Данная статья — детальное сравнение систем управления доступом (IdM/IAM). В ней мы проанализировали и сопоставили лидирующие на отечественном рынке продукты как российских, так и зарубежных компаний. Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке IdM-системы и на что стоит ориентироваться при их выборе.
2. Методология сравнения IdM-систем
3.3. Системные требования (минимальные значения)
3.7. Общие функциональные возможности
3.8. Управление учетными записями
3.9. Управление правами доступа
3.12. Аудит учетных записей и прав доступа
3.13. Производительность и отказоустойчивость
3.14. Дополнительные возможности
Введение
Аббревиатура IdM (Identity Management) переводится как как «система управления учетными или идентификационными данными». Однако под этим термином чаще подразумеваются гораздо более мощные системы, которые способны сами управлять доступом, т. е. системы IAM (Identity and Access Management). Но аббревиатура IdM является более популярной на сегодняшний день, поэтому далее по тексту мы будем использовать именно ее.
Таким образом, главной задачей IdM-систем является централизованное управление идентификационными данными, учетными записями и правами на доступ к информационным ресурсам. В основном решения данного класса предназначены для крупных компаний и направлены на автоматизацию взаимодействия различных подразделений компании (кадровые службы, ИТ-подразделения, ИБ-подразделения и др.).
Сложность IdM-систем, а также закрытость документации значительно усложняют процесс их осознанного выбора для заказчика. Зачастую в открытом доступе можно найти лишь маркетинговую информацию, которая на практике имеет мало общего с реальностью. Мы убедились в этом на собственном опыте.
При выборе решения неизбежно возникают вопросы. Чем принципиально отличаются между собой решения? На что ориентироваться при выборе IdM-системы? Как выбрать наиболее подходящее решение для вашей компании? К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого.
Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы IdM-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой.
Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.
Тем не менее мы не будем останавливаться на достигнутом результате. В дальнейшем мы планируем проводить более глубокие сравнения IdM-систем по их реальной технологической эффективности.
Методология сравнения IdM-систем
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: глубины исследования, степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.
Следуя такому принципу, мы отобрали более 100 критериев, сравнение по которым упростит выбор IdM-системы. К некоторым из критериев были добавлены пояснения. Для удобства все сравнительные критерии были разделены на следующие категории:
- Общие сведения
- Архитектура решения
- Системные требования (минимальные значения)
- Коннекторы
- Разработка коннекторов
- Функциональные роли IdM
- Общие функциональные возможности
- Управление учетными записями
- Управление правами доступа
- Управление заявками
- Отчетность
- Аудит учетных записей и прав доступа
- Производительность и отказоустойчивость
- Дополнительные возможности
- Лицензирование
Для участия в сравнении было отобрано пять наиболее известных и популярных в России IdM-систем:
Российские:
- Avanpost IDM 4.1
- Куб 3.0
- Solar inRights 2.0
Зарубежные:
- Oracle Identity Manager 11g R2 PS3 (11.1.2.3)
- IBM Security Identity Manager 6.0.0.6 и 7.0.1
Все производители перечисленных выше IdM-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации.
В приведенном сравнении IdM-систем мы не делали их итогового ранжирования. Мы надеемся, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из IdM-систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение IdM-систем
Общие сведения
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Компания-вендор | ООО "Аванпост" | ООО "ТрастВерс" | Solar Security | Oracle | IBM |
Целевой сегмент | Крупный и средний бизнес, госсектор | Крупный, средний и малый бизнес, госсектор | Крупный и средний бизнес | Крупный и средний бизнес | Крупный и средний бизнес |
Штаб-квартира | Россия, Москва | Россия, Москва | Россия, Москва | США, штат Калифорния, Redwood Shores | США, штат Нью-Йорк, Армонк |
Веб-сайт | www.avanpost.ru | www.cube-system.ru | www.solarsecurity.ru | www.oracle.com | www.ibm.com |
Лицензии | Лицензии ФСТЭК №1239 (на деятельность по РиПСЗИ) и №2275 (на деятельность по ТЗКИ) | Лицензии ФСТЭК №0443 (на деятельность по РиПСЗИ) и №0746 (на деятельность по ТЗКИ) | Нет (в процессе получения) | Нет | Нет |
Сертификаты | Нет (имеется сертификат ФСТЭК №2710 от 07.09.2012 по ТУ и РД НДВ 4 для версии Avanpost 3.0; в процессе пересертификация во ФСТЭК согласно приказам №17 и 21) | ФСТЭК №1900 ТУ НДВ 3 от 21.08.2009 по НДВ 3 и ТУ | Нет (в процессе получения) | ФСТЭК №2238 от 23.12.2010 на Oracle Identity Access Management Suite (РД НДВ 4 и на ТУ); ФСТЭК №3295 от 09.12.2014 на Oracle Identity Access Management Suite 11g (РД СВТ 3 и РД НДВ 2) |
