров AM Live, посвящённого выбору современной системы IdM / IGA, представители отечественных и зарубежных вендоров, а также системных интеграторов обсудили то, как и зачем заказчики внедряют решения для управления доступом, высказали свои мнения относительно технических особенностей IdM-систем, а также поделились со зрителями своим видением перспектив рынка IGA в России.
Можно выделить обязательные и дополнительные возможности систем IdM / IGA для удовлетворения типичных потребностей организаций.
Обязательно:
- Управление жизненным циклом идентификации.
- Поддержка запросов доступа.
- Автоматизация рабочего процесса.
- Сертификация / аттестация доступа.
- Наличие готовых коннекторов для применяемых систем.
- Аналитика и отчётность.
Дополнительно:
- Управление политиками и ролями.
- Управление паролями.
- Исключение избыточности прав и разграничение несовместимых полномочий.
Поэтому современная система управления идентификацией (IGA) является комплексной и сложной. Соответственно, и процесс её внедрения в организациях — комплексный и, в определённых ситуациях, весьма трудоёмкий.
Вопрос о том, с какой стороны следует подходить ко внедрению и эксплуатации систем управления правами доступа и учётными записями пользователей, мы разбирали в одной из предыдущих статей о внедрении и применении IdM-систем на российском рынке.
Мировой рынок IdM / IGA
Мировой рынок систем по управлению идентификацией можно смело назвать зрелым и даже в некотором смысле обретшим свои финальные очертания. Несмотря на это, конечно, до сих пор появляются новые функциональные особенности и рынок продолжает развиваться, при этом акцент, по мнению специалистов Gartner, смещается с модели предоставления услуг из облака в сторону управления другими облачными активами и интеграции дополнительных возможностей в основные инструменты. Компании-заказчики отлично понимают необходимость подобного класса решений, так что те пользуются уверенным спросом.
Ландшафт IdM / IGA претерпел значительные изменения за последние годы в соответствии со всё более динамичным характером современного предприятия — в особенности если принимать во внимание общемировую тенденцию к рассредоточению рабочих ресурсов по всему миру и возможности работы из любого удобного места. Множество пользователей в разных часовых поясах, множество систем и приложений, от локальных до облачных, требуют быстрого и простого процесса получения эффективно управляемого доступа. В результате формируется дополнительная потребность в системах класса IGA на мировом рынке.
Рисунок 1. «Магический квадрант» Gartner в сегменте Identity Governance & Administration по состоянию на август 2019 года
С 2019 года Gartner не обновляла свой квадрант, но при этом продолжает анализировать развитие данного сегмента рынка. По прогнозу от 04.07.2022, более 40 % организаций на рынке к 2025 году будут использовать IGA и информацию из них как часть более широкой структуры идентификации, чтобы снизить риски для безопасности в среде предоставления доступа, а сами эти системы станут неотъемлемой частью ИБ.
В список решений для обзора вошли следующие разработки, которые наиболее известны на отечественном рынке:
- Evolveum midPoint.
- IBM Security Identity Manager.
- One Identity Manager.
- Oracle Identity Manager.
- SailPoint IdentityIQ.
Российский рынок IdM / IGA
Российский рынок в данном случае можно отнести к развивающимся, несмотря на то что на нём существует достаточное количество зрелых решений.
С одной стороны, это обусловлено тем, что изначально не была сформирована потребность в решениях данного класса и его развитие началось с адаптации проверенных зарубежных разработок. С другой — причиной можно назвать саму специфику решений данного класса и готовность организаций к долгосрочному и кропотливому процессу проектирования и внедрения. Но потребность уже сформирована, результаты предыдущих внедрений в крупных компаниях получены и учтены не только потребителями, но и отечественными производителями IdM-систем.
Другим фактором развития отечественного рынка можно назвать импортозамещение, которое не обошло стороной и этот класс систем, что стимулирует заказчиков обращать внимание на российские IdM-системы, а производителей — добавлять новые и развивать существующие функциональные возможности для удовлетворения потребностей клиентов.
Согласно проведённому нами ранее анализу российского рынка ИБ, объём сектора управления доступом и учётными записями в 2020 году оценивался в 9,4 млрд рублей (130 млн долларов). При этом доля систем IdM / IGA в нём достигала 24,4 %. Разбивка по составляющим в процентах приведена на рисунке 2. С полным анализом можно ознакомиться в нашей статье.
