iam что это такое
Какие задачи решают IAM системы?
Какие задачи решают IAM системы?
Терминология
Чаще всего мы встречаем термин Identity Management (IdM), что означает управление учетными записями или электронными представлениями пользователей. Как правило, от IdM-системы требуется управление не только учетными записями, но и доступом к системам. Поэтому обычно говоря об IdM, подразумевают Identity and Access Management.
Под Identity and Access Management (IAM) понимают набор технологий и программных продуктов, отвечающих задачам управления жизненным циклом учетных записей и управления доступом к различным системам в компании. Аналитические агентства (Gartner, Forrester, KuppingerCole) и разработчики IAM-систем выделяют как минимум две области внутри IAM: User Administration and Provisioning (UAP) и Identity and Access governance (IAG). Современное IAM-решение должно предоставлять функциональность в обеих областях.
UAP-решения появились в конце 1990-х как средства автоматизации работы со службами каталогов. UAP решает задачи автоматизации создания, изменения и удаления учетных записей в информационных системах организации, а также обеспечивает доступ к приложениям и ресурсам, которые нужны пользователю для работы.
Типовые задачи IAM
Задачи UAP
Представим себе процесс организации доступа к IT-ресурсам (приложения, данные, сервисы) в компании без автоматизации. Сотрудника при приеме на работу отдел кадров вносит в 1С. Затем информация о нем попадает в ИТ-отдел. IT-отдел создает учетную запись в службе каталогов Active Directory. Доступ к папкам, приложениям, рассылкам новый работник получает, обратившись к системному администратору или в службу поддержки по электронной почте, в некоторых случаях требуется согласие руководителя или владельца ресурса. При этом сотрудник никогда не просит «отобрать доступ» и за годы работы в компании может «обрасти» доступом в различные системы.
Если в небольшой компании организация доступа решается путем прямых коммуникаций и новичок сможет в течение дня получить доступ ко всему, что требуется для работы, то в географически распределенной компании со штатом более 500 человек на это могут уйти дни.
У сотрудников могут меняться должности, телефонные номера, фамилии, и эти изменения должны отражаться в информационных системах. В некоторых компаниях есть работники по контракту или сезонные работники. При расторжении контракта или смене должности доступ к ресурсам должен быть прекращен.
Если же в компании несколько информационных систем, например система документооборота, бухгалтерская система, внешний портал, появляется задача управления паролями. Каждая система управляется разными людьми. Пароль в каждой системе создается отдельно (т. е. присваиваются персональные пароли). Пользователю сложно запомнить несколько паролей, и это приводит к тому, что они хранятся на бумаге. Если пароль требуется поменять, нужно найти владельца приложения, который может быть в отпуске, а доступ необходим сейчас.
Представим ситуацию, когда сотрудник в командировке решил подключить доступ к почте на мобильный телефон и ошибся при вводе пароля. Его учетная запись будет заблокирована при многократных попытках ввода неправильных данных, и он не сможет самостоятельно получить доступ к почте.
При увольнении сотрудника необходимо заблокировать его доступ ко всем системам компании, иногда важно сделать это в течение минуты.
Такой процесс в масштабах крупной организации отнимает много времени у IT-отдела, неизбежно приводит к ошибкам и, как следствие, финансовым потерям.
Достаточно часто в Интернете можно прочитать о судебных делах, связанных с тем, что у уволенного сотрудника остался доступ к системам предприятия, например:
www.kuzbass85.ru/2012/04/11/uvolennyiy-sistemnyiy-administrator-udalil-chetyirehletniy-arhiv-buhucheta-byivshego-predpriyatiya
Суд установил, что в июле 2011 года Приходько, находясь у себя дома в г. Кемерово, осуществил неправомерный доступ на почтовый сервер предприятия, где он ранее работал. Затем он удалил программу «1С Предприятие» за период с 2007 по 2011 год. В результате данные бухгалтерского учета на серверах трех обществ холдинговой компании, находящихся в г. Прокопьевске, были уничтожены.
О многих подобных случаях мы не узнаем, поскольку банки или страховые компании предпочитают не афишировать подобные инциденты.
Теперь посмотрим, как выглядит автоматизированный процесс.
