Сертификат AM Test Lab
Номер сертификата: 155
Дата выдачи: 14.12.2015
Срок действия: 14.12.2020
2. Схема работы Solar inRights 2.0
3. Основные возможности Solar inRights 2.0
4. Поддерживаемые информационные системы
5. Системные требования Solar inRights 2.0
6. Описание функциональных возможностей Solar inRights 2.0
7. Работа с Solar inRights 2.0
7.4. Создание и согласование заявок
8. Лицензирование Solar inRights 2.0
Введение
Тема управления доступом к информационным системам актуальна, пожалуй, для каждой крупной компании. Рано или поздно в организации встают вопросы о том, как снизить временные издержки в процессе управления доступом и повысить его эффективность, как справиться с большим потоком заявок на доступ и не раздувать при этом штат, как обеспечить соблюдение регламентов управления доступом и контролировать избыточный доступ при текущей численности службы безопасности. Для решения этих проблем применяются системы класса Identity Management (IdM), предназначенные для автоматизации процессов управления правами доступа сотрудников в информационных системах.
Долгое время рынок систем управления доступом в России принадлежал в основном западным решениям. Но в последнее время на рынке начали появляться и весьма достойные продукты отечественной разработки. Об этом мы говорили в материалах Обзор IdM/IAM-систем на мировом и российском рынке и Сравнение систем управления доступом (IdM/IAM) 2015. Одному из таких решений — Solar inRights 2.0 — посвящен этот обзор.
Схема работы Solar inRights 2.0
Для начала — несколько слов о том, как работает Solar inRights 2.0. Продукт функционирует по принципу центрального пункта управления: он подсоединяется ко всем ключевым информационным системам компании и дает возможность централизованно управлять пользователями и их полномочиями.
В Solar inRights 2.0 настраиваются процессы управления доступом к информационным системам — такие, как предоставление доступа при приеме на работу, запрос дополнительных полномочий, приостановка доступа при увольнении, смена пароля и другие, соответствующие регламентирующим документам организации. Процессы автоматизируются целиком, включая создание, согласование и исполнение заявок на доступ.
Для обеспечения полного цикла управления доступом сотрудников Solar inRights 2.0 получает кадровую информацию, как правило, непосредственно из кадровой системы. Учет сотрудников, не зафиксированных в кадровой системе, например внештатников, выполняется непосредственно через пользовательский интерфейс Solar inRights 2.0. Пользователи работают с системой через тонкий клиент, то есть web-обозреватель. Концептуальная схема работы Solar inRights 2.0 приведена на следующем рисунке.
Рисунок 1. Концептуальная схема работы Solar inRights 2.0
Основные возможности Solar inRights 2.0
- Автоматизация всех составляющих жизненного цикла доступа сотрудников от приема на работу до увольнения.
- Получение кадровых событий в реальном времени, учет сотрудников, которые не фиксируются в кадровой системе, учет технологических учетных записей.
- Автоматизация ролевой модели с поддержкой множественных иерархий, разграничения областей видимости и контекстов назначения ролей.
- Автоматизация создания и согласования заявок на доступ с любыми вариантами подачи, разбиения и согласования заявок.
- Автоматизация управления доступом в целевых системах: создание, изменение и удаление учетных записей, блокировка и разблокировка, смена паролей, назначение и отзыв полномочий, синхронизация в реальном времени.
- Полностью настраиваемые процессы автоматизации с возможностью гибкого описания логики посредством скриптовых языков.
- Полный контроль прав доступа в информационных системах.
- Предоставление полной картины прав доступа в информационных системах как в интерактивном режиме, так и в виде отчетов: актуальный доступ сотрудника, актуальный доступ к системе, история предоставления доступа, права доступа на дату в прошлом и так далее.
- Автоматическое выявление нарушений регламентов: несогласованные полномочия, бесхозные или неиспользуемые учетные записи, конфликты разделения ответственности.
- Средства оперативного реагирования: мгновенная блокировка учетных записей сотрудников, отзыв полномочий, смена паролей.
- Сервис самообслуживания для сотрудников.