Нет (в процессе получения) |
Услуги | Помощь Партнерам во внедрении, стандартная и расширенная техническая поддержка, обучение. Архитектурное сопровождение проектов, разработка коннекторов, разработка других интеграционных решений | Внедрение (развертывание системы, настройка системы, обучение персонала приемам работы с системой), техническая поддержка, доработки внутренних механизмов системы | Помощь Партнерам во внедрении, обучение, архитектурный аудит, professional services, техническая поддержка | Разработка и производство HW&SW, предоставление облачных сервисов, консалтинг, обучение, внедрение, техническая поддержка | Помощь партнёрам во внедрении, базовая и расширенная техническая поддержка. |
Сроки внедрения | В среднем около 6 месяцев | От 3 месяцев | От 4 месяцев и более | От 3 мес до 1 года в зависимости от уровня кастомизации | От 3 мес до 1 года в зависимости от уровня кастомизации |
Сравниваемые версии | Avanpost IDM 4.1 | Куб 3.0 | Solar inRights 2.0 (ранее Jet inView Identity Manager, Jet inView IdM) | Oracle Identity Manager 11g R2 PS3 (11.1.2.3) | IBM Security Identity Manager 6.0.0.6 и 7.0.1 (разные форм-факторы, один функционал) |
Интерфейс (язык) | Русский | Русский (есть поддержка мультиязычности интерфейса) | Русский, английский | Русский, английский и еще 29 языков | Русский, английский и еще 17 языков |
Соответсвие требованиям законодательных актов и регуляторов в области ИБ | Соответствие требованиям 152-ФЗ, руководящих документов ФСТЭК и ФСБ, в частности Приказ ФСТЭК от 18 февраля 2013 г. № 21 и отраслевых стандартов СТО БР ИББС-1.0-2014 и PCI DSS | Соответствие требованиям 152-ФЗ, приказам ФСТЭК №17 и 21, СТО БР и PCI DSS | Соответствует требованиям 152-ФЗ, руководящих документов ФСТЭК и ФСБ, отраслевых стандартов СТО БР ИББС-1.0-2014, PCI DSS, ISO 27001 | Соответствует требованиям 152-ФЗ, руководящих документов ФСТЭК и ФС, некоторые требования PCI DSS, СТО БР, НПС | Соответствие требованиям отраслевых стандартов ISO 27001, ISO 27002 и PCI DSS |
Крупнейшее из известных внедрений (только со ссылкой на пресс-релиз) | ФНС РФ, более 120 тыс. пользователей |
Центральный банк РФ Федеральное казначейство РФ ОАО "РЖД" АФК "Система" ФСБ России ГК "Информзащита" |
Информация не разглашается | «Лето Банк» Интернет-банк «Альфа-Клик» |
Информация не разглашается |
Архитектура решения
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Сервер IdM | Да | Да | Да | Да (на базе Oracle Weblogic или IBM Webshere) | Да |
База данных IdM | Да | Да | Да | Да (на базе Oracle Database) | Да |
Коннекторы (количество) | Более 12 к доверенным источникам информации, более 30 к целевым системам | Более 7 к доверенным источникам информации, более 30 к целевым системам | Более 10 к доверенным источникам информации, более 20 к целевым системам | Более 35 универсальных коннекторов | Более 45 коннекторов |
Консоль администратора | Да (веб-интерфейс) | Да (Windows-приложение, Программа управления сервером КУБ) | Да (веб-интерфейс) | Да | Да (веб-интерфейс) |
Консоль пользователей (администратор безопасности, владелец ресурса, сотрудник и др.) | Консоль самообслуживания для пользователей (веб-интерфейс) | Веб-интерфейс самообслуживания и управления("наборный" интерфейс в зависимости от полномочий пользователя) | Да (веб-интерфейс) | Консоль администратора и сотрудника, "песочница" (веб-интерфейс, покомпонентная настройка видимости элементов управления и содержимого полей), консоль разработчика (java-приложение) |
Интерфейс самообслуживания (веб-интерфейс), интерфейс Центр службы идентификации (веб-интерфейс), мобильное приложение для платформ Apple iOS и Google Android. |
Другие компоненты системы | Менеджер ролей (Role Manager, для оптимизиации работ по созданию ролевой модели) Система управления заявками |
Подсистема отчетов Программа КУБ Ассистент Подсистема синхронизации ОШС конфигурации компьютеров Подсистема интеграции с внешними системами |
Служба управления адаптерами для связи с управляемыми информационными системами на базе технологии ICF (Identity Connector Framework) | Сервисы коннекторов, согласования бизнес-процессов, отчетности Опционально - сервис оптимизации корпоративных ролей и контроля действий привилегированных пользователей |
WebSphere Application Server IBM Security Directory Integrator Сервер IBM Security Directory Сервер IBM Cognos Reporting |
Системные требования (минимальные значения)
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Требования к аппаратному обеспечению для серверной части | Сервер CPU: 1-х ядерный 2,5 ГГц и выше; RAM: 4 Гб и выше (рекомендуется от 8 Гб); HDD: 10 Гб (100 Гб для БД) |
Сервер CPU: 4-ядерный Intel Xeon, 2,5 ГГц; RAM: 8 Гб и выше; HDD: SATA Raid от 250 Гб и выше |
