Мы продолжаем рассказывать о собственном продукте — информационной системе управления учётными данными и правами доступа, которая внедрена в крупной организации с несколькими сотнями тысяч пользователей. В прошлых статьях мы описали, что побудило заказчика отказаться от готовых фреймворков в пользу заказной разработки, как в решении реализованы разделы субъектов и объектов доступа, а также администрирования пользователей. Сегодня расскажем про функциональные модули, которые включает наша система.
Предыдущие статьи:
Заявки
На предоставление полномочий
Полномочия персонам могут быть выданы только на основании согласованных заявок на предоставление полномочия или присвоение бизнес-роли. Заявки создаются в статусе черновика, в каждой из них может быть указана только одна бизнес-роль или отдельное полномочие. После завершения оформления заявки отправляются на согласование. В результате положительного решения они приобретают действующий статус, а при отрицательном результате — отклоняются. В первом случае автоматически запускаются задачи на предоставление указанных в заявке полномочий, которые исполняются либо через интеграцию с ServiceDesk, либо через API/RPA-коннекторы и по результатам процесса создают соответствующие записи в разделах выданных полномочий и учетных записей.
Заявки могут быть созданы вручную пользователями на предоставление им полномочий или присвоение бизнес-ролей из числа доступных для их подразделения. Руководители и ответственные оформители также могут создавать заявки на сотрудников своих подразделений. Ответственным оформителям и руководителям доступно и создание списочных заявок на присвоение бизнес-роли для нескольких сотрудников, однако после завершения оформления и отправки на согласование такая заявка прекращает самостоятельный жизненный цикл, автоматически создавая отдельную заявку для каждого включенного в перечень сотрудника и запуская её на согласование.
Заявки на присвоение бизнес-роли могут быть также созданы автоматически и отправлены на исполнение, минуя стадию согласования, если из кадровой системы по интеграционному коннектору поступает информация о назначении специалиста на должность, для которой задана одна или более бизнес-ролей, имеющих соответствующий признак автоматического присвоения.
Каждая заявка содержит период, по истечении которого она автоматически теряет действующий статус. Этот период определяется соответствующим параметром запрашиваемого полномочия или минимальным периодом из полномочий, включённых в бизнес-роль, указанную в заявке. За некоторое время до истечения срока действия заявки руководителям и ответственным оформителям подразделения указанного в ней сотрудника отправляется соответствующее уведомление. При необходимости заявка индивидуально или в составе перечня при их массовой обработке может быть переведена вручную в статус продления действия. При этом рассчитывается новый крайний срок действия заявки от текущей даты окончания её действия и запускается процесс согласования.
Ответственные оформители и руководители могут инициировать приостановку действия заявки на период длительного отсутствия сотрудника (отпуск, командировка и т.п.). Для этого они указывают даты начала и окончания отсутствия работника и переводят её в статус приостановки. При наступлении даты начала периода отсутствия сотрудника автоматически запускаются задачи по отзыву полномочий, а при наступлении даты окончания — по их восстановлению.
Действующие и приостановленные заявки могут быть отозваны вручную до истечения периода их действия. Заявки на присвоение бизнес-роли, созданные автоматически, могут также быть отозваны автоматически, если в профиле сотрудника отменяется назначение на последнюю из имевшихся у него должностей, с которыми связана бизнес-роль, указанная в заявке. Отзыв заявки инициирует согласование по соответствующему ассоциированному маршруту, при положительном завершении которого заявка переходит в статус недействительной, а при отрицательном — в статус, предшествовавший отзыву.
На отзыв полномочий
Полномочия, предоставленные явно на основании отдельной заявки, могут быть отозваны изменением ее статуса. Но случаются и ситуации, когда необходимо отозвать одно из полномочий персоны, которое предоставлено ей косвенным образом в составе бизнес-роли, оставив прочие полномочия этой бизнес-роли в силе. В этом случае оформляется заявка на отзыв отдельного полномочия персоны. После завершения оформления такая заявка отправляется на согласование по соответствующему ассоциированному маршруту. При положительном результате согласования заявка приобретает статус исполнения, запуская задачу на отзыв полномочия, а по завершению процесса переходит в статус исполненной. При отрицательном результате согласования заявка отклоняется.
Предписания
Предписания используются для приведения выданных полномочий персоны в согласованное состояние.