- Просмотр своих прав доступа к системам и прав доступа своих подчиненных, смена паролей учетных записей.
- Подача заявок на доступ для себя и своих подчиненных.
- Отслеживание статуса поданных заявок.
Поддерживаемые информационные системы
Solar inRights 2.0 может использовать в качестве доверенного источника практически все современные кадровые системы. Также для получения кадровых данных можно использовать файлы различных форматов и даже любые системы, подключенные как управляемые.
Модулей интеграции с управляемыми системами у Solar inRights 2.0 довольно много. Есть коннекторы к большинству распространенных инфраструктурных систем и бизнес-приложений. Решение поддерживает коннекторы технологии ConnId, что позволяет использовать для подключения информационных систем свободно распространяемые модули интеграции, совместимые с этой платформой.
Стоит отметить, что по заверениям производителя среднее время на разработку нового коннектора не превышает двух недель.
Таблица 1. Список коннекторов Solar inRights 2.0
Кадровые системы
| Бизнес-приложения
|
СУБД
| Операционные системы
|
Веб-сервисы и стандарты API
| Инфраструктурные решения
|
Системные требования Solar inRights 2.0
Одной из отличительных особенностей Solar inRights 2.0 является его способность функционировать как на коммерческих компонентах, так и бесплатном программном обеспечении.
Для работы Solar inRights 2.0 требуется сервер приложений и СУБД. ПО совершенно не требовательно к железу, базовая инсталляция требует весьма скромных по современным меркам мощностей.
Таблица 2. Системные требования к типовой инсталляции
| Требования к программному обеспечению | Требования к аппаратному обеспечению |
Сервер приложений | Операционная система:
| Процессор: 4 ядра Оперативная память: 16 Гб Хранилище: 50 Гб |
Сервер СУБД | СУБД:
Операционная система: в соответствии с требованиями СУБД | Процессор: 4 ядра Оперативная память: 16 Гб Хранилище: 150 Гб |
Описание функциональных возможностей Solar inRights 2.0
Solar inRights 2.0 помогает автоматизировать управление правами доступа в информационных системах, автоматизировать контроль прав доступа сотрудников и соответствующие сервисы для бизнес-пользователей.
Solar inRights 2.0 позволяет автоматизировать полный цикл управления правами доступа сотрудников в информационных системах от приема на работу до увольнения. Solar inRights 2.0 позволяет учитывать права доступа всех категорий сотрудников: штатных, внештатных, подрядчиков и других. Позволяет учитывать как персональные учетные записи, так и технологические. В системе можно автоматизировать как отдельные операции, так и регламенты целиком, например создание, изменение и удаление учетных записей в информационных системах, назначение и отзыв полномочий, создание и согласование заявок на доступ, пересмотр прав доступа сотрудников и многое другое.
Рисунок 2. Функциональные особенности Solar inRights 2.0: управление
Solar inRights 2.0 позволяет гибко настраивать перечень и содержание автоматизированных процессов. Процессы запускаются по определенным событиям — например, при появлении записи о новом сотруднике в кадровой системе. Можно также запускать их на основании действий пользователей — например, при смене сотрудником пароля своей учетной записи. Существует опция запуска процессов по расписанию.
С помощью процессов можно управлять учетными данными Solar inRights 2.0, скажем, карточками сотрудников, объектами подключенных информационных систем — например, учетными записями. Процессы могут включать в себя отправку запросов на согласование — подтверждение предоставления сотруднику полномочий, обращение к внешним системам (создание заявки в системе ITSM) и отправку уведомлений по электронной почте (сообщение инициатору о том, что его заявка выполнена). Для описания логики процессов можно использовать как стандартный набор элементов, так и скриптовые языки. Если первые позволяют быстро построить типовой процесс, то с помощью вторых получится описать логику практически любой сложности. Скрипты можно использовать на любых шагах процесса, которые подразумевают вычисления: для обработки данных, поступающих из доверенного источника, для определения ответственных за согласование заявки, для генерации имен пользователей и паролей учетных записей, для заполнения значений их атрибутов и так далее.
