Обзор 1IDM, системы управления учетными записями и доступом

В статье рассматривается система управления учетными записями и доступом 1IDM, разработанная одноименной российской компанией. В материале представлены архитектура решения, его функциональные возможности и описание основных интерфейсов системы.

1. Введение

2. Архитектура 1IDM

3. Функциональные возможности 1IDM

4. Работа с 1IDM

5. Выводы

Введение

Российский рынок IdM/IAM-систем молодой, но активно развивающийся. На нем представлены как зарубежные продукты, так и отечественные. В наших статьях мы уже делали обзор популярных IdM/IAM-систем в контексте мирового и российского рынка («Обзор IdM/IAM-систем на мировом и российском рынке»), а также проводили детальное сравнение таких систем управления доступом («Сравнение систем управления доступом (IdM/IAM) 2015»). В 2015 году на российском рынке появился новый игрок, который представил решение, относящееся к классу IdM/IAM-систем. Название этого производителя  — 1IDM — прекрасно отражает направление его деятельности.

Продукт 1IDM — это комплексное интеллектуальное решение, предназначенное для автоматизации управления учетными записями и правами доступа пользователей в информационных системах, построения ролевых моделей, аудита имеющихся доступов, обработки электронных заявок на доступ и др. 1IDM создан на базе популярной в России платформы автоматизации 1С:Предприятие, провижининга OpenIDM и коннекторов OpenICF.

Здесь необходимо отметить, что использование системы 1С:Предприятие, у которой более миллиона инсталляций в России,  в качестве базовой платформы несомненно является отличительной особенностью продукта среди представителей IdM/IAM-систем на российском рынке.

1IDM оптимален для внедрения в организациях среднего и крупного бизнеса — как в компаниях с количеством сотрудников от 500 человек, так и в организациях с тысячами сотрудников и географически разнесенной сетью офисов и филиалов, при этом не существует требования к предварительному использованию платформы 1С:Предприятие заказчиком.

Компания 1IDM была основана группой профессионалов, выполнивших серию крупных IdM-проектов за последние несколько лет — у них возникла идея создания продукта, который бы отвечал требованиям российских реалий и менталитета, а также мог работать с отечественными кадровыми системами, что позволило бы намного быстрее интегрироваться в существующие у заказчика бизнес-процессы. Проанализировав лучшие мировые системы управления доступом, с учетом актуальных требований и реалий российского рынка IdM/IAM-решений и требований отраслевых регуляторов, специалисты компании разработали собственное IdM-решение.

Работа над созданием продукта велась около 2 лет, а кризисные явления и тема импортозамещения ускорили процесс разработки, в результате чего первый релиз работающей системы вышел в начале лета 2015 года.

Архитектура 1IDM

Система 1IDM представляет собой продукт, созданный на базе открытых платформ, и состоит из следующих компонентов:

• модуль бизнес-логики и пользовательского интерфейса (реализован на базе 1С:Предприятие 8.3);
• модуль управления взаимодействием с информационными системами — провижининг (реализован на базе OpenIDM);
• модули интеграции с информационными системами — коннекторы (реализованы на базе OpenICF);
• база данных;
• консоль администратора и пользователей системы (веб-интерфейс).

Использование платформы автоматизации 1С:Предприятие и открытых платформ предоставляет следующие преимущества:

• использование системы 1IDM на базе уже имеющейся у клиента платформы 1С:Предприятие — тем самым уменьшается стоимость внедрения и поддержки новой системы;
• использование 1С:Предприятие позволяет на основе типовой конфигурации дорабатывать систему 1IDM под конкретного клиента;
• использование открытых платформ дает возможность компаниям, использующим 1IDM, самостоятельно выбирать тип дальнейшего сопровождения системы — привлекать стороннего подрядчика или осуществлять сопровождение силами собственных ИТ-специалистов.

Рисунок 1. Архитектура решения

В состав продукта входит комплект штатных коннекторов к ключевым информационным системам (предоставляется без дополнительной платы). В случае отсутствия коннектора к какой-либо системе производитель предоставляет услуги по разработке коннекторов на заказ (ориентировочно разработка коннекторов занимает 3-5 дней):

• для широко распространенных на российском рынке информационных систем разработка коннектора выполняется бесплатно;
• для специфичных информационных систем услуга по разработке коннектора является платной.