Рисунок 2. Российский рынок управления доступом и учётными записями по сегментам в 2020 году
Как можно увидеть, рынок IdM / IGA пока отстаёт от сектора средств аутентификации, но в обозримой перспективе будет расширяться для удовлетворения потребностей в более полном контроле корпоративных аккаунтов как рядовых пользователей, так и обладающих расширенными привилегиями в инфраструктуре.
Рынок отечественных решений IdM / IGA представлен следующими системами:
- 1IDM.
- Ankey IDM.
- Avanpost IDM.
- Solar inRights.
- ОТР.УСБ.
Обзор отечественного рынка IdM / IGA
1IDM
Компания 1IDM работает на рынке с 2014 года.
1IDM — решение класса Identity Management для автоматизации управления учётными записями и правами пользователей в информационных системах, построения ролевых моделей, аудита имеющихся доступов, обработки электронных заявок на доступ, построения отчётов.
В качестве базовой платформы используется «1С: Предприятие 8.3». Система подходит для реализации проектов любого масштаба и сложности как в государственных структурах, так и в коммерческих организациях.
Рисунок 3. Пример карточки пользователя со списком назначенных прав
1IDM поддерживает следующие операции с учётными записями в управляемых системах: создание, удаление, предоставление и отзыв прав, блокировка и разблокировка, обновление атрибутов, смена имени (логина). Конкретная операция должна поддерживаться самим целевым приложением.
Есть коннекторы для Active Directory, Exchange, Redmine, Alfresco, системы «Парус», SalesForce, RSBank и Hyperion, универсальный коннектор для СУБД. Обеспечивается полная совместимость с 1C. Суммарно система имеет более 40 коннекторов под ПО в среде Windows и более 10 — в среде Linux.
Особенности:
- Включена в реестр отечественного программного обеспечения.
- Открытый исходный код.
- Кроссплатформенность (поддержка Windows, Linux), наличие большого количества готовых коннекторов к информационным системам, представленным на российском рынке.
- Каталог прав, организационно-штатная структура, справочники пользователей и ресурсов. Все элементы объединены одной моделью данных.
- Управление правами на основе регламентных заданий для формирования очередей взаимосвязанных операций.
- Возможность выявления несоответствий с применением механизма периодических пересмотров прав доступа.
- Простые инструменты для диагностики и сопровождения системы, доступные из пользовательского интерфейса.
- Минимальный порог входа в проект.
Несколько лет назад мы рассматривали данное решение в рамках обзора, ознакомиться с ним можно здесь.
Подробнее о продукте — на сайте разработчика.
Ankey IDM
«Газинформсервис» — один из наиболее крупных в России системных интеграторов и вендоров в области информационной безопасности. Компания основана в 2004 году, специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.
Ankey IDM — это система для централизованного управления учётными записями пользователей и их полномочиями в корпоративных информационных системах. Решение реализовывает современный подход и практики IGA.
Рисунок 4. Схема работы решения Ankey IDM
Основная функциональность системы реализована таким образом, чтобы обеспечить выгоды для всех подразделений, вовлечённых в бизнес-процесс предоставления, контроля и использования доступов в рамках организации — от служб ИТ и ИБ до отделов HR и руководства организации. Продукт разработан с учётом потребности в технологическом суверенитете, входит в реестр отечественного ПО и имеет сертификат ФСТЭК России.
Особенности:
- Эффективно работает в географически распределённых структурах с большим количеством корпоративных пользователей и полномочий.
- Конструктор бизнес-процессов включает в себя типовые шаги, вычисляемые поля и справочники, а также дополнительные триггеры, которыми можно дополнить согласования для высокой скорости принятия решений.
- Более 40 готовых коннекторов для целевых систем: 1C (ЗУП, УТ, CRM, УХ), Bitrix24, Directum, «БОСС-Кадровик», «Галактика», CommuniGatePro, Docsvision, SharePoint, Lotus, Skype for Business, Oracle, OpenLDAP, FreeIPA, SambaDC, Astra Linux Directory, Microsoft Active Directory, продуктов SAP, а также универсальные — REST API, SOAP, для SQL / СУБД, SSH и даже для CSV / XML.