Предписания направляются в адрес руководителя сотрудника, в перечне полномочий которого найдено несоответствие согласованных и фактических полномочий или обнаружен конфликт SoD. В нём на основании параметров, сконфигурированных в системе, указан крайний срок его исполнения.
В системе имеется два типа предписаний, описанных ниже в текущем разделе.
На устранение несоответствий
Этот тип используется случаях, когда фактический набор полномочий персоны отличается от того результирующего набора, который формируется по сумме действующих заявок. Такое состояние может возникнуть в результате следующих событий:
изменение состава полномочий в результате согласования новой версии бизнес-роли, присвоенной персоне на основании действующей заявки;
запуск исправления обнаруженных расхождений между результирующим набором полномочий, сформированным по сумме действующих заявок, и фактическим — загруженным из внешних источников при обработке данных аудита. Функциональное описание модуля аудита приведено ниже в отдельном разделе.
Для каждого обнаруженного несоответствия создаётся отдельное предписание. Руководителю описывается содержание расхождений и предлагается привести полномочия в соответствие с согласованным набором заявок или создать недостающее основание для обеспечения фактически предоставленного полномочия. При выборе одного из вариантов предписание переходит в статус исполнения, инициируется его обработка.
В случае приведения предоставленных полномочий в соответствие перечню действующих заявок автоматически создаётся задание на предоставление фактически отсутствующего полномочия, входящего в данный перечень, или отзыв фактически предоставленного полномочия, отсутствующего в нем. Предписание переходит в статус исполненного после завершения выполнения такого задания.
В противном случае создаётся заявка на предоставление фактически отсутствующего полномочия, присутствующего в перечне действующих заявок, или на отзыв фактически предоставленного полномочия, отсутствующего в подобном перечне. После согласования или отклонения заявки автоматически запускается формирование результирующего перечня полномочий на основании действующих заявок с учетом состояния последней, и формируется задание на приведение полномочия, указанного в ней, в соответствие с результирующим перечнем. По выполнению этого задания предписание переходит в статус исполненного.
На устранение конфликтов
Предписания такого типа создаются автоматически при создании конфликта SoD в адрес руководителей каждого из специалистов, у которых в перечне предоставленных полномочий присутствуют оба полномочия, указанных в конфликте.
В предписании содержится ссылка на конфликт SoD, по которой руководитель может ознакомиться с обоснованием его регистрации, и предоставляется выбор: одно из двух конфликтующих полномочий должно быть отозвано.
После отзыва одного из конфликтующих полномочий предписание приобретает статус исполняющегося, и автоматически выполняется одно из действий, описанных ниже:
в случае наличия действующей заявки/заявок на явное предоставление именно этого полномочия она/они переводятся в состояние отзыва с запуском ассоциированного маршрута согласования;
в противном случае, если полномочие было предоставлено неявно в составе бизнес-роли, создается заявка на отзыв выбранного полномочия с запуском ассоциированного маршрута согласования.
Если отзыв не был согласован, предписание переходит в исходное состояние. Руководитель, которому оно было адресовано, получает соответствующее уведомление. В этом случае он может изменить выбор или отредактировать обоснование перед повторным отзывом полномочия.
Если же заявка была согласована, автоматически создаётся задание на отзыв полномочия, по завершении процесса предписание приобретает статус исполненного.
Согласования
В данном функциональном модуле обеспечивается конфигурирование маршрутов и выполнение запущенных согласований с передачей результата в тот объект, которым было инициировано согласование. Для всех функциональных и справочных модулей согласования выполняются унифицированным образом на основании конфигурационных параметров, заданных для каждого маршрута.
Функциональный модуль согласований состоит из следующих основных блоков:
справочник маршрутов согласования;
информационный раздел экземпляров согласований и отдельных запросов на согласование.
В первом блоке администратор системы создает записи ассоциированных маршрутов с указанием параметров основания согласования, при сочетании которых должен быть выбран этот маршрут. Также указывается, какой из созданных администратором BPMN-процессов должен управлять ходом согласования. В BPMN-диаграмме администратор системы описывает процесс согласования и для каждой задачи маршрута указывает параметры, которые определяют автоматический выбор согласующего субъекта для каждого экземпляра согласования.