Сервер CPU: 4- х ядерный Intel Xeon 2,5 ГГц и выше; RAM: 12 Гб и выше; HDD: 50 Гб и выше |
Сервер CPU: 2-х ядерный 2 ГГц; RAM: 12 Гб и выше (рекомендуется от 16 Гб); HDD: 100 Гб и выше |
Сервер CPU: Intel или pSeries 2,0 ГГц; RAM: 2 ГБ и выше; HDD: 20 Гб и выше |
Требования к аппаратному обеспечению для клиентской части | CPU: Intel Core 2 Duo 1,5 ГГц и выше; RAM: 2 Гб и выше |
Программа управления сервером КУБ CPU: Intel Core 2 Duo 2,6 ГГц и выше; RAM: 4 Гб и выше; HDD: 2 Гб и выше КУБ Ассистент CPU: Intel Core 2 Duo 2,6 ГГц и выше; RAM: 2 Гб и выше; HDD: 1 Гб и выше Система управления заявками CPU - Intel Pentium IV, 1,8 ГГц RAM: 1 Гб и выше; HDD: SCSI 2 Гб и выше |
CPU: Intel Core Duo 1,5 ГГц RAM: 4 Гб и выше; HDD: 50 Гб и выше |
Особых требований не предъявляется | Требования предъявляются только для мобильного приложения: Android Devices (Android 2.3 и более поздний (включая 4.х, 5.0)); Apple Devices (iOS 6.0 и более поздний (включая 8.х)) |
Требования к программному обеспечению для серверной части | Сервер IdM Window Server 2003 и выше; Net Framework 4.5; Microsoft IIS; Oracle Client версии 10g и выше (в случае работы с БД Oracle) СУБД Oracle 10g (в том числе с поддержкой редакции Express Edition), 11g, 11 R2 MS SQL Server 2008/2008 R2 |
Сервер IdM Windows Server 2003 SP2/2003 R2/2008/2008 R2 (все x64); Internet Explorer 7.0 и выше; Internet Information Server (IIS 7 с Windows Authentication, IIS 6 Management Compatibility и .NET Extensibility и ASP.NET); Microsoft .NET Framework 3.5 с ASP.NET; Клиентские библиотеки Oracle 11.2.0.1 для работы с Oracle DB 10g-11g R2; HDD: 500 Mb и выше (без учета базы данных) СУБД Oracle DB 10g (в том числе Express Edition), 11g, 11 R2; MS SQL Server 2008/2008 R2 |
Сервер IdM Microsoft Windows (2003, 2008 R2 или 2012 x64) или Ubuntu (12.04, 12.10, 13.04, 13.10, 14.04, 14.10, 15.04) или RHEL (6.2, 6.3, 6.4, 6.5, 6.6, 7.0, 7.1), CentOS (6.2, 6.3, 6.4, 6.5, 6.6, 7.0, 7.1) Java: OpenJDK 7 или Oracle JRE 7 (1.7.0_45, 1.7.0_40, 1.7.0_67, 1.7.0_72) или Oracle JRE 8 Веб-контейнер: Apache Tomcat (6.0.32, 6.0.33, 6.0.36, 7.0.29, 7.0.30, 7.0.32, 7.0.47, 7.0.50, 8.0.14) или Glassfish 3.1 или Oracle WebLogic (12c) СУБД MySQL 5.6.10 и выше или Oracle 11g (11.2.0.2.0) или PostgreSQL (8.4.14, 9.1, 9.2, 9.3) или MS SQL Server (2008, 2008 R2, 2012) |
Сервер IdM Red Hat EL 5/6/7 Oracle Linux 5/6/7 SLES 10/11 Windows Server 2008/2012 Windows 7/8.1 Solaris 10/11 HP-UX 11i AIX 6.1/7.1 (все x64) СУБД Oracle DB (10.2.0.4+, 11.1.0.7+, 11.2.0.1+, 12.1.0.1+) |
Сервер IdM AIX версии 6.1/7.1, Oracle Solaris 10 Windows Server 2008/2008 R2/2012 SE/ 2012 R2 SE; Red Hat Enterprise Linux 5.0/6.0 SUSE Linux Enterprise Server 10.0/11.0 СУБД IBM DB2 (Enterprise или Workgroup 9.5, 9.7, 10.1, 10.5) Oracle (10g Standard Edition и Enterprise Edition R2, 11g Standard и Enterprise Edition R2, Oracle 12c Standard и Enterprise Edition, R1) MS SQL Server (Enterprise Edition 2008, Enterprise Edition 2008 R2) Для версии 7.0 и более поздней: Cервер IDM поставляется в виде готового виртуального апплайанса, включающего ОС и преднастроенные компоненты системы |
Требования к программному обеспечению для клиентской части | Windows XP Pro SP1 x86 и выше; Internet Explorer 8.0 и выше; HDD: 150 Mb и выше |
Программа управления сервером КУБ Windows XP Professional SP1 32 bit, Vista 32/64 bit, Windows 2003 32/64 bit, 2003 R2 32/64 bit, 2008 32/64 bit, 2008 R2 32/64 bit, Windows 7 32/64 bit; Установленные приложения Internet Explorer 7.0+; HDD: 150 Mb и выше КУБ Ассистент и система управления заявками Windows XP Professional SP1 32 bit, Vista 32/64 bit, Windows 7 32/64 bit; Windows Server 2003 32/64 bit, 2003 R2 32/64 bit, 2008 32/64 bit, 2008 R2 32/64 bit; Internet Explorer 7.0 и выше |
Наличие веб-браузера (особых требований к веб-браузеру не предъявляется) | Не зависит от операционной системы, поддерживаются браузеры: Internet Explorer 11.x; Firefox 31+; Safari 7.x; Safari 8.x; Chrome 42+; Для консоли разработчика: Windows 7/8.1 (x64) |
Microsoft Internet Explorer 9/10/11; Mozilla Firefox (31 Extended Support Release, 24 Extended Support Release, 17 Extended Support Release, 10 Extended Support Release, 3.6) Google Chrome 42.0 Java Runtime Environment (JRE) |
Требования к межсетевому взаимодействию | Протокол TCP/IP, при взаимодействии с целевыми и доверенными системами зависит от требований данных систем | Все компьютеры, с которых производится работа с системой КУБ, должны находиться в одном домене с сервером КУБ либо между доменами должны быть установлены доверительные отношения | Протокол TCP/IP | Протокол TCP/IP | Протокол TCP/IP |
Возможность установки IdM на виртуальных машинах | Да | Да | Да | Да | Да |
Коннекторы
