В статье детально рассмотрен современный подход, предлагаемый компанией SailPoint Technologies, по переходу с существующих классических IDM-решений к функциональности IGA-систем, который позволит оптимизировать затраты компаний и сохранить вложенные ранее инвестиции в уже внедренные провижининг-системы. Ответим на вопросы: с какими проблемами сталкиваются компании при миграции решений на новые релизы и каким образом совершить этот переход без потерь.
- Введение
- Основные трудности компаний при миграции
- Подход SailPoint Technologies
- Ключевые особенности SailPoint IdentityIQ
- Выводы
Введение
Функциональность систем класса IDM (Identity Management) давно уже вышла за рамки возможностей классического решения по управлению жизненным циклом учетных записей и выдачи прав доступа (provisioning), хотя их продолжают называть популярным и устоявшимся сокращением IDM. Пройдя уже несколько этапов эволюции, эти системы обозначались как IAM (Identity and Access Management), IAG (Identity and Access governance), и наконец, они трансформировались в IGA (Identity Governance and Administration).
Решения IGA совместили в себе Provisioning, User Administration, Identity and Access Governance и позволяют решать более широкий круг задач:
- запрос прав доступа в гетерогенной среде (интерфейс самообслуживания) и автоматизированная выдача прав доступа;
- агрегирование и анализ ролей из целевых систем (role mining);
- ролевая модель управления доступом;
- контроль прав пользователей посредством инструмента последовательности выполняемых действий (workflow);
- выполнение задач разделения полномочий (SoD), поддержка политик, запрещающих совмещение определенных ролей;
- динамическая рисковая модель, оценка уровня риска (scoring);
- ресертификация/аудит доступа к информационным системам;
- управление паролями;
- генерирование различных отчетов, помощь в расследовании инцидентов ИБ.
Классические решения IDM (provisioning) были в первую очередь инструментом департаментов информационных технологий для решения рутинных задач по администрированию. В современных же IDM-системах произошло перераспределение ответственности за выдачу и контроль прав доступа с администраторов информационных систем на бизнес-пользователей (линейный руководитель, владелец ресурса, др.). Теперь рядовой пользователь может самостоятельно запрашивать доступ к ресурсам, а руководитель/владелец ресурса обрабатывать запрос и подтверждать правомерность доступа, проводить ресертификацию/аттестацию доступов своих подчиненных или пользователей его приложения как владелец ресурса. Решения теперь оперируют ролями, которые связаны с организационной структурой предприятия. Современные системы IDM обладают богатыми функциональными возможностями, которые позволяют решать различные задачи, связанные с управлением учетными записями и пользовательским доступом, в зависимости от потребностей конкретной организации.
Основные трудности компаний при миграции
Рассмотрим проблему, с которой сталкиваются компании с уже внедренными классическими IDM/IAM-системами. Проблема заключается в миграции/обновлении на «мажорные» версии, которые предполагают получение дополнительной функциональности и актуальной вендорской технической поддержки. Поскольку новые версии решений в большинстве случаев затрагивают кардинальные изменения всего приложения, обычно приходится практически заново ставить новую систему рядом, без плавного перехода и даже переписывать или дорабатывать коннекторы к используемым информационным системам, для которых уже осуществлялся процесс провижининга в рамках старой версии продукта. Получается, что компаниям приходится решаться на еще один проект по внедрению практически новой системы IDM для получения современного пакета IGA-функций с вытекающими из этого временными и денежными затратами.
Почему так происходит?
Большинство современных систем класса IDM являются составными продуктами, функциональные части которых докупались и интегрировались, а далее позиционировались на рынке как единый продукт. Сборные решения с внутренней интеграцией докупаемых компонентов предполагают присутствие нескольких интерфейсов и наборов утилит для различных задач по администрированию компонентов системы. Присутствует необходимость в синхронизации из нескольких хранилищ данных информации о пользователях, ролевой модели, модели политик, рисков, и пр., необходимость поддержки нескольких серверов приложений и баз данных. Это все приводит к возникающим проблемам при миграции на новые релизы и обновлении на новые версии системы, в особенности там, где была еще и проведена работа по кастомизации интерфейса и добавлению разработанных заказных функций c внесением изменений в функциональное ядро системы. Это создает значительные сложности в дальнейшей технической поддержке проведенных в рамках проекта доработок, а также при миграции на новые версии продукта. А сохранение разработанных функций для текущих версий систем при миграции на новые — становится невозможным.