После появления учетной записи в кадровой системе UAP-решение автоматически создает учетные записи в подключенных системах, выдает доступ на основе атрибутов пользователя (например, должность и отдел) и групп. UAP-система позволяет проверять значения атрибутов на соответствие правилам и запрещать создание «неправильных записей», в частности, с незаполненной должностью. При изменениях достаточно внести их в одном месте – и они автоматически будут отражены во всех подключенных системах. Так, например, пользователь, изменяя пароль в AD, автоматически получает такой же пароль во всех системах. При переводе или увольнении сотрудника система отбирает доступ во всех системах практически мгновенно.
Важно отметить, что UAP изначально были нацелены в большей степени на решение рутинных задач отделов IT по администрированию пользователей и ресурсов. Однако такие решения не предполагались для организации контроля доступа к системам и не были предназначены для не IT-пользователей. То есть UAP-системы автоматически выдавали доступ и отбирали его, но не могли дать ответ на вопрос, к каким ресурсам пользователь имеет доступ сейчас. Также важно было дать пользователям возможность самостоятельно запрашивать доступ к ресурсам (приложения, данные, сервисы), а их руководителям (или владельцам ресурсов) подтверждать правомочность доступа при запросе, организовывать аттестации на предмет проверки, кто имеет доступ к тому или иному ресурсу.
Эти потребности сначала закрывались набором расширенной функциональности UAP-продуктов, но было понятно, что такие задачи требуют новых решений.
Задачи IAG
В середине 2000-х начали появляться специализированные IAG-предложения. IAG-система решает задачи запроса, подтверждения, аттестации и аудита доступа к приложениям, данным и сервисам, а также обеспечивает контроль и предоставляет бизнес-аналитику процессов создания учетных записей, управления этими записями и как эти записи были использованы для доступа. В отличие от UAP, где права в системах привязывались напрямую к учетным записям, IAG-решения оперируют ролями, которые связаны с организационной структурой предприятия. Можно сказать, что в UAP-решениях за выдачу доступа отвечал ИТ-отдел, а IAG-системы вернули бразды управления доступом бизнес-пользователям.
Посмотрим на конкретные примеры использования IAG-решений. Допустим, требуется использовать Adobe Photoshop на рабочем компьютере. Сначала пользователь отправляет заявку в службу техподдержки. Ее сотрудники ждут подтверждения руководителя, который добавляется в переписку. В результате пользователь получает установленное приложение, потратив на это пару дней. Бывает, что в согласовании участвует несколько человек (так, чтобы получить новый ноутбук, нужно подтверждение руководителя и директора).
IAG-решения предлагают автоматизацию подобных процессов с помощью веб-портала, где можно запросить ресурс, затем запустится «невидимый» процесс, который при необходимости запросит подтверждение руководителя и после его получения автоматически произведет требуемые изменения. 
IAG-система позволяет руководителю или сотруднику службы безопасности увидеть, к каким системам у пользователя есть доступ, и также управлять этим доступом. 
Доступ может предоставляться и на основе «вычисляемых» правил, то есть если сотрудника назначили работать над конкретным проектом и у него появилась соответствующая роль, он автоматически получит доступ к требуемой документации, что позволит избежать «ручных согласований».
Если у пользователя появились лишние права (например, администратор Active Directory добавил пользователя в группу), которые не соответствуют его роли, служба безопасности получит уведомление об этом и может подтвердить исключение или принять меры к его устранению.
Важной составляющей процесса управления ролями является политики Separation of Duties (SoD) или разделение полномочий. Эти политики запрещают совмещение определенных ролей. Например, сотрудник, формирующий заказ, не должен участвовать в финансовых операциях.
Некоторые направления развития IAM
IAM-решения быстро развиваются, охватывая новые области, такие как управление данными на основе содержимого, управление мобильными устройствами, авторизация на основе рисков и многие другие.
Как мы видим, существующие IAM-решения хорошо позволяют управлять доступом к централизованным ресурсам. Однако в современных компаниях есть огромные объемы неструктурированных данных, хранящихся на компьютерах пользователей, в сетевых папках. Пользователь может легко скопировать ценные данные на свой компьютер и потом распространять их бесконтрольно.
Для решения этой проблемы в IAM-продуктах появляются модули, позволяющие классифицировать данные по содержимому и атрибутам документа и предоставлять доступ на основе сравнения данных, предоставленных пользователем (кто пользователь и какое устройство он использует), и данных классификации документа (какие данные содержит документ).