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Коннекторы к доверенным источникам | 1С, Oracle HR,SAP, Босс Кадровик, ДИАСОФТ, СЕ.Кадры, Галактика,Госналог, LDAP, HRB, XML, Excel | 1С, SAP HR, SQL, TXT, XML, Excel, поддержка настраиваемых скриптов для выгрузки кадровых данных | 1C, Босс-Кадровик, SAP HCM (в качестве доверенного источника может использоваться в том числе любая управляемая система) | Большинство из 35 универсальных коннекторов могут быть использованы и как доверенный источник и как целевая система (reconcilation & provisioning) В качестве доверенного часто используется Flat File Connector и специализированные коннекторы к Кадровым системам - Oracle e-Business Employee Reconciliation, PeopleSoft Employee Reconciliation, SAP Employee Reconciliation, а также партнерские разработки (коннекторы к 1С Кадры, Босс-Кадровик) |
Oracle HR, LDAP, Microsoft AD, Унивресальный (посредством Directory integrator - файлы, каталоги, СУБД, потоки) |
Коннекторы к целевым системам (ОС) | Windows, Linux | Windows | Windows, Solaris, AIX, Ubuntu, RedHat, CentOS, HP UNIX, VMS | Windows, Unix (AIX, HP-UX, Linux, Solaris и д.р.), IBM OS (S/390, OS/400) | Windows, Unix/Linux |
Коннекторы к целевым системам (СУБД) | Oracle, MS SQL, My SQL, PostgreSQL, Informix*, InterBase* | Любые СУБД поддерживающие интерфейсы OLEDB, JDBC | Oracle, MS SQL, MySQL, PostgreSQL | Exadata V2 Oracle9i Database Oracle Database 10g and 11g as either single database or Oracle RAC implementation Oracle Database 12c as single database, pluggable database (PDB), or Oracle RAC implementation Microsoft SQL Server 2005, 2008, 2012 MySQL 5.x IBM DB2 UDB 9.x, 10.x Sybase 15.x |
Oracle, Microsoft SQL Server, DB2, Sybase |
Коннекторы к целевым системам (ППО) | АБС Кворум, СПО Аламеда, TOPS Unicus, Microsoft CRM Dinamix*, SharePoint, HP SM, Citrix*, CFT IBSO*, BSS Банк-Клиент*, Remedy* | АСУСТ, АСОУП, ОСКАР-М, АСТРА, СИРИУС, АДКО, АФСБ, ПТК ПСД, АСУР, АС ВХД, АБС ЦФТ (в разработке), Remedy | Office356, Google Aps, SharePoint | BMC Remedy Ticket Management BMC Remedy User Management CA ACF2 Advanced CA Top Secret Advanced GoogleApps IBM RACF Advanced IBM RACF Standard RSA ClearTrust |
Siebel JDB, PeopleTools, Novell Directory Services, MS Office 365 |
Коннекторы к целевым системам (почтовые сервисы) | Exchange, Lotus Notes/Domino | Exchange, Lotus Notes/Domino | Exchange, Lotus Notes/Domino | MS Exchange, IBM Lotus Notes/Domino, Novell GroupWise |
Lotus Notes, Blackberry Enterprise Server |
Коннекторы к целевым системам (PKI) | При утановке модуля PKI: КриптоПро (все версии), StepUp, Keon, CA Microsoft, NotaryPro, CheckPoint | КриптоПро, CA Microsoft | Microsoft CA, КриптоПРО | Партнерские разработки - коннекторы к УЦ CryptoPro и Aladdin TMS | Нет |
Коннекторы к целевым системам (хранилище данных) | SAP, Lotus, Documentum | Lotus | SAP, Lotus | SAP, Lotus | Sharepoint, Documentum Content Server |
Коннекторы к целевым системам (СЭД) | jDocFlow, Directum, PayDox, Летограф, Летопись, DocVision | БОСС-Референт | Нет | Нет | Нет |
Коннекторы к целевым системам (веб-сервисы) | SCIM, SOAP, REST | SOAP, REST | SCIM, SOAP, REST, WSDL, JSON | Универсальный WebServices коннектор (любая целевая система, предоставляющая webservice endpoints) и Oracle Identity Manager SCIM service | Нет |
Коннекторы к целевым системам (СКУД) | AS101 | Нет | Нет | Партнерские решения (Quantum Secure's Physical Security Policy Platform (SAFE)) | Нет |
Коннекторы к целевым системам (ERP) | 1C, SAP, Галактика, Летограф, Axapta | 1C, SAP ERP, Microsoft Dynamics Navision | SAP, 1C | JDEdwards EnterpriseOne Oracle CRM OnDemand Oracle e-Business User Management Oracle Retail Warehouse Management System PeopleSoft Campus Solutions PeopleSoft User Management SAP User Management Engine SAP User Management Siebel User Management |
SAP |
Коннекторы к целевым системам (другие) | Виртуальный коннектор, SOAP, LDAP, популярные SaaS-сервисы (посредством универсального модуля сопряжения (коннектора), работающего по протоколу SCIM) | EMC Celerra, Secret Net, LDAP, ППО на базе SQL, настраиваемый скриптовый коннектор, виртуальный коннектор | LDAP, CSV, XML | Microsoft Active Directory Novell eDirectory Oracle Internet Directory Sun Java System Directory WebServices |
SoftLayer Server, IBM Security Access Manager, Password Synchronization for Active Directory, Google Apps Adapter, GroupWise, Desktop Password Reset, Cisco Unified Communications |
Разработка коннекторов
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Разработка производителем коннекторов на заказ | Да (при необходимости в рамках техподдержки может выполняться обновление коннекторов) | Да (существует возможность настройки коннекторов на различные источники данных) | Да (с использованием промышленного инструмента для интеграции данных) | Да | Да |
Среда для самостоятельной разработки коннекторов (SDK) | Да (.Net SDK, в комплекте) | Да (предоставляется при закупке соответствующей лицензии) | Да (Java SDK) | Да (входит в комплект поставки) | Да (2 средства, входят в базовую поставку продукта: - IBM Security Directory Integrator - визуальное средство быстрой разработки информационных взаимодействий; - Adapter SDK - набор библиотек и руководство для самостоятельной разработки коннекторов) |
