В прошлой статье мы дали общее описание разработанной нами и используемой в крупной транспортной организации системы управления идентификационными данными и правами доступа пользователей. Сегодня расскажем о функциональных возможностях нашего IDM-решения. В частности, опишем, что представляют из себя и как организованы справочные разделы системы.

Разделы субъектов доступа

Организационная структура

Оргструктура может быть задана в нашем решении иерархией подразделений, для каждого из которых необходимо определить перечни должностей, указать руководителей и ответственных оформителей запросов. Эти параметры служат источником определения ролевых полномочий при работе в системе. Подробнее это будет описано ниже.

Помимо этого, для объектов справочников организационной структуры могут быть определены дополнительные классификационные признаки, служащие в основном для аналитических целей.

Персоны

Для каждой персоны указываются организационная принадлежность и занимаемые должности, а также дополнительные классификационные признаки, часть из которых служит для целей аналитики, в то время как другие являются определяющими параметрами при управлении доступом. Среди таких признаков — наличие общего допуска к работе в информационных системах (ИС), допуска к работе с коммерческой тайной, допуска к работе с персональными данными. Помимо этого, могут указываться стационарные ПК для автоматической установки или удаления клиентского ПО ИС, к которым был предоставлен или прекращён доступ.

В карточке персоны возможна ручная установка временной блокировки администратором системы на период решения инцидента безопасности. При этом блокируются все учетные записи. Если блокировка не была снята к моменту истечения сконфигурированной в системе IDM максимальной длительности, автоматически инициируется отзыв всех действующих и приостановленных на период длительного отсутствия заявок на присвоение бизнес-ролей и предоставление отдельных полномочий персоны. Если администратор системы снял блокировку, все заявки возвращаются в состояние, предшествовавшее отзыву.

В карточке персоны также отображается перечень всех действующих запросов на предоставление бизнес-ролей и отдельных полномочий с датами окончания действия. Указывается и результирующий набор действующих полномочий, предоставленных отдельно или в результате присвоения одной или нескольких бизнес-ролей с их возможным пересечением. В отдельном списке отображаются заблокированные полномочия персоны, в отношении которых имеются действующие запросы на присвоение бизнес-роли, в состав которой входят эти полномочия. Это облегчает анализ актуального набора полномочий и истории их явного отзыва, предоставленных неявно через бизнес-роль.

Учетные записи

В данном разделе хранятся все учетные записи, которые были созданы для персон с целью предоставления доступа в различные ИС, их типы (информационные, технологические или обеспечивающие) и другие классификационные атрибуты.

Записи содержат аутентификационную информацию, а также параметры ограничения их использования по календарю, времени дня или клиентским устройствам, с которых может осуществляться вход, если учетная запись в управляемой ИС сконфигурирована для входа со сквозной аутентификацией (SSO, Single Sign-On) под эксклюзивным управлением системы IDM.

В локальных учетных записях управляемых ИС могут храниться и зашифрованные пароли. Если сконфигурировано автоматическое задание паролей локальных учетных записей в управляемой ИС, и такая учетная запись предназначена для SSO, возможна реализация сценария входа в управляемую систему без знания пользователем своего пароля. В этом случае система IDM генерирует сложный пароль периодически или по запросу и устанавливает его для учетной записи в управляемой ИС. Такая реализация исключает уязвимости, связанные с компрометацией пароля.

В карточке учетной записи отображаются все полномочия, выданные ей в управляемой ИС. Также в ней задаются различные классификационные атрибуты, которые, например, могут быть использованы для отбора учетных записей, чтобы производить с ними массовые операции.

Учетные записи могут быть временно заблокированы администратором вручную на период решения инцидента безопасности. При этом автоматически прекращается открытая пользовательская сессия, если вход в ИС осуществляется под управлением системы IDM. Если блокировка учетной записи не была снята к моменту истечения сконфигурированной в системе IDM максимальной длительности блокировки, автоматически создаются запросы на отзывы всех полномочий, связанных с учетной записью, которые администратор системы должен отправить на согласование. Когда администратор системы снимает блокировку учетной записи после создания таких запросов, они автоматически отменяются. В случае если с учетной записью не связано ни одно действующее полномочие, снятие блокировки учетной записи недоступно.

Разделы объектов доступа

Информационные системы

Иерархический справочник ИС служит для задания параметров, использующихся в процессах управления доступом, а также для определения взаимодействия системы IDM с ними при управлении учетными записями и полномочиями и для задания параметров сквозной аутентификации.

В карточке ИС указывается владелец системы, который будет автоматически являться согласующей персоной на тех шагах маршрутов заявок на предоставление и отзыв полномочий и бизнес-ролей, где требуется согласование владельца ИС. Если ИС является дочерней в иерархии, владелец может не указываться и в таком случае будет наследоваться от родительской ИС.

В карточке ИС могут быть установлены признаки, отражающие требование допусков на работу с персональными данным и коммерческой тайной, возможность входа с мобильных устройств. Все отдельные полномочия ИС автоматически наследуют установленные признаки.

Для каждой ИС обязательно задаётся максимальный период действия выданного пользователю доступа.