Еще одним перспективным направлением является управление и взаимодействие с мобильными устройствами. В современных компаниях пользователи используют для работы не только стационарные компьютеры, но и смартфоны, и планшеты. Во многих случаях это не корпоративные устройства, а личные. Политика BYOD (Bring your own device, или принеси свое устройство) набирает популярность за счет снижения затрат компании на поддержку инфраструктуры, покупку устройств. C популяризацией этой политики появляются новые задачи. Как защитить данные компании, хранящиеся на устройстве, но при этом соблюсти неприкосновенность частной информации сотрудника?
Технология использования логина и пароля для доступа к ресурсам компании критикуется давно, однако достойной замены предложить никто не смог. Методы двухфакторной аутентификации (например, комбинация традиционного способа и СМС) широкого распространения не получили. Сейчас поставщики IAM-решений двигаются в направлении аутентификации на основе контекстных данных о пользователе, устройстве, приложении, откуда пришел запрос. Эти данные анализируются, и принимается решение о личности пользователя. Такой алгоритм работы существует в некоторых социальных сетях. Так, при вводе логина из другой страны можно получить предложение указать дополнительные данные (номер телефона, например).
Как выбрать подходящую IAM-систему
Рынок IAM-решений
Рынок IAM активно развивается, происходят слияния и поглощения. Сложность IAM-систем существенно увеличивается с каждым годом. Для оценки современных IAM-предложений требуется серьезная экспертиза не только в области информационных технологий, но и в сфере бизнес-аналитики.
Существует несколько аналитических агентств, специализирующихся на исследованиях и сравнениях IAM-решений: Forrester, KuppingerCole, Gartner. Они, как правило, выпускают ежегодный отчет по рынку IAM-решений, а также отдельные документы о трендах в отрасли, опросники, помогающие выбрать наиболее подходящую систему. Если ежегодные отчеты можно найти на сайтах поставщиков решений, то специализированная документация, как правило, стоит от сотен до десятков тысяч долларов.
Для ежегодных отчетов у каждого из агентств своя методика сравнений и наглядного представления результатов.
Так, например, Gartner оценивает поставщиков IAM по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему). 
В отчете KuppingerCole есть несколько диаграмм, где поставщики IAM-решений оцениваются по какой-то одной шкале (оценка продукта в целом на скриншоте ниже).
Такие отчеты позволяют получить понимание предметной области, тенденций развития рынка и общее представление о крупных игроках на рынке IAM.
Важно понимать, что на российском рынке многие системы не представлены вовсе. Также могут быть и локальные решения, достаточно успешные на российском рынке, но не имеющие распространения в мире.
Критерии выбора систем
Как не бывает двух одинаковых предприятий с одинаковым набором приложений и бизнес-процессов, так не бывает и универсальных и самых лучших IAM-систем. Каждая IAM-система обладает уникальным набором функциональности, коннекторов к целевым системам, фреймворков для расширения функциональности.
Начать выбор можно с формальных требований, таких как стоимость владения (стоимость лицензий, внедрения и поддержки на протяжении нескольких лет), лицензионная политика, наличие успешно завершенных проектов в близких по размеру/отрасли предприятиях, наличие специалистов по внедрению и поддержке на территории России.
Технические требования тоже могут помочь: наличие коннекторов к распространенным системам, используемым на предприятии, веб-интерфейса для бизнес-пользователей, автоматизации бизнес-процессов (например, согласований), механизма аттестаций, требования к открытому расширению функциональности (когда систему можно расширять без производителя).
Отобрав несколько наиболее подходящих поставщиков, можно посмотреть, как система работает с основными и самыми важными сценариями, которые требуется автоматизировать.
Обычно это сценарии жизненного цикла сотрудника: прием на работу, перевод в другой отдел или офис, отпуск, увольнение. Также важен набор сценариев по управлению доступом: выдача временного и постоянного доступа к системам по запросу, автоматически или по согласованию на основании ролей в компании или проекте, контроль доступа по расписанию (аттестации) и запросу.
При работе с данными учетных записей важно проверять их корректность (например, формат телефонного номера), а также преобразовывать данные при синхронизации, в частности, выполнять транслитерацию имен при синхронизации кадровой системы и Active Directory.
Для автоматизации жизненного цикла пользователей в целевых системах, как правило, используются коннекторы. Это выделенные модули IAM, осуществляющие взаимодействие с внешней системой, обеспечивающие создание, изменение, удаление учетных записей и выдачу доступа путем перевода ролей в IAM-системе в набор прав, понятный для целевой системы, например группы. Коннекторы часто меняются по причине изменений в целевой системе. Будет ли IAM поддерживать новую версию 1С или SalesForce? Как дорого стоит доработка коннектора?