Информационный раздел предназначен для регистрации записей о прохождении маршрутов согласований в отношении каждого из объектов с целью облегчения поиска и агрегирования исторических данных в различных разрезах, например по ИС, по персонам (субъектам доступа), по согласующим лицам, бизнес-ролям и отдельным полномочиям.
BPMN-движок системы обеспечивает исполнение BPMN-процесса, указанного в выбранном для согласования маршруте, с регистрацией в собственном хранилище экземпляров процессов фактических значений атрибутов задач экземпляров процесса по мере его выполнения. Помимо этого, идентичные по содержанию записи создаются в информационном разделе согласований для облегчения поиска по атрибутам задач. В каждой записи информационного раздела согласований имеется ссылка на запись BPMN-процесса в собственном хранилище BPMN-движка для возможности более глубокой детальной диагностики прохождения отдельных согласований.
Задания на исполнение назначений и отзывов полномочий
В данном разделе автоматически регистрируются задания для запуска и отслеживания исполнения интеграционных процедур по созданию и изменению параметров доступа в управляемых ИС. Тип и параметры заданий определяются в параметрах полномочий ИС, для назначения или отзыва которых создаются задания, а также значениями дополнительных полей, указанных в заявках, для выполнения которых назначаются задания. Конкретный коннектор для выполнения задания указывается в параметрах управляемой ИС, а шаблон параметров интеграционных вызовов с использованием значений дополнительных полей полномочий — в атрибутах ИС или отдельного полномочия, которое обрабатывается в конкретном задании. Администратор системы контролирует исполнение заданий, отфильтровывая те из них, которые не получили результаты выполнения интеграционного вызова из системы ServiceDesk от управляемой системы через API или от RPA-системы в течение сконфигурированного периода времени.
Аудит
Данный функциональный модуль предназначен для обнаружения несоответствий между наборами действующих полномочий персон, зарегистрированных в разделе выданных полномочий системы IDM, с наборами фактических полномочий, полученных автоматически из управляемых ИС через интеграционные коннекторы или загруженных из внешних источников, например таблиц Excel, сформированных путем выгрузки данных из управляемых ИС или заполненных вручную администраторами безопасности управляемых ИС на основании фактических данных в разделах администрирования доступа ИС.
Записи аудита создаются и обрабатываются носителями полномочий аудитора. Аудитор задаёт в атрибутах созданного аудита параметры, ограничивающие область сравнения, в том числе перечни подразделений, должностей, ИС, полномочий, типов учетных записей и пр. При загрузке внешних данных в разделе аудита создаются новые записи о фактически имеющихся на момент проведения аудита полномочиях в управляемых ИС.
Загрузив внешние данные, аудитор запускает операцию, которая сравнивает множество зарегистрированных в системе действующих полномочий, ограниченное фильтрами области сравнения, с множеством полномочий, загруженных из внешних источников. При этом для тех полномочий из обоих множеств, которые находятся за пределами их пересечения, создаются связанные с аудитом записи об обнаруженных несоответствиях. Анализируя перечень несоответствий, аудитор может обнаружить несовпадение областей сравнения для внутренних и загруженных внешних данных. В этом случае он выполняет функцию очистки данных аудита и повторяет операции по заданию области аудита и повторной подготовке внешних данных или корректировке конфигурационных параметров коннекторов аудита для управляемых систем. После того, как аудитор убедился, что сравнение создает корректные результаты, в том числе и путём выборочной ручной проверки обнаруженных несоответствий, он может запустить автоматическое создание корректирующих предписаний на устранение всех обнаруженных расхождений, если риск существования значительного множества ложно обнаруженных несоответствий невелик. Если же риск появления ложно обнаруженных несоответствий недопустим, он может создавать вручную предписания для устранения каждого отдельного несоответствия после самостоятельной проверки. В системе также может быть сконфигурирован параметр максимального количества несоответствий, для которого запускается одновременное массовое создание предписаний. Функциональность предписаний на устранение несоответствий детально описана выше.
Мы рассказали об основных особенностях функциональных модулей разработанной нами системы IDM. В следующей заключительной статье опишем, как решение обеспечивает импорт данных из внешних источников, обработку полномочий в управляемых ИС, поддержку сквозных сценариев аутентификации и другие интеграционные возможности. Также расскажем о модуле формирования отчетности в системе.