Функциональные роли IDM
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Администратор ситемы | Да | Да | Да | Да | Да |
Администратор безопасности | Да | Да | Да | Да (аудитор) | Да (аудитор) |
Администратор учетных записей | Да | Да | Нет | Да | Да (сотрудник справочной службы, менеджер, владелец службы) |
Администратор ресурса | Да | Да | Нет | Да | Нет |
Администратор ролей (включает в себя все роли) | Да | Да | Нет | Да | Нет |
Сотрудник службы поддержки | Нет | Нет | Да | Да | Да |
Владелец ресурса | Да | Да | Да | Да | Да |
Владелец роли | Нет | Да | Да | Да | Да (для статических и динамических ролей) |
Линейный руководитель | Нет | Да | Да | Да | Да (менеджер) |
Сотрудник | Да | Да | Да | Да | Да |
Возможность настройки функциональных ролей | Нет | Да | Да | Да | Да (внутренняя ролевая модель, возможность управлять своими собственными ролями посредством продукта) |
Другие роли | Администратор кадровой системы, самостоятельно формируемые роли | Нет | Владелец системы, куратор | ALL USERS, OPERATORS, SELF OPERATORS, BIReportAdministrator | Привилегированный администратор |
Общие функциональные возможности
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Автоматический запуск рабочих процессов по событиям доверенного источника (учет кадровых событий) | Да | Да | Да (в реальном времени) | Да | Да |
Создание собственных правил, позволяющие производить дополнительные вычисления и выполнять обращения к внешним источникам данных | Да | Да (посредством подсистемы синхронизации) | Да (правила пишутся на скриптовых языках JavaScript и Groovy, и позволяют вносить изменения без необходимости перезапуска системы) | Да | Да |
Настройка организационной структуры предприятия (автоматическая, ручная) | Да (автоматическая, ручная) | Да (автоматическая, ручная) | Да (автоматическая, ручная) | Да | Да |
Настройка рабочих процессов (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/ресурсов/оргструктуры) | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры) | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры) | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры и других) | Да | Да (включая согласование и автоматическое создание, изменение, удаление учётных записей/ролей/оргструктуры) |
Настройка отображаемых форм (карточки заявки/сотрудника/роли/ресурса/подразделения) | Нет | Да (карточка заявки) | Да (карточка заявки/сотрудника/роли/ресурса/подразделения) | Да (карточка заявки/сотрудника/подразделения) | Да (сотрудника/подразделения) |
Возможность расширения атрибутов объектов ИС (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений) | Нет | Да (атрибуты карточки сотрудника, атрибуты подразделений) | Да (атрибуты карточки сотрудника, атрибуты роли, атрибуты ресурса, атрибуты подразделений) | Да (атрибуты карточки сотрудника, атрибуты подразделений) | Да (атрибуты карточки сотрудника, атрибуты подразделений) |
Поддержка Kerberos-аутентификации (в различные консоли продукта) | Да | Да | Да | Да | Да (поддержка всех механизмов аутентификации, предусмотренных WebSphere Application Server включая SPNEGO) |
Обеспечение синхронизации данных между несколькими источниками | Да | Да | Да (возможно в режиме реального времени) | Да | Да |
Управление учетными записями
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Создание учетных записей | Да | Да | Да | Да | Да |
Внесение изменений в учетные записи | Да | Да | Да | Да | Да |
Настройка правил заполнения атрибутов учетных записей | Да | Да | Да (с помощью предустановаленных правил или JavaScript/Groovy) | Да | Да |
Блокировка/удаление учетных записей | Да | Да | Да | Да | Да |
Возможность автоматизации управления учетными записями | Да | Да | Да | Да | Да |
Возможность ручного управления учетными записями | Да | Да | Да | Да | Да |
Настройка сценариев действий с учетными записями при определенных условиях (увольнение, отпуск и т.д.) | Да | Да | Да | Да | Да |
Централизованное хранение учетных записей | Да | Да | Да | Да | Да |
Возможность устанавливать взаимозависистости между учётными записями в различных целевых системах | Да | Нет | Да (также есть список защищённых учетных записей) | Да | Да |
Возможность автоматического связывания учётных записей с сотрудниками по правилам | Да | Да | Да | Да | Да |
Возможность настройки правил генерации паролей для каждой целевой системы | Да | Нет | Да | Да | Да |
Управление правами доступа
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Ролевая модель доступа (автоматическое построение) | Да (с использованием компонента Role Manager) | Да | Нет (по мнению вендора автоматическое создание ролей приводит к тиражированию избыточных прав доступа и рискам ИБ, поэтому данный функционал не реализуется) | Да | Да |