- Возможность глубокой интеграции с решениями обеспечивающими безопасный контур: Indeed ESSO, Identity Blitz SSO, СКДПУ НТ, PT SIEM, Indeed PAM и другими.
- Поддерживает как Windows-, так и Linux-системы и не ограничивается использованием архитектуры процессоров х86-64.
- Имеет интерактивный интерфейс REST API для интеграции с другими приложениями (например, ITSM).
Предлагаем ознакомиться с детальным обзором Ankey IDM.
Подробнее о продукте можно узнать на сайте разработчика.
Avanpost IDM
Компания «Аванпост» является российским разработчиком систем аутентификации и управления доступом к информационным ресурсам предприятия, работает на рынке с 2007 года.
Рассматриваемая система позволяет автоматизировать процессы управления жизненным циклом идентификационных данных, повысить уровень информационной безопасности и оптимизировать затраты на администрирование ИТ-инфраструктуры.
Рисунок 5. Схема работы Avanpost IDM
Интеграция Avanpost IDM с информационными ресурсами организации осуществляется посредством коннекторов, которые позволяют связать систему с любыми прикладными элементами корпоративной информационной среды: доверенными источниками (1C ЗУП, SAP HR, Oracle HR, «БОСС-Кадровик», «Диасофт», «Галактика» и др.), целевыми системами (Windows, Linux, Oracle, MySQL, PostgreSQL, Informix, InterBase, Exchange, Lotus, SharePoint, SAP, 1C, Directum, SCIM, SOAP, REST).
Особенности:
- Гибкая настройка бизнес-процессов обработки событий (кадровых, аудита и прочих) и управления заявками на доступ с помощью конструктора, настраиваемых справочников и вычисляющих функций.
- Мультиарендность — возможность использования одного экземпляра для нескольких организаций в рамках группы компаний с изоляцией управления и публикацией ресурсов между компаниями.
- Наличие атрибутивных политик управления доступом (ABAC), расширенные возможности управления доступом контрагентов.
- Поддержка параллельных организационных структур: функциональных, Agile, структур проектного управления и прочих, а также полной горизонтальной масштабируемости и географического резервирования.
- Возможность управления административными, технологическими аккаунтами и различными видами неперсонифицированных учётных записей.
- Кроссплатформенность (Windows, Linux), поддержка контейнерной виртуализации (Kubernetes, OpenShift).
- Наличие большого количества готовых коннекторов к управляемым информационным системам и доверенным источникам, представленным на российском рынке, а также проработанных интеграций со смежными системами, включая системы класса ITSM, PAM, Secret Management, SIEM, SOAR; открытые документированные API.
- Входит в единый реестр отечественного ПО, сертифицирована по 4-му уровню контроля отсутствия недекларированных возможностей и может быть использована в автоматизированных системах до класса защищённости 1Г включительно и информационных системах персональных данных до 1-го класса включительно. Также сертифицирована на корректность встраивания криптоалгоритмов (КС2).
Детальнее ознакомиться с моделью управления доступом в Avanpost IDM вы можете в нашем обзоре.
Подробнее о продукте можно узнать на сайте разработчика.
Solar inRights
Solar inRights — платформа IdM / IGA для обеспечения исполнения процессов и регламентов по управлению правами доступа сотрудников к информационным ресурсам. Система позволяет управлять жизненным циклом учётных записей, ролей, информационных систем и других субъектов.
В продукте реализованы автоматизация жизненного цикла пользователей (от найма до увольнения), предоставление и отзыв доступа автоматически и вручную, создание и редактирование маршрутов согласования заявок, мгновенное выявление нарушений в правах пользователей и сценарии автоматического и ручного реагирования на расхождения, механизмы контроля ИБ за счёт управления ролевой моделью, SoD-конфликтами, уровнем риска по сотрудникам и пр.
Рисунок 6. Схема работы Solar inRights
Система является кроссплатформенной, поддерживает Windows и Linux, включая Ubuntu, CentOS, Astra Linux и Alt Linux, а также наиболее популярные СУБД — PostgreSQL, Microsoft SQL Server, Oracle. Интегрируется с более чем 40 внешними системами.