Важно понимать, что IAM-система не коробочный продукт и в большинстве проектов стоимость услуг может в разы превышать стоимость лицензий. IAM-проекты никогда не заканчиваются (кроме неудачных), поскольку целевые системы под управлением IAM-предложения постоянно меняются и требуют переконфигурирования, обновления или доработки. Поэтому расширяемость системы – очень важный критерий выбора. Потребуется ли привлекать специалистов поставщика для каждого изменения или с этим могут справиться администраторы и бизнес-пользователи заказчика?
Примеры сценариев для оценки IAM-системы
Сценарий: После того как отдел кадров заводит учетную запись нового сотрудника в кадровой системе (например, 1С), сотрудник должен получить учетные записи и наборы прав во всех системах соответственно его роли не позднее чем через n минут.
Результат:
Сотрудник может пользоваться всеми системами в рамках полномочий его роли.
Запрос доступа к ресурсу
Сценарий: После того как сотрудник запрашивает ресурс через веб-портал, он должен получить ответ в течении n часов. Временный доступ к ресурсу регулируется путем ручного согласования. То есть запрос получает владелец ресурса и/или его заместитель. Если в течение заданного времени запрос остался не отвеченным, происходит эскалация.
Результат:
а) Сотрудник получает доступ к ресурсу;
б) Сотрудник получает отказ.
Сценарий: Раз в месяц владелец ресурса проводит аттестации списка тех, кто имеет доступ к ресурсу. Для каждого участника списка он продлевает или прекращает доступ.
Результат: Проведена аттестация, доступ к ресурсу имеют только сотрудники, подтвержденные владельцем.
Сценарий: Доступ сотрудника в отпуске должен автоматически быть прекращен на время его отсутствия. Прекращение доступа не требует ручных действий.
Результат: Сотрудник не имеет доступ к системам компании во время отпуска.
Сценарий: У сотрудника должен быть аннулирован доступ во все системы предприятия не позднее чем через n минут после инициации процесса руководителем на веб-портале.
Результат: Сотрудник не имеет доступ к системам компании.
Сценарий: Руководитель назначает сотруднику роль, которая не совместима с уже имеющимися ролями. Сотрудник не может совмещать взаимоисключающие роли.
Результат: Система отказывает в изменении и фиксирует нарушение политики.
Сценарий: Сотрудник забыл пароль.
Он заходит на веб-сайт, где, ответив на вопросы системы, инициирует сброс пароля и получает новый пароль в виде СМС. Новый пароль автоматически должен быть синхронизирован в подключенные системы.
Результат: Сотрудник получает новый пароль, которым может пользоваться во всех системах, где у него есть доступ.
Это первая часть статьи, будет продолжение.
Автор: Александр Цветков, инженер Dell Software
Обзор IdM/IAM-систем на мировом и российском рынке
Введение
Как правило, обслуживание ИТ-инфраструктуры небольших компаний выполняется малым штатом системных администраторов (в большинстве случаев это может быть и вовсе один сотрудник). Для крупных же компаний управление всей ИТ-инфраструктурой превратилось в сложнейший процесс, в котором участвует несколько подразделений.
Один из самых острых вопросов при наличии большой ИТ-инфраструктуры — как управлять доступом сотрудников (а также сторонних пользователей) к информационным ресурсам компании. В ситуации, когда таких ресурсов много, расположены они в разных информационных системах, имеют различных владельцев, ручное управление доступом представляется очень трудоемким процессом. Это отнимает много времени как административного персонала (кадровые службы, ИТ-службы, ИБ-службы и т. д.), так и конечных пользователей информационных систем, которые критически долго ожидают доступ для выполнения рабочих задач.
Для решения таких проблем на рынке и стали появляться IdM/IAM-решения, призванные оптимизировать затраты компаний на администрирование постоянно развивающейся ИТ-инфраструктуры.
Детальное сравнение самых известных и популярных в России IdM/IAM-систем приведено в отдельной статье «Сравнение систем управления доступом (IdM/IAM) 2015».
Что такое IdM-системы?
Аббревиатуру IdM (Identity Management) можно расшифровать как «система управления учетными или идентификационными данными». Первоначально системы этого класса именовались именно так и подразумевали под собой управление учетными записями. С развитием функционала IdM-систем стали появляться новые классы решения, включающие в себя более широкий функционал (т. е. они уже не ограничивались только процессом управления учетными записями, а стали способны сами управлять полноценным доступом к информационным системам). К таким решениям относятся IAM-решения (Identity and Access Management), IAG-решения (Identity and Access Governance), IGA-решения (Identity Governance and Administration).