Для создания и согласования заявок можно использовать практически любые режимы. Заявки создаются на произвольное количество сотрудников и любое число полномочий. Для полномочий можно указывать сроки действия. В качестве согласующего можно назначить конкретного человека, группу лиц или контекстную роль, например «владелец ресурса». Заявку можно целиком отправлять всем ответственным лицам или же разбивать на части в соответствии с областью ответственности каждого. Есть выбор: согласовать или отклонить заявку целиком или позволить принимать отдельные решения по каждому сотруднику и указанному полномочию. Заявку возможно исполнять по мере согласования ее отдельных составляющих или же всю сразу только после согласования. Чтобы процесс согласования не затягивался из-за отсутствия сотрудников на рабочем месте, можно настраивать тайм-аут согласования, по истечении которого будет запущен процесс эскалации и заявка переназначится другому ответственному лицу.
В Solar inRights есть мощная ролевая модель, с помощью которой автоматизируется назначение полномочий сотрудникам по определенным правилам. Например, назначаются базовые наборы полномочий на основании должности, подразделения и типа сотрудника. Роли предлагается связывать с полномочиями в управляемых системах, так, что назначение роли сотруднику приведет к назначению ему соответствующих полномочий. Есть опция включения ролей друг в друга, чтобы получились иерархии наследования. Solar inRights позволяет создавать множественные иерархии ролей, где каждая роль может относиться к нескольким иерархиям одновременно. Роли можно назначать сотрудникам автоматически, на основании заданных правил, а можно предоставлять возможность запрашивать их посредством заявок. Видимость ролей для запроса также разграничивается с помощью правил. Роли назначаются сотрудникам в определенном контексте, например по должности или подразделению.
Рисунок 3. Функциональные особенности Solar inRights 2.0: автоматизация
Solar inRights 2.0 позволяет обеспечить полный контроль прав доступа к информационным системам, включающий предоставление исчерпывающей информации о процессе управления правами, а также обнаружение нарушений и инструменты оперативного воздействия.
Для любого сотрудника в Solar inRights 2.0 можно мгновенно получить информацию о том, куда он имеет доступ, какие у него учетные записи в информационных системах, какие полномочия у него есть и по какой заявке они ему были предоставлены. По любой системе можно получить информацию о том, кто имеет к ней доступ, какие учетные записи в ней есть, кому они принадлежат. По любой заявке можно получить информацию об истории ее согласования. По любому полномочию — перечень сотрудников, которым оно назначено. Доступны также исторические данные и история изменений. Вся информация просматривается как в интерактивном режиме, так и в виде отчетов.
Solar inRights 2.0 позволяет обнаруживать нарушения регламентов управления правами доступа. К таким нарушениям относятся появление у сотрудников несогласованных полномочий, возникновение в информационных системах бесхозных учетных записей, обнаружение конфликтующих полномочий у сотрудников. Нарушения регламентов можно обрабатывать средствами автоматизированных процессов или вручную.
Если требуется оперативное воздействие, то Solar inRights предоставляет для этого все необходимые инструменты. Можно мгновенно заблокировать доступ к информационным системам одному или группе сотрудников, заблокировать отдельные учетные записи сотрудников, отозвать отдельные полномочия или приостановить доступ к определенной системе.
Solar inRights 2.0 предоставляет бизнес-пользователям все необходимые сервисы, касающиеся процесса управления правами доступа.
В интерфейсе Solar inRights сотрудники могут просматривать информацию о своих правах доступа к информационным системам и правах доступа своих подчиненных и менять пароли собственных учетных записей; могут подавать заявки на доступ, используя каталог полномочий, составленный понятным для бизнес-пользователей языком, отслеживать статус поданных заявок: смотреть информации о том, на каком шаге согласования находится заявка, кто ее уже согласовал и какие решения были приняты.
Сотрудники, ответственные за согласование заявок на доступ, могут просматривать перечень своих заявок, рассматривать заявки и принимать решения по ним. Владельцы информационных систем и ролей могут просматривать и отзывать доступ к своим информационным ресурсам.
