- PVSM.RU - https://www.pvsm.ru -
Системы управления идентификационными данными (Identity Management — IdM) предназначены для автоматизации процессов управления идентификационными данными пользователей информационных систем и их доступом к интегрируемым информационным системам на основе ролевой модели. Результатом внедрения систем класса IdM является реализация автоматизированных механизмов по управлению полным жизненным циклом учетных данных, позволяющим выполнять операции создания, изменения и удаления учетных записей в интегрируемых информационных системах.
Каждому сотруднику компании соответствует пользователь IdM-системы, создаваемый на основании кадровых данных, получаемых из доверенной системы (например, HR-системы). Учетные записи в целевых информационных системах создаются только с помощью IdM-системы и привязываются к конкретному её пользователю. Таким образом, любой учетной записи в информационной системе всегда соответствует её владелец – сотрудник компании.
По своей специфике системы класса IdM ориентированы на сотрудников, обеспечивающих режим информационной безопасности компании, и обладающих специальными техническими навыками и знаниями для настройки и эксплуатации таких систем. Встроенный функционал IdM-систем не позволяет учитывать бизнес-логику компании и накладывает следующие ограничения на собственное применение:
Примером программного решения по управлению идентификационными данными является решение Oracle Identity Manager [1], Sun Java System Identity Manager [2] и др.
Для реализации функционала, отсутствующего в IdM-системах, используют решения класса Identity and Access Governance (IAG) – системы регулирования доступа пользователей. Классические IAG-системы интегрируются с IdM-системами и реализуют бизнес-логику в задаче управления идентификационными данными. Основным функционалом IAG-систем является:
Примером программного решения регулирования доступа пользователей является решение Oracle Identity Analytics [1].
В зависимости от интеграционных возможностей, существующие IAG-решения подразделяются на следующие классы:
Основным недостатком классических IAG-систем является необходимость в выполнении двухэтапной интеграции с ИТ-инфраструктурой для получения функционала уровня «Governance, Risk and Compliance» в части управления идентификационными данными:
Таким образом, системы управления идентификационными данными строятся не на основе бизнес-задач и процессов, а исходя из задач существующей ИТ-инфраструктуры.
Следствием подобного подхода являются следующие негативные факторы:
Данный подход реализуется при интеграции продуктов Oracle Identity Manager и Oracle Identity Analytics.
Новым подходом к построению IAG-систем является подход, в котором при построении систем управления идентификационными данными, в первую очередь решаются следующие задачи по управлению идентификационными данными:
.
Целостный подход заключается в том, что сначала выстраиваются бизнес-процессы по управлению доступом (компонента IAG), далее на основе единого процесса управления идентификационными данными происходит построение IdM-системы, непосредственно выполняющей функции создания/изменения/удаления учетных записей и их атрибутов.
При таком подходе IAG-системы строятся на модульной основе, позволяющей гармонично учитывать существующие условия бизнеса и его ИТ-инфраструктуру, что характеризуется:
Данный подход в полной мере реализуется в комплексном решении по управлению идентификационными данными и регулировании доступом пользователей — SailPoint IdentityIQ [3].
Автор: kuzja_21
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/12048
Ссылки в тексте:
[1] Oracle Identity Manager: http://www.oracle.com/us/products/middleware/identity-management/overview/index.html?origref=http://www.oracle.com/us/products/middleware/identity-management/governance/overview/index.html
[2] Sun Java System Identity Manager: http://developers.sun.com/identity/index.jsp
[3] SailPoint IdentityIQ: http://www.sailpoint.com/products/identity-iq/index.php
Нажмите здесь для печати.