Рынок систем управления доступом в России довольно молодой, потому такие системы имеют популярное и обобщенное на сегодняшний день название — IdM-системы (далее по тексту будет использоваться именно это название). При этом их функционал подразумевает не только управление учетными данными, а также иными идентификационными данными и правами доступа к различным информационным ресурсам.
Основным функционалом IdM-систем является централизованное управление учетными записями, правами на доступ к информационным ресурсам, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить нагрузку на ИТ-подразделения и обеспечить более высокий уровень информационной безопасности.
Принцип работы IdM-системы
Работа IdM-системы выглядит следующим образом: система подключается к различным информационным ресурсам компании посредством коннекторов, и в последующем весь процесс управления учетными данными и правами доступа осуществляется посредством установленной IdM-системы.
Как правило, схема реализуется с помощью следующих компонентов:
Входной информацией для IdM-системы служат так называемые доверенные источники, обычно это приложения кадровых служб. Получив информацию от доверенного источника (прием, отпуск, увольнение сотрудника и т. д.), IdM-система вносит изменения в учетные данные в различных информационных системах (создание, блокирование, удаление учетных записей, изменение прав доступа и т. д.). Эти изменения могут вноситься как автоматически, так и в ручном режиме.
Также в IdM-системах реализована возможность организации процесса по запросу изменений в учетных данных пользователей. Такие запросы могут создаваться различными группами пользователей: администраторами, руководителями подразделений, конечными сотрудниками и т. д. Для этих целей в IdM-системе реализован функционал работы с заявками, который предполагает процесс согласования таких изменений всеми заинтересованными сторонами.
Кроме того, в IdM-системах реализован функционал, позволяющий ИБ-службам контролировать управление правами доступа в компании. С этой целью в системе реализованы различные функции по выполнению аудитов, а также поддерживается механизм построения отчетов.
Мировой IdM-рынок
Мировой IdM-рынок развивается уже более десяти лет и на смену аббревиатуре IdM пришли такие названия, как IAM-, IAG- и IGA-решения, которые отличаются более широким функционалом. Но системы данного класса все по старинке называют IdM.
Такие решения получили на Западе широкое распространение и пользуются уверенным спросом. Как и в любом сегменте продуктов, здесь не обошлось без поглощений. Постепенно крупные игроки рынка — такие как, например, Oracle — поглотили небольших разработчиков. На сегодняшний день западный рынок IdM-систем выглядит следующим образом (с учетом изменений названия IdM-системы Gartner на сегодняшний день использует в названии своего магического квадранта аббревиатуру IGA):
Рисунок 1. Магический квадрант Gartner по IGA-системам, 2014 год
Российский IdM-рынок
Российский рынок является не таким развитым, как западный. Решения данного класса востребованы в основном крупными компаниями (ИТ-инфраструктура включает более 1000 пользователей, для компании критичны финансовые риски из-за некорректно предоставленного доступа), в том числе из-за их высокой стоимости. Но сейчас в данном направлении наметился прогресс, о чем свидетельствует появление и активное развитие отечественных продуктов.
Российские IdM-системы представляют такие компании, как «Аванпост», «ТрастВерс» и Solar Security. Также достаточно молодым представителем систем данного класса является IdM-система компания 1IDM, построенная на базе открытых платформ (1С: Предприятие, OpenIDM, OpenICF).
Зарубежные IdM-системы, которые получили признание в нашей стране и имеют своих клиентов, представлены компаниями IBM и Oracle. Также в России с недавнего времени появилась компания SailPoint, которая хорошо известна на Западе и является лидером магического квадранта Gartner.
Краткий обзор IdM-систем
«Аванпост»
Компания «Аванпост» является разработчиком систем идентификации и управления доступом к информационным ресурсам предприятия. Компания работает на рынке информационных технологий и информационной безопасности с 2007 года.
Avanpost IDM предназначен для централизованного управления учетными записями и правами доступа пользователей в различных информационных системах, подключаемых к Avanpost IDM посредством коннекторов. Avanpost IDM предоставляет пользователю веб-интерфейс для создания заявок на доступ, согласования доступа, а также иных пользовательских действий.
Подробнее с IdM-системой Avanpost IDM можно ознакомиться здесь.