Рисунок 4. Функциональные особенности Solar inRights 2.0: платформа
Все указанные возможности Solar inRights 2.0 поддерживает в многодоменной среде. Это означает, что организации с распределенной структурой филиалов могут обеспечить как сквозные унифицированные процессы управления доступом для всей компании, так и отдельные независимые процессы на уровне филиалов в единой системе Solar inRights 2.0.
Работа с Solar inRights 2.0
Рассмотрим основные разделы графического интерфейса системы с точки зрения пользователя.
Стартовая страница
При входе в систему сотрудник видит рабочую область, на которой отображаются основные элементы управления в зависимости от его роли. Тут видна сводная информация по заявкам, назначенным сотруднику на согласование, и заявкам, созданным самим пользователем. Отсюда можно открыть карточку интересующей заявки для просмотра более подробной информации и принятия решения, перейти к полному списку заявок, создать новую заявку или перейти к любому другому разделу системы. Пользователь видит только те элементы пользовательского интерфейса, на доступ к которым у него есть соответствующие полномочия.
Рисунок 5. Стартовая страница Solar inRights 2.0
Список сотрудников
В этом разделе пользователь видит перечень карточек сотрудников, доступных ему для просмотра. Информация отображается в виде таблицы с фотографиями сотрудников, краткой информацией о них. Тут можно добавить вручную карточку нового сотрудника, приостановить или возобновить доступ одного или нескольких сотрудников, открыть интересующую карточку сотрудника для просмотра деталей.
Рисунок 6. Список карточек сотрудников в Solar inRights 2.0
Доступ сотрудника
На карточке сотрудника отображается общая информация о нем, полученная из кадровой системы или введенная вручную, информация о ролях, назначенных сотруднику, перечень его учетных записей и полномочий в информационных системах. Дополнительно выводится информация о том, по какой заявке было назначено то или иное полномочие, информация об использовании учетных записей. Тут можно внести корректировки в личные данные сотрудника, посмотреть заявки, в соответствии с которыми ему назначены полномочия, отозвать права доступа, заблокировать или активировать учетные записи, поменять их пароли.
Рисунок 7. Карточка сотрудника в Solar inRights 2.0, общая информация
Рисунок 8. Карточка сотрудника в Solar inRights 2.0, роли
Рисунок 9. Карточка сотрудника в Solar inRights 2.0, учетные записи и полномочия
Создание и согласование заявок
Заявки на доступ подаются для себя или для других сотрудников, в зависимости от прав доступа пользователя. На первом шаге нужно выбрать сотрудников, которым запрашиваются полномочия. Выбрать можно любое количество сотрудников.
Рисунок 10. Создание заявки в Solar inRights 2.0, выбор сотрудников
На втором шаге показан каталог полномочий, доступных пользователю для запроса. Информация отображается в понятном бизнес-пользователям виде, полномочия группируются в соответствии с заданными категориями, если они определены. Тут можно выбрать любое количество прав доступа для запроса.
Рисунок 11. Создание заявки в Solar inRights 2.0, выбор полномочий
На третьем шаге сотрудник видит содержание заявки — кому и что он запрашивает. Здесь он указывает сроки действия запрашиваемых полномочий и вносит необходимые коррективы. Сотрудник при необходимости вводит обоснование заявки, и она отправляется на согласование, если это предусмотрено процессами.
Рисунок 12. Создание заявки в Solar inRights 2.0, выбор параметров и отправка
Ответственный за согласование получает по электронной почте уведомление от системы о необходимости согласования заявки. По ссылке он попадает в карточку заявки, где отображается информация о том, кому и что запрошено, на какой период времени, какие полномочия есть у этих сотрудников, кто согласовал заявку до него. Тут он может согласовать, отклонить или делегировать согласование заявки другому сотруднику, в том числе частично. После прохождения всех шагов согласования заявка автоматически исполняется.
Рисунок 13. Согласование заявки в Solar inRights 2.0
Доступ к системам
В этом разделе отображается полный список учетных записей информационных систем. Тут есть информация о том, кому принадлежит учетная запись, когда она была создана и использовалась последний раз, какие у нее полномочия. Здесь можно назначать владельцев учетным записям, блокировать и активировать их, менять пароли.