Ниже приведен перечень штатных коннекторов к ключевым информационным системам:

• Кадровые системы:
• 1C:Предприятие 8 «ЗУП»;
• 1C:Предприятие 8 «УПП»;
• Oracle HR;
• SAP HCM;
• БОСС-Кадровик.
• Каталоги и почтовые системы:
• Microsoft Active Directory;
• LDAP (Open LDAP, Zimbra LDAP и др.);
• Microsoft Exchange;
• IBM Lotus Notes/Domino.
• ERP-системы и Порталы:
• 1C:Предприятие 8;
• SAP R/3;
• Oracle EBS;
• Microsoft SharePoint.
• CRM-системы:
• Oracle Siebel;
• Microsoft Dynamics;
• Salesforce.
• Операционные системы:
• Solaris;
• Windows;
• Linux;
• IBM OS/400.
• Универсальные коннекторы:
• СУБД (Oracle, SQL Server, DB2 и др.);
• File (CSV, XML и др.);
• PowerShell;
• WebServices (REST, SPML, SOAP, JSON).

Кроме того, система 1IDM содержит штатные модули интеграции с распространенными на российском рынке системами для поддержки технологии единого входа (SSO), формирования электронной подписи: Indeed ID, КриптоПро.

В системе реализованы веб-сервисы, с помощью которых возможно выполнить интеграцию с внешними системами согласования запросов и системами Service Desk.

Функциональные возможности 1IDM

1IDM представляет собой решение, предназначенное для автоматизации управления учетными записями и правами доступа пользователей в информационных системах, построения ролевых моделей, аудита имеющихся доступов, обработки электронных заявок на доступ и др. Кроме того, в системе реализованы контроль рисков прав доступа, управление привилегированными и сервисными учетными записями, модуль по анализу привилегий в информационных системах для автоматизированного создания бизнес-ролей.

Ниже приведены функциональные возможности 1IDM:

• синхронизация с кадровыми и целевыми системами;
• разработка своих коннекторов на языках программирования .NET и Java;
• возможность интеграции с внешними системами для согласования заявок и с системами класса Service Desk;
• наличие API для взаимодействия 1IDM и внешних (не целевых) систем через веб-сервисы и COM;
• в состав продукта входит комплект штатных коннекторов к целевым системам;
• системой предоставляются штатно реализованные бизнес-процессы (управление учетными записями пользователей, правами пользователей, организационной структурой, IdM-ролями);
• синхронизация всех внутренних справочников 1IDM с внешними источниками осуществляется в автоматическом режиме;
• управление правами доступа к целевой системе, для которой отсутствует прямое физическое подключение к 1IDM («отключенные» приложения);
• настройка в один клик реакции на кадровые события по смене рабочего статуса пользователя, переводу в организационной структуре, смене ФИО;
• поддерживается обработка нескольких одновременных кадровых назначений;
• в системе поддерживается ролевая модель доступа (автоматическое назначение прав доступа пользователям на основании формальных признаков, таких как «тип пользователя», «место работы», «подразделение» и др.);
• в системе поддерживается атрибутивная модель назначения прав доступа;
• каталог прав доступа — поддержка типов доступа: учетная запись (в целевой системе), привилегия (конечное право доступа в целевой системе), бизнес-роль (бизнес-совокупность систем, привилегий и др. ролей); автоматическая синхронизация привилегий и информационных ресурсов из целевых систем с возможностью чтения только необходимых прав доступа; разграничение видимости прав для различных групп пользователей и т. д.;
• поддерживается работа с несколькими учетными записями для одного пользователя;
• в системе реализован контроль рисков, при котором выполняется расчет показателя риска на основе анализа прав доступа пользователей, их принадлежности к подразделениям, SoD-матрице, правам, для которых не был проведен плановый пересмотр;
• настройка бизнес-процессов согласования заявки;
• поддерживаются заявки на временный доступ к привилегированным учетным записям;
• поддержка ЭП для подписи запросов согласующими лицами;
• в состав системы входят штатные функциональные роли («Пользователь», «Руководитель», «Владелец роли», «Сотрудник ИБ»), а также существует возможность конфигурирования своих ролей без программирования;
• поддержка механизмов аутентификации на основании внутреннего логина/пароля пользователя в 1IDM, Kerberos-аутентификации;
• система отчетности, содержащая, в том числе, историю обработки всех заявок и историю изменения доступов пользователей (реализована штатная возможность создания новых отчетов без программирования);
• выполнение аудита учетных записей и прав доступа пользователей в целевых системах с возможностью автоматической либо ручной обработки обнаруженных расхождений в 1IDM;
• в системе поддерживаются оповещения по событиям через e-mail и SMS (например, «Создание пользователя», «Создание заявки на согласование»);
• для конечных пользователей системы предоставляется «Модуль самообслуживания пользователей».