Имеется возможность расширить список интеграций за счёт оперативной разработки новых коннекторов, используя фреймворк ICF (Identity Connector Framework) / ConnID. При импортозамещении он позволяет переиспользовать существующие коннекторы, построенные на предшествующих ConnID технологиях.
Особенности:
- Входит в единый реестр отечественного ПО, сертифицирована ФСТЭК России на соответствие требованиям по безопасности информации по 4-му уровню доверия и технических условий.
- При разработке используется стек технологий Java, на которых развивается большинство российского ПО, включая версии Liberica / Axiom, официально разрешённые к использованию в государственных структурах.
- Имеет широкий спектр визуальных инструментов администрирования, не требующих инженерных настроек и доработки (конструкторы ролей, каталогов ролей, маршрутов согласования и др.).
- Лёгкая индивидуализация под конкретные требования компании без потери возможности устанавливать обновления (новые версии) системы.
- Интеграция с любыми кадровыми источниками и с системами данных по типу ERP, CRM, АБС, СУБД, LDAP и др., а также со смежными решениями по безопасности — SIEM, SSO, СКУД и др.
- Возможность подключить Solar InRIghts как клиент для авторизации во внешней системе, используя технологию децентрализованной системы аутентификации OpenID.
Расширенную информацию о Solar inRights 3.0 вы можете узнать из нашего обзора.
Подробнее о продукте — на сайте разработчика.
ОТР.УСБ
ОТР.УСБ — это средство централизованной идентификации и аутентификации пользователей, защиты от несанкционированного доступа на прикладном уровне в многопользовательском режиме обработки данных разработки ГК «ОТР».
ГК ОТР («Организационно-технологические решения») — российский системный ИТ-интегратор, стратегический партнёр по цифровому преображению государства и бизнеса.
ОТР.УСБ позволяет автоматизировать ряд процессов по регистрации, синхронизации и изменению учётных записей и прав доступа, а также заявок на их создание.
Рисунок 7. Схема работы ОТР.УСБ
Среда функционирования ОТР.УСБ состоит из отечественного и опенсорсного программного обеспечения, имеет сертификат ФСТЭК России о соответствии требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждённым приказом ФСТЭК России от 02.06.2020 № 76, по 2-му уровню доверия.
Особенности:
- Широкий круг применения, в т. ч. в ГИС до 1-го класса защищённости, автоматизированных системах до класса защищённости 2А, информационных системах, где обрабатывается информация уровня «совершенно секретно».
- Возможности масштабирования и индивидуализации с учётом требований и бизнес-задач заказчика.
- Лёгкая интеграция с решениями компании, а также с наиболее распространёнными источниками данных (Active Directory, Astra Linux Directory, FreeIPA, REST, PostgreSQL, Apache Kafka).
- Возможность интеграции с хостовыми СЗИ Secret Net Studio-C и Secret Net 7.
Подробнее о продукте можно узнать на сайте разработчика.
Обзор зарубежного рынка IdM / IGA
Evolveum midPoint
Компания Evolveum была основана независимыми ИТ-специалистами и нацелена на профессиональную разработку решений с открытым исходным кодом для управления учётными записями и доступом. Она базируется в Центральной Европе и имеет партнёрскую сеть в более чем 35 странах.
Решение midPoint является открытой IGA-платформой на основе Java. Продукт доступен на рынке с 2011 года и предоставляется бесплатно, модель построения бизнеса компании основана на платной поддержке клиентов в части настройки, доработки и внедрения решения. Система предназначена для интеграции в существующую ИТ-среду предприятий, университетов и подобных организаций, может работать в структурах любого масштаба.
Рисунок 8. Схема взаимодействия midPoint с пользователями и управляемыми системами
Система имеет широкие возможности по конфигурированию и позволяет настраивать большинство сценариев без необходимости программирования и доработок. При этом в ней присутствуют специальные скриптовые выражения, расширяющие эти возможности.
Как и другие IGA-платформы, midPoint обеспечивает в том числе расширенные возможности управления на основе ролей (RBAC) и работу с SoD-конфликтами.
На момент написания обзора система была доступна для скачивания, а на сайте производителя не было указаний на ограничения в её использовании на территории РФ.
Особенности:
- Открытый исходный код.
- Отсутствие платы за лицензию на продукт.
- Большое сообщество пользователей и разработчиков.