Рисунок 14. Доступ к системе в Solar inRights 2.0
Отчетность
Отчётность в Solar inRights 2.0 представлена двумя категориями инструментов: аналитика и непосредственно отчёты. Аналитика представляет из себя встроенные средства поиска и фильтрации информации, хранящейся в системе, для последующего анализа и принятия решений. Она удобна для получения нетиповых срезов информации с целью оптимизации процессов управления правами доступа и отслеживания аномалий. Перечень аналитических инструментов в Solar inRights 2.0 фиксирован.
Отчёты в Solar inRights 2.0 представляют собой преднастроенные шаблоны с фильтрами для выборки данных. Они удобны для получения типовых срезов информации и её экспорта в другие форматы. Отчёты можно выводить на печать, экспортировать в форматы PDF, RTF, HTML, XLS, CSV и XML. Отчёты интерактивные, можно выполнять поиск и сортировку, по ссылкам можно открывать карточки объектов в системе.
Отчёты в Solar inRights 2.0 формируются с использованием специализированной платформы JasperReports, встроенной в продукт. Перечень отчётов является полностью настраиваемым. В комплекте идёт базовый набор отчётов, который можно использовать в качестве примера для создания своих отчётов. Для создания шаблонов новых отчётов можно использовать графический редактор.
Рисунок 15. Отчет о бесхозных учетных записях в Solar inRights 2.0
Лицензирование Solar inRights 2.0
У Solar inRights 2.0 весьма удобная схема лицензирования: продукт лицензируется по работающим сотрудникам, полномочиями которых он управляет.
Все имеющиеся модули для подключения информационных систем предоставляются бесплатно.
Лицензии Solar inRights 2.0 имеют удобную модульную структуру: если организации не требуется весь функционал системы IdM или она планирует наращивать его поэтапно, то можно приобрести только часть функциональных модулей, при этом сэкономив.
Срок действия лицензии не ограничен по времени. Это значит, что после приобретения лицензий для использования системы не требуется дополнительных платежей.
Количество инсталляций также не ограничено. Это означает, что в рамках имеющихся лицензий можно создать любое количество региональных инсталляций, если это необходимо, равно как и любое число сред для разработки и тестирования.
Лицензии включают в себя годовую поддержку производителя, которую можно продлить на отдельных условиях.
Выводы
Российский рынок систем управления доступом пополнился сильным игроком.
С одной стороны, Solar inRights 2.0 является достаточно практичным решением, поскольку способен функционировать на базе свободно распространяемого программного обеспечения и имеет гибкую модель лицензирования, адаптированную под потребности различных компаний. Это позволяет полностью не зависеть от иностранных производителей программного обеспечения и существенно снизить стоимость владения системой.
С другой стороны, Solar inRights 2.0 очень мощный в плане возможностей автоматизации: решение позволяет настроить практически любой перечень процессов, дает возможность использовать нестандартную бизнес-логику, поддерживает все возможные режимы создания и согласования заявок.
Кроме того, решение обладает удобным пользовательским интерфейсом: с одной стороны, интерфейс простой и в нем легко разобраться неопытным пользователям, с другой — он удобен в работе. Выводимая информация и элементы управления зависят от контекста, все, что нужно — всегда под рукой, по контекстным ссылкам можно посмотреть дополнительные сведения, необходимые для принятия решений.
В отличие от западных систем IdM, Solar inRights 2.0 лучше учитывает потребности российских компаний, такие как необходимость управления внештатниками и технологическими учетными записями. В то же время по функционалу практически не уступает им, у него есть все шансы занять место западных игроков.
Плюсы
- Удобство пользовательского интерфейса.
- Гибкость настроек.
- Возможность работы как на коммерческом, так и на свободно распространяемом программном обеспечении.
- Управление и контроль прав доступа в реальном времени.
- Поддержка сложных распределенных инфраструктур.
Минусы
- Относительно небольшой перечень коннекторов к информационным системам.
- Не для всех функций системы есть графические средства настройки, как следствие, для настройки необходимо вручную редактировать конфигурационные файлы.