Ролевая модель доступа (ручное построение) | Да | Да | Да | Да | Да |
Атрибутная модель прав доступа | Нет | Да | Нет | Да | Нет (требует дополнительного модуля IBM Security Identity Governance) |
Управление типовым доступом подразделения | Нет | Да (назначенный на подразделения доступ автоматически транслируется должностям и сотрудникам внутри подразделений) | Да (для подразделелений, должностей, типов сотрудников) | Да (назначение ресурсов подразделению, создание правил для назначения ролей, разграничение доступа по административным ролям привязано к подразделениям, видимость элементов каталога настраивается на подразделения) | Да |
Ресертификация ролей | Да | Да | Да | Да | Да |
Сертификация прав доступа | Да (по расписанию) | Да (по расписанию, в режиме реального времени) | Да (по расписанию, в режиме реального времени) | Да (по расписанию, в режиме реального времени) | Да (по расписанию) |
Просмотр информации по правам доступа | Да | Да | Да | Да | Да |
Наличие фильтра для просмотра информации по правам доступа | Да | Да | Да | Да | Да |
Автоматическое изменение прав доступа по заявкам | Да | Да | Да | Да | Да |
Ручное изменение прав доступа по заявкам | Да | Да (автоматическая генерация инструкций на изменение прав доступа) | Да | Да | Да |
Наличие атрибута у роли, определяющего автоматическое и ручное назначение роли | Да | Да(должностной и типовой доступ) | Да | Да | Нет |
Предоставление прав на заданный период времени | Да | Да | Да (начало и окончание срока действия) | Да | Да (требует ручного написания правила жизненного цикла) |
Управление правами доступа к целевой системе, для которой отсутствует прямое физическое подключение к IdM | Да (создание виртуального ресурса - образа целевой системы с точки зрения прав доступа. Подключение виртуального ресурса к IdM. Управление правами доступа осуществляется в ручном режиме при получении соответствующих уведомлений или задач в системе сервис-деск) | Да (для подключения необходимо описать модель разграничения доступа с помощью файла специального формата (какие типы информационных ресурсов, ролей, прав доступа и т.д. существуют в системе). После этого становится возможным создавать заявки на предоставление доступа к такой системе в КУБ. Естественными ограничениями такого подхода являться невозможность автоматического исполнения таких заявок, а также невозможность контроля состояния информационной системы) |
Да (виртуальный ресурс по заявкам) | Да (концепция отсоединенного ресурса через SOA Human Task) | Да (включая создание ресурсов и процессов для "ручной" отработки, при необходимости совершения действий человеком создаётся соответствующая заявка) |
Управление заявками
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Создание заявок (для одного пользователя) | Да | Да | Да | Да | Да |
Создание заявок (для нескольких пользователей) | Да (на присвоение одинакового набора ролей) | Да | Да | Да | Да |
Создание заявок (на несколько прав для нескольких пользователей) | Нет | Да | Да | Да | Нет (требует дополнительного модуля IBM Security Identity Governance) |
Содание заявки по образцу | Да | Нет | Нет | Да | Нет (требует дополнительного модуля IBM Security Identity Governance) |
Создание заявки сотрудником | Да | Да | Да | Да | Да |
Создание заявки руководителем | Да | Да | Да | Да | Да |
Создание завки администратором IdM | Да | Да | Да | Да | Да |
Импорт заявок из внешних систем | Нет | Да | Да (ITSM, системы документооборота, другие системы IdM) | Нет | Нет |
Согласование заявок (последовательное, параллельное) | Да (последовательное, параллельное) | Да (последовательное, параллельное) | Да (последовательное, параллельное) | Да (последовательное, параллельное) | Да |
Возможность согласовать или отколнить несколько заявок за раз | Да | Да | Да | Да | Нет (требует дополнительного модуля IBM Security Identity Governance) |
Просмотр заявок | Да | Да | Да | Да | Да |
Ограничение видимости заявок (необходимо для согласовнаия владельцами ресурсов, чтобы они не видели не свои ресурсы в заявке) | Да | Да (фильтр по создателю, а не по ресурсам) | Да (возможно любое разбиение заявки) | Да | Нет |
Внесение изменений (уточнений) в заявку при согласовании | Да | Нет | Да (существует возможность частично согласовать заявку - отклонить часть запрошенных прав, поменять сроки действия) | Да | Нет |
Группирование заявок по согласующим лицам | Да | Да | Да | Да | Нет |
Делегирование права согласования (автоматическое, ручное) | Да (автоматическое, ручное) | Да (автоматическое, ручное) | Да (автоматическое) | Да (автоматическое, ручное) | Да (автоматическое, ручное) |
Cогласование заявок средствами внешних систем документооборота | Да | Да | Да (ITSM, системы документооборота, другие системы IdM) | Да | Да |
Использование ЭЦП при создании и согласовании заявок | Да | Да | Нет | Да (партнерские разработки) | Нет |