Задаются тип и параметры управления учетными записями: через интеграцию с ServiceDesk для ручного конфигурирования записей ИТ-специалистами в ходе выполнения автоматически создаваемых задач или через коннектор к управляемой ИС.

Полномочия в ИС

Если в ИС сконфигурировано разделение доступа, и управление доступом ведется в разрезе отдельных полномочий, в справочнике полномочий ИС создаются соответствующие записи. В карточке полномочий ИС могут быть установлены признаки, отражающие требование допусков на работу с персональными данным и коммерческой тайной, возможность входа с мобильных устройств, если эти признаки не унаследованы от ИС.

Для полномочий задаются параметры, влияющие на процесс управления доступом и выдачу прав:

• тип подключения: информационный, технологический или обеспечивающий;

• признак разрешения множественных заявок с пересечением по периоду действия;

• признак запрета включения во множественный выбор;

• признак запрета включения в бизнес-роль. При его наличии полномочие может быть выдано только по отдельной заявке с отдельным согласованием;

• дополнительные поля. Механизм дополнительных полей предоставляет гибкость, необходимую для управления параметрами доступа в ИС с различными моделями управления доступом. Администратор системы может для каждого полномочия задать индивидуальный перечень дополнительных полей, которые задают параметры и правила выполнения операций по предоставлению и отзыву полномочий как при ручном их выполнении через интеграцию с ServiceDesk, так и через интеграционные коннекторы управляемых систем. Дополнительные поля могут иметь различные типы, такие как текстовые, численные, логические, перечисления, ссылки и списки ссылок на объекты справочников системы, а также имеют признак обязательности заполнения при подаче запроса.

Бизнес-роли

Бизнес-роли позволяют задать набор ИС или полномочий, который обеспечивает специалисту доступ ко всему ИТ-инструментарию, необходимому для выполнения какой-либо бизнес-функции. Такой набор, получив надлежащее согласование уполномоченных владельцев ИС, руководителей подразделений и специалистов информационной безопасности, служит основой для значительного сокращения трудоёмкости процесса управления доступом, упрощения принятия решений и управления конфликтами SoD. Если же в роли установлен признак автоматического присвоения для новых сотрудников, назначенных на перечисленные в роли должности, то при поступлении из доверенной кадровой системы информации о назначении специалиста на одну из этих должностей система автоматически формирует запрос на присвоение роли и затем запускает процедуры выдачи перечисленных в роли полномочий, минуя стадию согласования.

При описании бизнес-роли задаются следующие основные её параметры:

• перечень подразделений и должностей, которые может занимать специалист для назначения этой бизнес-роли;

• признак автоматического назначения бизнес-роли. Если признак установлен, то при поступлении из доверенной кадровой системы сведений о назначении специалиста на любую должность из числа перечисленных в роли запрос о назначении специалисту бизнес-роли формируется автоматически и переходит на стадию выдачи перечисленных в ней полномочий, минуя согласование;

• перечень ИС и отдельных полномочий, которые будут присвоены специалисту в результате успешного согласования запроса на присвоение бизнес-роли. Для исключения различных несоответствий при применении и изменении политик представления мобильного доступа в одной бизнес-роли не допускается смешение ИС и полномочий, имеющих различные значения признака разрешения входа с мобильных устройств;

• значения дополнительных полей полномочий, задающие параметры и правила выполнения операций по предоставлению полномочий в управляемых ИС.

Бизнес-роли поддерживают линейную последовательность версий с архивацией предыдущей версии после согласования новой. После ввода в действие новой версии бизнес-роли запускается автоматическое создание предписаний об актуализации полномочий в адрес руководителей специалистов, имеющих действующие запросы на присвоение этой бизнес-роли. Предписания предлагают сделать выбор в пользу сохранения за каждым отдельным специалистом текущего набора полномочий или приведения их в соответствие с текущим составом бизнес-роли. Подробнее о функциональности предписаний мы расскажем следующей статье.

Конфликты SoD

Данный раздел предназначен для регистрации и обработки конфликтов SoD между парами ИС или отдельных полномочий. Регистрация нового конфликта SoD приводит к следующим действиям и эффектам:

• отправленные на согласование заявки на предоставление полномочий или присвоение бизнес-ролей, содержащих полномочия, конфликтующие между собой или с  ранее выданными, автоматически отклоняются с уведомлением автора запроса. Такие же заявки, находящиеся в статусе черновика, не могут быть направлены на согласование, о чем авторы получают уведомление;

• запущенные заявки на согласование бизнес-ролей или их новых версий, в составе которых есть конфликтующие полномочия, автоматически отклоняются с уведомлением автора. Такие же заявки, находящиеся в статусе черновика, не могут быть направлены на согласование, о чем авторы получают уведомление;

• невозможна регистрация новых заявок на предоставление полномочий или присвоение бизнес-ролей для специалистов, у которых есть действующие полномочия, конфликтующие с запрашиваемыми;

• невозможно включение в черновик новой массовой заявки на присвоение бизнес-роли специалистов, имеющих действующие полномочия, конфликтующие с запрашиваемыми в бизнес-роли;

• запускается процесс автоматического создания предписаний на актуализацию полномочий в адрес руководителей специалистов, имеющих действующие конфликтующие полномочия.