Подход SailPoint Technologies
Компания SailPoint Technologies, являясь по мнению ведущих аналитических агентств уже более пяти лет признанным лидером и новатором на рынке систем класса IDM/IGA, предугадала проблемы по тяжелой миграции систем класса IDM на новые версии, с которыми компании столкнулись в настоящее время. SailPoint Technologies разработала и успешно внедряет на базе своей открытой платформы модули интеграции (Integration provisioning module) к уже существующим на инфраструктуре сторонним решениям IDM, тем самым предоставляя свой бизнес-ориентированный пользовательский интерфейс и расширенную функциональность комплекса IGA лидера рынка: формирование ролевой модели, модели политик и рисков, функциональность по процессу ресертификации доступа, SOD и прочее. Решению SailPoint IdentityIQ не важно, какая система отрабатывает процесс провижининга: главное, что это позволяет сохранить вложенные инвестиции на внедренные системы доступа и подключенные/написанные коннекторы к целевым системам и тем самым получить расширенную актуальную функциональность IGA-комплексов.
SailPoint применяет метод зонтичного покрытия своим решением других систем по управлению правами доступа и успешно это применяет на практике. В качестве примера приведем автомобильный концерн, который поглотил несколько отдельных автомобильных заводов, где были уже внедрены и работали системы IDM. SailPoint подключился к восьми провижининг-системам и предоставил единый пользовательский интерфейс и консоль управления, при этом сохранив вложенные на тот момент компаниями инвестиции по подключению и написанию коннекторов к целевым и другим информационным системам.
За счет чего возможен такой сценарий по подключению SailPoint IdentityIQ к сторонним системам классических IDM таких вендоров, как: Oracle, IBM, Novell (Microfocus), Microsoft и др.? И почему в дальнейшем миграция внедренной системы SailPoint IdentityIQ будет плавной?
Ключевые особенности SailPoint IdentityIQ
Рисунок 1. Открытая платформа и основные функциональные модули решения SailPoint IdentityIQ
Ответы на вопросы, отмеченные в предыдущем абзаце статьи, и соответствующие выводы можно сделать исходя из принципиальных особенностей и отличий SailPoint IdentityIQ от других IDM-решений:
Во-первых, используются единые:
- IDM-платформа — бизнес и технические функции системы реализованы на одном веб-приложении;
- веб-интерфейс для всех пользователей системы: рядовой сотрудник, руководитель, офицер безопасности, администратор системы, разработчик и пр.;
- хранилище пользователей и прав доступов в одной схеме данных в СУБД (нет необходимости синхронизировать пользователей, роли, политики и т. д. между компонентами);
- программно-аппаратный стек: система может быть развернута на одной виртуальной машине при минимальной конфигурации (низкие затраты на программную и аппаратную платформу);
- методология объектов решения и унифицированный инструмент по поддержке системы.
Во-вторых:
- Используется подход открытой платформы и разработанный пакет интеграционных модулей к наиболее популярным системам, что позволяет гибко подключать сторонние информационные системы, например IDM, SIEM, ITSM, PUM, MDM, GRC и др.
- Присутствует возможность гибкой доработки и изменения пользовательского интерфейса системы и добавления необходимой для заказчика кастомизированной функциональности с помощью уникального для IDM-решений механизма плагинов, без изменения функционального ядра системы. Это позволяет просто мигрировать на новые версии системы (аналогично стандартному функционалу системы).
Выводы
Подводя итог, еще раз отметим, что решение по управлению учетными записями и пользовательским доступом SailPoint IdentityIQ предоставляет организациям уникальную возможность получить необходимый современный пакет IGA-функций на базе уже существующих на инфраструктуре систем доступа за счет использования своей открытой платформы и разработанных модулей интеграции. Вышеописанный подход позволяет сохранить вложенные ранее инвестиции в разработку и подключение коннекторов к информационным системам организации, а также сократить временные и денежные затраты, связанные с миграцией решений IDM к классу IGA-систем.