IBM Security Identity Manager обеспечивает эффективный контроль идентификационных данных и управление в масштабе предприятия, что способствует росту безопасности и более точному выполнению требований. IBM Security Identity Manager также доступен в виде виртуального устройства, автоматизирует процессы создания, модификации, повторной выдачи и аннулирования полномочий пользователей на протяжении всего жизненного цикла. Продукт обладает интуитивно понятным интерфейсом, который упрощает обработку запросов и помогает менеджерам принимать обоснованные решения, касающиеся прав доступа сотрудников. Кроме того, продукт содержит расширенные возможности составления отчетов и выполнения аналитики для мониторинга прав и действий пользователей.
Подробнее с IdM-системой IBM можно ознакомиться здесь.
Oracle
Oracle Identity Manager (OIM) спроектирован для управления привилегиями доступа пользователей ко всем ресурсам корпорации на протяжении целого жизненного цикла учетных данных — от приема сотрудника на работу или саморегистрации до увольнения или отказа от сервиса. OIM представляет собой интегрированную платформу для управления идентификационными данными и корпоративными ролями, а также для аудита и выполнения требований законодательства. Oracle предлагает OIM как в виде отдельного продукта, так и в составе прединтегрированных наборов решений:
Подробнее с IdM-системой Oracle можно ознакомиться здесь.
SailPoint
Компания SailPoint является крупным американским представителем и сравнительно недавно появилась на российском рынке.
SailPoint IdentityIQ — это единое решение по управлению учетными записями и пользовательским доступом для осуществления централизованного управления жизненным циклом учетных записей пользователей и их правами доступа к информационным ресурсам организации на основе ролевых моделей, политик и правил. Продукт также реализует управление и контроль прав доступа (аттестация и сертификация) на предмет соответствия корпоративной модели безопасности.
Подробнее с IdM-системой SailPoint можно ознакомиться здесь.
Solar Security
Компания Solar Security основана компанией «Инфосистемы Джет» в 2015 году. Представленная ими IdM-система Solar inRights является продолжением продукта Jet inView Identity Manager.
Solar inRights — это система IdM, которая создана по опыту внедрения IdM в крупных российских компаниях. В основу Solar inRights положен большой опыт доработки западных IdM-решений под требования российских пользователей IdM. Основной отличительной чертой Solar inRights является красивый и удобный пользовательский интерфейс, который разработан по заказу Solar Security одной из лучших компаний в области юзабилити. Solar inRights быстро внедряется, учитывает множество требований российских компаний, может настраиваться под нетиповые требования и поддерживает шаблоны конфигурации. Уникальной особенностью Solar inRights является возможность обновления без потери доработок, которая обеспечивается специальным механизмом расширений и позволяет всегда иметь самую последнюю версию продукта и сохранять поддержку производителя.
Подробнее с IdM-системой inRights можно ознакомиться здесь.
Также можно посмотреть подробный Обзор Solar inRights.
«ТрастВерс»
Компания «ТрастВерс» является независимым разработчиком автоматизированных средств управления доступом и защиты информации. Флагманский продукт компании — КУБ — представляет собой сертифицированное решение для автоматизации процесса управления учетными записями и правами доступа при эксплуатации автоматизированных систем различного назначения и любого уровня сложности.
Управление должностными правами доступа происходит в автоматическом режиме на основе кадровых операций: приема на работу, увольнения, смены должности и т. д. Дополнительные права доступа могут быть запрошены сотрудниками через веб-интерфейс самообслуживания путем создания заявки на доступ. После ее согласования с ответственным сотрудником (руководителем или сотрудником ИБ) система автоматически произведет изменения в целевых системах, подключенных посредством коннекторов. Также продукт обеспечивает непрерывный контроль состояния прав доступа в целевых системах для выявления несанкционированных изменений с последующим оповещением о них и возможностью их отмены в случае необходимости.
Подробнее с IdM-системой КУБ можно ознакомиться здесь.
Также можно посмотреть подробный Обзор IDM-системы КУБ.
Выводы
IdM-система — это решение, которое оптимизирует время и затраты ИТ-служб, дает возможность контролировать права доступа и их изменения во всей компании. Для бизнеса IdM-система экономит средства за счет минимизации простоя сотрудников в процессе согласования и выдачи различных прав доступа.
Учитывая то развитие, которое получили IdM-системы в нашей стране, можно сказать, что рынок еще очень молодой, но стремительно эволюционирует, и все чаще IdM-системы становятся неотъемлемой частью ИТ-инфраструктуры крупных компаний.