Выданные полномочия

Данный раздел предоставляет актуальную информацию о действующих полномочиях пользователей. Записи содержат ссылочные атрибуты, указывающие на ИС и полномочие в этой ИС, на специалиста, которому выдано полномочие, на учетную запись в ИС, с которой специалист имеет это полномочие, а также другие классифицирующие полномочие признаки. Указывается также дата первичной выдачи и конечная дата его действия.

Функциональность раздела предоставляет актуальную информацию о действующих полномочиях пользователей, выполняя ряд исполнительных функций по их предоставлению и отзыву:

• создание записей впервые выданных полномочий и запуск интеграционных заданий на предоставление полномочий в управляемых ИС либо через ServiceDesk, либо через API/RPA-коннекторы;

• блокировку полномочия и запуск интеграционных заданий на отзыв полномочий в управляемых ИС либо через ServiceDesk, либо через API/RPA-коннекторы в следующих случаях и по следующим правилам:

  • при согласовании запроса на отзыв именно этого единственного полномочия независимо от наличия действующих запросов на предоставление этого полномочия через одну или несколько бизнес-ролей;

  • при истечении срока действия связанного запроса на предоставление полномочия или бизнес-роли, если в результате проверки совокупности всех связанных запросов не найдено ни одного другого действующего связанного запроса;

• актуализацию параметров полномочия в случае появления нового действующего связанного запроса, прекращения срока действия одного из связанных запросов на предоставление полномочия в явном или неявном виде через бизнес-роль, а также если в предписании на актуализацию полномочий был выбран вариант актуализации полномочий специалиста. В этом случае производится анализ изменения результирующего набора значений дополнительных полей полномочия по всему множеству действующих связанных запросов. Если результирующий набор значений дополнительных полей изменился, производится запуск интеграционных заданий на изменение параметров полномочия в управляемых ИС либо через ServiceDesk, либо через API/RPA-коннекторы.

В карточке выданного полномочия предоставляется информация о заявках — основаниях его выдачи и отзыва, представленных в хронологическом порядке с указанием периода действия оснований выдачи и дат отзывов.  Для действующего выданного полномочия в отдельном перечне указаны действующие основания выдачи и результирующий список значений дополнительных полей.

Администрирование пользователей системы

В системе предусмотрены следующие основные полномочия:

1. Пользователь ИС. Носители роли могут подавать заявки на предоставление полномочий и присвоение ролей в отношении себя, просматривать все присвоенные им роли и полномочия, а также просматривать бизнес-роли, относящиеся к их подразделению. Данную роль имеют все персоны, которым присвоен признак общего допуска к работе в ИС.

2. Ответственный оформитель. В дополнение к полномочиям пользователя ИС могут оформлять и просматривать заявки, обрабатывать предписания в отношении сотрудников тех подразделений, в которых данная персона указана в перечне ответственных исполнителей, просматривать все роли и полномочия, присвоенные им. Ответственные оформители могут также создавать и отправлять на согласование бизнес-роли и их версии.

3. Руководитель. В дополнение к полномочиям ответственного оформителя руководители могут согласовывать заявки в отношении сотрудников тех подразделений, в которых данная персона указана в качестве руководителя, а также согласовывать бизнес-роли, привязанные к их подразделениям.

4. Распорядитель ИС. Носитель данной роли указывается в параметрах ИС. Он задает наборы полномочий в управляемой им ИС, наборы дополнительных полей и их значений в полномочиях. Может просматривать и согласовывать бизнес-роли, в которые включены полномочия управляемой им ИС, а также все выданные полномочия и учетные записи этой ИС.

5. Администратор безопасности ИС. Отвечает за поддержание в актуальном состоянии учетных записей и выданных полномочий в ИС, в которой он указан в качестве администратора безопасности. Совместно с администратором системы IDM настраивает в соответствии с наборами значений дополнительных полномочий шаблоны интеграции с ServiceDesk, API/RPA-коннекторы для управления учетными записями, параметры SSO.

6. Аудитор. Системное полномочие, носители которого имеют доступ к просмотру всей информации системы, созданию конфликтов SoD, аудитов и управлению ими.

7. Администратор системы. Системное полномочие, предоставляющее права на просмотр всей информации в системе, редактирование справочников организационной структуры, персон и ИС, управление полномочиями в системе IDM, настройку маршрутов согласования, конфигурирование интеграционных коннекторов и шаблонов, параметров SSO.

Любые полномочия в системе IDM, кроме полномочия пользователя, присваиваются в том же порядке, что и полномочия в прочих ИС. Система IDM имеет соответствующую запись в справочнике ИС, для неё создан набор полномочий, в отношении которых могут быть созданы заявки, и которые могут быть включены в бизнес-роли.

В следующей статье мы перейдем к описанию функциональных модулей решения, расскажем о подсистемах заявок, предписаний, согласований, заданий на исполнение назначений и отзывов полномочий, а также возможностях аудита.