- Наличие множества готовых коннекторов к информационным системам и возможность создания собственных.
- Возможность использования системы как в инфраструктуре организации, так и в облачной среде.
- Большой набор необходимых функций для работы в режиме полноценной IGA-платформы: RBAC, SoD, портал самообслуживания, управление правами, функции аудита и отчётности, а также возможности по расширению системы.
Подробнее о продукте можно узнать на сайте разработчика.
IBM Security Identity Manager
IBM Security Identity Manager — это автоматизированное решение для администрирования доступа пользователей в ИТ-средах, обеспечивающее эффективное управление идентификацией на всём предприятии.
Продукт помогает создавать, изменять и аннулировать полномочия пользователей в течение всего их жизненного цикла. IBM Security Identity Manager способен сократить затраты на администрирование ИТ, обеспечить защищённость и соответствие нормативным требованиям. Процесс выдачи учётных записей и доступов централизовывается как в операционных системах, так и в приложениях.
Рисунок 9. Схема работы IBM Security Identity Manager
На текущий момент компания IBM не осуществляет деятельности на территории Российской Федерации.
Особенности:
- Возможность управления идентификационными данными с упором на функциональные роли.
- Поддерживаются отдельные пользовательские интерфейсы, которые показывают людям только те задачи, которые им нужно выполнять.
- Упрощает и автоматизирует процесс периодической проверки пользователей, учётных записей и прав доступа.
- Отчёты уменьшают длительность подготовки к аудиту и обеспечивают интегрированное отображение прав доступа и действий по предоставлению доступа к учётным записям для всех управляемых пользователей и систем.
- Имеются статические и динамические роли.
- Есть возможность настройки электронного документооборота по заявкам на получение прав доступа (рабочий поток).
Подробнее о продукте можно узнать на сайте разработчика.
One Identity Manager
IGA-решение One Identity Manager является одним из самых популярных на рынке России и СНГ. Особенностью данной платформы, с одной стороны, является обширная функциональность, которая позволяет через интуитивный интерфейс делать конфигурации бизнес-процессов, выявлять роли, формировать отчёты, настраивать коннекторы через конструкторы, встроенные в продукт. С другой стороны, система полностью открыта для глубокой индивидуализации. Цель вендора — снизить порог вхождения в тему IdM как интеграторов, так и самих заказчиков, которые часто независимо и самостоятельно развивают данную платформу после первоначального этапа внедрения.
Другой важной особенностью One Identity является стратегия реализации единой экосистемы решений для обеспечения и контроля доступа — Unified Identity Platform. Вендор присутствует во всех трёх «магических квадрантах» Gartner, связанных с доступом: IdM / IGA, PAM и Access Management. Таким образом, в решении можно объединить назначение прав доступа для всех сотрудников компании с функциональностью многофакторной аутентификации с учётом поведения и рисков, а также дополнительно контролировать привилегированных сотрудников и подрядчиков, при этом имея целостные отчёты, политики и обзор из единого интерфейса.
Рисунок 10. Интерактивный обзор связей карточки сотрудника, его учётных записей, бизнес-ролей и других объектов
На текущий момент компания не осуществляет деятельности на территории Российской Федерации.
Особенности:
- Большая часть настроек производится в графическом интерфейсе, за счёт чего достигается высокая скорость внедрения.
- Наличие множества готовых коннекторов к информационным системам, а также возможность использования конструктора для коннекторов.
- Удобный портал самообслуживания пользователя, который облегчает взаимодействие с системой; наличие интерфейса на русском языке.
- Конструктор бизнес-ролей для помощи в построении ролевой модели на основании уже существующих прав доступа в информационных системах.
- Рисковая модель с повышающими и понижающими факторами. Риски могут, например, инициировать процессы ресертификации доступа владельцами ресурсов.
- Единая экосистема решений для доступа: PAM (контроль привилегированного доступа), Data Governance (контроль неструктурированных данных), MFA (многофакторная аутентификация), SSO (единая точка входа), CIAM (управление доступом клиентов), CIEM (управление полномочиями в облаке).
- Полная открытость для доработок и самостоятельного развития.
Для получения расширенной информации о One Identity Manager читайте наш обзор.
Подробнее о продукте можно узнать на сайте разработчика.