Автоматическое исполнение заявок | Да | Да | Да | Да | Да |
Ручное исполнение заявок | Да | Да | Да | Да | Да |
Настройка бизнес-процессов согласования заявки | Да | Да | Да (промышленный редактор процессов) | Да | Да |
Составление принудительного списка согласующих лиц | Да | Да | Да | Нет | Да |
Настройка регламента сроков согласования заявки | Да | Да | Да | Да | Да |
Контроль исполнения заявок | Да (при помощи веб-интерфейса и/или электронной почты) | Да (посредством направления уведомлений по электронной почте) | Да | Да | Да |
Настройка оповещений по электронной почте - по какому событию и каким получателям отправляются | Да | Да | Да | Да | Да |
Отчетность
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Построение отчетов | Да | Да | Да | Да | Да |
Типы отчетов |
Общие отчеты (отчет по учетным записям; отчет по подразделениям; отчет по должностям; отчет по пользователям) Основные отчеты (сотрудники, у которых отзывалась роль; сотрудники, которым назначалась роль; роли, которые отзывались у сотрудника; роли, которые назначались сотруднику; сотрудники, у которых отзывалось право; сотрудники, владевшие правом; роли, назначавшиеся по должности; роли, назначавшиеся по подразделению) Отчеты по заявкам (заявки за период; заявки на согласовании более х времени; отклоненные заявки за период; заявки по запрашивающему пользователю; |
Общие отчеты (отчеты этой группы содержат сведения о заявках, сотрудниках организации и ресурсах подразделений) Отчеты отдела кадров (отчеты этой группы содержат сведения, необходимые для работы отдела кадров) Отчеты службы ИБ(эти отчеты содержат сведения о наличии и отсутствии связей объектов системы между собой) |
Отчёты о текущих состояниях объектов (заявок, карточек сотрудников, ролей, ресурсов и т.п.) Отчёты об изменениях объектов Отчёты о состоянии объектов на дату в прошлом |
Отчеты по политикам доступа Отчеты по аттестации, заявкам и согласованиям Отчеты по ролям и организационной структуре Отчеты по паролям Отчеты по ресурсам и правам доступа Отчеты по пользователям |
Требования( отчеты, предоставляющие данные процесса рабочего потока, например операции с учетной записью, утверждения и отклонения) Пользователи и учетные записи (отчеты, которые позволяют получить данные о пользователях и учетных записях, например: права доступа физических лиц, активность учетной записи) Службы (отчеты, предоставляющие данные о службах, например статистические данные о согласовании, список служб и сводка по учетным записям службы) Аудит и защита (отчеты, предоставляющие данные об аудите и безопасности, например сведения об управлении доступом, события аудита и учетные записи, не отвечающие требованиям) |
Отображение отчетов (веб-страница, экспорт в файл, печать) | Веб-страница, экспорт в файл (pdf, excel), печать | Веб-страница, экспорт в файл (excel), печать | Веб-страница, экспорт в файл (pdf, excel, csv), печать, автоматическая отправка по эл.почте по расписанию | Веб-страница, экспорт в файл (HTML, PDF, RTF, MHTML), печать | Веб-страница, экспорт в файл (pdf), печать |
Пользователь имеет возможность задать свою форму отчета | Да (имеется API для построения отчетов) | Да (имеется API для построения отчетов) | Нет (но возможно использовать промышленный редактор отчётов) | Да (посредством использования инструмента для создания любых собственных отчетов - BI Publisher) | Да (визуальный инструментарий Cognos, входит в комплект поставки продукта) |
Разработка производителем форм отчетов на заказ | Да | Да (настройка при помощи xslt) | Нет (но возможно через промышленный редактор отчётов, можно самому сделать любой отчёт) | Да | Нет (но возможно через бизнес-партнёров) |
Отчеты в виде таблиц | Да | Да | Да | Да | Да |
Графические отчеты | Нет (добавляются по заказу, предустановленных нет) | Нет (добавляются по заказу, предустановленных нет) | Да | Да | Да |
Наличие фильтров для отбора информации при формировании отчетов | Да | Да | Да | Да | Да |
Отчеты о сотоянии прав на определенную дату в прошлом (Snapshot) | Да | Нет (функционал находится в разработке) | Да | Да | Да |
Аудит учетных записей и прав доступа
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Автоматизированный аудит прав доступа | Да (через регулярные промежутки времени) | Да (непрерывный контроль прав пользователей в режиме реального времени) | Да(в режиме реального времени) | Да | Да |
Аудит прав доступа и различных событий по предоставлению прав доступа, выполняемый администратором | Да | Да (посредством использоания подсистемы отчетов) | Да (интерактивно и в отчётах) | Да | Да |
Автоматическое обнаружение несогласованных полномочий | Да | Да | Да | Да | Да |
Уведомление ответсвенных лиц о несоответствии | Да | Да | Да | Да | Да |
Автоматическое исправление несоответствия | Да | Да (после согласования офицером ИБ) | Да (по согласованию и автоматически) | Да | Да |