Работа с 1IDM

Работа с системой 1IDM начинается с главной страницы, где содержится информация и элементы управления, к которым пользователи обращаются чаще других. Содержание начальной страницы может настраиваться в соответствии с потребностями заказчика.

Рисунок 2. Начальная страница 1IDM

Интерфейс системы 1IDM предоставляет пользователю для работы следующее меню:

• «Главное»;
• «Пользователи»;
• «Права и ресурсы»;
• «Запросы»;
• «Отчеты»;
• «Администрирование».

Меню «Пользователи» предназначено для управления информацией о компаниях, организационной структуре и пользователями.

Рисунок 3. Управление пользователями в 1IDM

В карточке каждого пользователя содержится персональная информация о нем, месте его работы, информация о правах, учетных записях и ролях, предоставленных ему в информационных системах предприятия, а также информация о делегировании полномочий. При необходимости список атрибутов может быть изменен.

Рисунок 4. Карточка пользователя в 1IDM

Для управления правами доступа используется меню «Права и ресурсы», в котором есть каталог, содержащий информацию обо всех приложениях, правах и ролях, доступных в системе. Также здесь настраивается работа с информационными ресурсами (например, сетевыми папками), правила ролевой модели, запрос доступа к привилегированным учетным записям и доступен список всех учетных записей, зарегистрированных в системе.

Рисунок 5. Каталог прав 1IDM

Создание и обработка запросов на предоставление и изменение прав осуществляется в меню «Запросы». Здесь для пользователя доступна информация обо всех его созданных запросах, информация о запросах, требующих его согласования, а также настраиваются маршруты согласования запросов и логика обработки кадровых событий.

Рисунок 6. Работа с запросами в 1IDM

В меню «Отчеты» можно построить отчеты по истории заявок, истории изменения прав доступа пользователей, по использованию привилегированных учетных записей и т. д.

Рисунок 7. Отчеты в 1IDM

Меню «Администрирование» предоставляет функции для настройки, обслуживания и мониторинга состояния системы.

Рисунок 8. Администрирование 1IDM

Выводы

В данном кратком обзоре мы познакомились с новой системой управления учетными записями и доступом 1IDM. Эта разработка отечественного производителя обладает следующими ключевыми преимуществами:

• российское IdM/IAM-решение;
• открытый исходный код компонентов;
• реализация на базе открытых платформ и тесная интеграция с 1C:Предприятие;
• необходимый функционал доступен из коробки (производитель заявляет минимальное программирование при внедрении);
• обширные возможности по настройке системы;
• быстрый и удобный веб-интерфейс;
• доступность внедрения и сопровождения;
• интеграция со сторонними продуктами по информационной безопасности (Indeed ID, КриптоПро).

Как видно из приведенного обзора, в системе реализовано большинство основных функций, которые сегодня требуются от IdM/IAM-систем (отличия от существующих продуктов, конечно же, имеются, но в данной статье детальное сравнение не предполагается). Из явно видимых недостатков в настоящее время можно выделить следующие:

• имеются ограничения по кастомизации (в веб-интерфейсе нельзя отобразить логотип клиента, присутствуют элементы, относящиеся к системе 1С, которые нельзя скрыть, и т. д.), при этом система легко может быть интегрирована в имеющийся корпоративный портал;
• отсутствует возможность согласовать или отклонить несколько запросов прав за раз, но в одном запросе могут быть запрошены различные права для нескольких пользователей, и согласование может быть частичным;
• отсутствие у продукта сертификации по требованиям ФСТЭК России (это может являться существенным ограничением при использовании продукта в организациях государственного сектора и во многих частных компаниях).

В целом, система 1IDM представляет собой довольно мощный набор инструментов для автоматизации управления учетными записями и правами пользователей в информационных системах. Хотя решение находится в начале своего развития, по нашей оценке, оно уже является достойным представителем российских продуктов в классе IdM/IAM-решений.