Oracle Identity Manager
Oracle Identity Manager (OIM) спроектирован для управления привилегиями доступа пользователей ко всем ресурсам компании на протяжении всего жизненного цикла учётных данных — от приёма сотрудника на работу или саморегистрации до увольнения или отказа от сервиса. OIM представляет собой интегрированную платформу для управления идентификационными данными и корпоративными ролями, а также для аудита и выполнения требований законодательства.
Платформа позволяет менеджерам отслеживать действия пользователей и обрабатывать запросы на доступ от членов команды. Oracle Identity Management предлагает множество функций, включая управление соответствием доступа, портал самообслуживания, контроль доступа, автоматические оповещения, двухфакторную аутентификацию (2FA) и многое другое. Система позволяет организациям управлять процессами авторизации и сеансами, а также обеспечивать безопасный доступ ко внешним приложениям с помощью стандартных возможностей SAML Federation и OAuth.
Рисунок 11. Концепция OIM
Oracle Identity Management поддерживает интеграцию с различными сторонними платформами, такими как ServiceNow, Concur, SAP SuccessFactors, Box, GoToMeeting, Salesforce, Dropbox и другими.
На текущий момент компания Oracle не осуществляет деятельности на территории Российской Федерации.
Особенности:
- Позволяет консолидировать ранее фрагментированные учётные данные в едином хранилище.
- Автоматически создаёт и изменяет учётные данные сотрудников во всех целевых системах на основе данных кадровой системы (приём, увольнение, отпуск, перевод, временное замещение) в соответствии с должностными обязанностями, политиками безопасности и результатами процессов согласования.
- Выявляет неиспользуемые учётные записи и несанкционированные изменения прав доступа администраторами целевых систем.
- Делегирует различные функции администрирования, в том числе периодическую проверку неизбыточности прав.
- Обеспечивает регистрацию мобильных устройств для корпоративного использования, управление каталогом мобильных приложений и правами пользователей по использованию мобильных программ и данных.
- Доступны оперативные и архивные данные аудита прав и история принятия решений о предоставлении доступа к целевым системам.
Подробнее о продукте можно узнать на сайте разработчика.
SailPoint IdentityIQ
SailPoint IdentityIQ — это единое решение для централизованного управления жизненным циклом и правами учётных записей на основе ролевых моделей, политик и правил. Продукт также реализовывает контроль прав доступа на предмет соответствия корпоративной модели безопасности (аттестация и сертификация).
Решение обеспечивает управление соответствием требованиям по безопасности учётных данных для комплексной защиты идентификации.
Рисунок 12. Концептуальная схема решения SailPoint IdentityIQ
В своём составе система имеет функции машинного обучения для улучшения автоматизированных процессов. IdentityIQ обладает набором коннекторов для быстрой интеграции в инфраструктуру, а также гибкими возможностями по интеграции с различными бизнес-приложениями.
Особенности:
- Удобный пользовательский интерфейс, портал самообслуживания.
- Автоматизированная политика управления учётными данными и правами доступа.
- Есть анализ рисков, связанных с предоставлением прав доступа.
- Поддерживается единая точка авторизации пользователей бизнес-приложений с любого устройства и в любое время, а также управление мобильными приложениями и данными.
- Управление доступом как к локальным приложениям, так и к облачным средам.
- Централизованное хранение данных по учётным записям, возможность определения единых политик, ролей и рисковой модели для управления пользователями и ресурсами.
- Возможность масштабирования в соответствии с увеличением количества пользователей, приложений и бизнес-единиц.
Подробнее о продукте можно узнать на сайте разработчика.
Выводы
Стремительная трансформация отечественного рынка и отказ от иностранного программного обеспечения диктуют новые правила в том числе и для систем класса IdM / IGA.
При этом за последние несколько лет эти системы значительно расширили свои функциональные возможности для более тесной интеграции в том числе и с процессами внутри компаний. На первый план выходят сложность организационной структуры и потребность в управлении рисками, что выражается в риск-ориентированных моделях IGA и внедрении концепции SoD при управлении учётными данными.
Российский рынок получил дополнительный стимул для развития этого класса систем, в том числе и из-за ухода ряда именитых игроков. Несмотря на тот факт, что не все иностранные игроки заявили о своём уходе с российского рынка, большинство решений на текущий момент недоступны для отечественных компаний.