Возможность пересмотра учётных записей пользователей по событию | Да | Да | Да | Да | Да |
Возможность пересмотра учётных записей пользователей по расписанию | Да | Нет | Да | Да | Да |
Проверка наличия «мертвых» учетных записей и возможность их блокировки в автоматическом и ручном режиме | Да (блокировка в ручном режиме) | Да (блокировка в ручном режиме) | Да (блокировка вручную и автоматически по правилам) | Да | Да |
Производительность и отказоустойчивость
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Масштабируемость системы (по производительности и объему обрабатываемой информации) | Возможна кластеризация | Fail-over и load balancing кластеризация | Возможность кластеризации основных компонентов (приложение и база данных), а также размещения служб управления коннекторами на отдельных хостах | Кластеризация, внутреннее распаралеливание нагрузки, вертикальное и горизонтальное масштабирование | Возможна кластеризация всех компонентов решения (сервера приложений, СУБД, LDAP каталоги) |
Возможности резервирования | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных | Путем использования стандартных механизмов работы с базами данных и LDAP калатолгов. |
Дополнительные возможности
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Наличие собственных дополнительных модулей безопасности | PKI, SSO | Модуль управления и контроля программно-аппаратных конфигураций | DLP, контроль безопасности кода, аналитика ИБ | Можно использовать средства защиты ОС (например, сертифицированного по СВТ НСД3+НДВ2 Oracle Enterprise Linux), СУБД (например, прозрачное шифрование Oracle Advanced Security или контроль Databas Vault), сервера Weblogic (SSL 3.0 или TLS в Platform Security Services) и других решений Oracle Identity & Access Management | Нет |
Интеграция со стронними системами безопасности | SSO, SIEM, PKI, ITSM, СКУД | SSO, SIEM, PKI, ITSM, СКУД | SSO, SIEM, PKI, ITSM, СКУД, DLP, Anti-Fraud | SSO через OAM, авторизация через OES, мобильная безопасность через OMSS, доставка учетных данных на рабочие станции через ESSO и т.д. | IBM Security Identity Governance, IBM QRadar SIEM, IBM Security Access Manager for Web, IBM Security Access Manager for Enterprise SSO, IBM Security Priviledged Identity Manager, IBM Security Federated Identity Manager, IBM RACF2, RSA Authentication Manager |
Поддержка интеграции с приложениями сторонних производителей (в том числе SAP, PeopleSoft и Siebel), а также поддержка нескольких каталогов и баз данных пользователей (Oracle WebLogic Server и Microsoft SharePoint) | Да | Да (встраивание в корпоративные порталы, интеграция с внешними системами документооборота) | Да | Да | Да (включая SAP, PeopleSoft, Siebel, Microsoft SharePoint) |
Поддержка облачных приложений, таких как IBM LotusLive ™, Salesforce.com и приложений Google за счет использования открытых стандартов, как SAML, Liberty, WS-Federation, WS-Security, WS-Trust, OpenID и Oauth | Да | Да(поддержка облачных сервисов аутентификации SAML, WS-Security и т.д.) | Да (Office365, GoogleAps) | Да | Да (включая LotusLive, SalesForce.com, Google apps) |
Обеспечение интеграции и аутентификации с открытыми интерфейсами прикладного программирования (API) | Да | Да | Да | Да | Да |
Лицензирование
Параметр сравнения | Avanpost IDM | КУБ | Solar inRights | Oracle Identity Manager | IBM Security Identity Manager |
Описание политики лицензирования | Политика лицензирования учитывает количество пользователей и количество коннекторов к информационным системам. Есть существенные скидки при покупке системы на большое количество пользователей |
Политика лицензирования учитывает количество пользователей и количество поддерживаемых целевых систем | Политика лицензирования учитывает количество пользователей | Лицензирование сервера по пользователям или по процессорам, коннекторов - по типам, сервер OIM лицензируется отдельно либо в составе IAMS или IGS | Два варианта лицензирования: - по физическим сотрудникам, имеющим доступ к системе - unlimited лицензирование по процессорным мощностям серверов ядра системы. |
Калькулятор цен | www.avanpost.ru (цена предоставляется по запросу) |
www.cube-system.ru (цена предоставляется по запросу) |
solarsecurity.ru (цена предоставляется по запросу) |
Technology Commercial Price List на www.oracle.com | www.ibm.com (цена предоставляется по запросу) |
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
Алексей Воронцов, IT Security Architect, IBM
Андрей Конусов, Генеральный директор, Аванпост
Валентин Крохин, Директор по маркетингу, Solar Security
Дмитрий Бондарь, Руководитель направления inRights, Solar Security
Олег Губка, Директор по развитию, Аванпост
Роман Павлов, Менеджер продукта, ТрастВерс
Читайте также: Сравнение систем управления доступом (IdM/IAM) 2016. Для продуктов: 1IDM, SailPoint Identity IQ, Dell One Identity.