RS: Управление доступом (IAM)

Системы аутентификации, идентификации и авторизации служат инструментом для создания централизованных систем идентификации пользователей, управления учетными записями в ОС, базах данных, приложениях и репозиториях, которые обеспечивают возможность создания и последующего электронного согласования заявок на предоставление доступа с автоматическим исполнением по результатам согласования.

RS «Управление доступом» позволяет построить комплексную систему управления безопасностью, в основе которой лежат заданные критерии ролей и привилегий пользователей. Система управления идентификацией и авторизацией позволяет унифицировать эти процессы для внутренних и внешних приложений. Единое управление учетными записями повышает безопасность и существенно облегчает администрирование пользователей для всех видов приложений и баз данных.

Внедрение решения повышает эффективность совместной работы с ресурсами корпоративной сети за счет сокращения времени предоставления доступа, организации однократной регистрации пользователей (SSO) и возможности самообслуживания пользователей, что, в свою очередь, сокращает затраты на администрирование.

RS «Управление доступом» имеет модульную структуру, поэтому может внедряться как в небольших и средних компаниях (с базовым набором функций), так и в крупных организациях (с расширенным набором функций). Для крупных заказчиков требуется поддержка единой процедуры аутентификации и авторизации, когда все приложения работают в едином ландшафте прав доступа, в результате чего администратор всегда может удостовериться, какие пользователи в каких системах в данный момент работают или работали и централизованно управлять не только ролями, но и их составом (ранее решения такого уровня российской разработки на рынке представлены не были, и заказчики преимущественно использовали решения Oracle или IBM для решения подобных задач). При возникновении инцидента администратор может завершить сессию любого пользователя во всех информационных системах.

В RS «Управление доступом» процесс ввода нового пользователя и наделения его необходимыми правами занимает считаные минуты. После того как в кадровой системе проведен приказ о приеме сотрудника на работу, ему автоматически создаются права в информационных системах. Как базовые (электронная почта, домен Active Directory и т. д.), так и назначаемые в соответствии с его ролевой моделью в компании и занимаемой должностью. Если сотруднику потребуются дополнительные права доступа, он может через интерфейс системы подать заявку, которая после прохождения согласования будет автоматически исполнена. Алгоритмы согласования можно настроить на этапе внедрения, а в дальнейшем вносить в них любые корректировки.

Модуль GRC (Governance, risk management and compliance) позволяет строить бизнес-процессы в компании на основании рисковых моделей, то есть фактически классифицирует права доступа по уровню рисков, которые они несут. Сами риски рассчитываются в баллах и суммируются. Если сотрудник подает заявку, которая обладает заданным высоким уровнем риска, то в процесс ее утверждения в обязательном порядке включается служба безопасности. Также этот модуль позволяет автоматически формировать и поддерживать актуальной ролевую модель, когда наборы прав доступа определяются подразделением и должностью сотрудника.CIO девелопера Tekta Group Антон Солорев — о переходе с ERP Microsoft на «1С» и особенностях цифровизации в строительстве 3.4 т

В архитектурном плане решение RS «Управление доступом» построено на свободном ПО, а также на проприетарном программном коде RedSys, включая поддержку сервера приложений Apache Tomcat и СУБД PostgreSQL. Все остальное, включая веб-интерфейс, разработано в среде Java c использованием открытых фреймвоков.

Функциональные характеристики RS «Управление доступом»:

1. Кроссплатформенность и возможность установки на базе свободно распространяемого программного обеспечения:

• Операционные системы Linux и Windows.
• Поддержка различных систем управления базами данных (PostgreSQL, Oracle Database, MS SQL Server и т.д.).
• Поддержка различных веб-серверов (Apache Tomcat, Jetty и т.д.).

2. Безопасность

• Гибкий механизм настройки административных прав системы.
• Аудит всех действий с сохранением истории изменения данных системы.
• Собственный модуль аутентификации и авторизации с возможностью настройки сквозного доступа в систему на базе Windows-домен.

3. Юзабилити

• Дружественный веб-интерфейс.
• Различные стили оформления с возможностью персонализации под пользователя.
• Простая процедура кастомизации и брендирования веб-интерфейса.

4. Основные функции

Коннекторы к различным источникам достоверных данных:

• Структурированные файлы (XML, CSV и другие).
• Базы данных (Oracle Database, MS SQL Server и другие).
• LDAP-каталоги.

Коннекторы к различным целевым системам:

• MS Active Directory.
• IBM Lotus Notes.
• Системы с управлением УЗ и правами доступа через веб-сервисы.
• MS Exchange.
• Базы данных (Oracle Database, MS SQL Server и другие).
• LDAP-каталоги.

Возможность разработки собственных коннекторов.
Ручное и автоматическое управление сотрудниками и построение организационной структуры.

• Возможность построения ролевой модели с учетом различных критериев и в частности назначений сотрудника (основное место работы, совместительство и т.д.).

Управление УЗ и правами доступа на основе заявок.

• Гибкий механизм настройки процессов согласования.
• Поддержка заявок на время.
• Возможность назначения заместителей по согласованию заявок.

Режим самообслуживания пользователей.
Контроль изменений прав доступа в целевых системах для выявления несанкционированных изменений.

5. Аутентификация

• Обеспечение единых механизмов аутентификации для систем трехзвенной архитектуры.
• Прозрачная сквозная аутентификация с контролем сессий.

6. Авторизация

• Единые механизмы авторизации для внешних систем трехзвенной архитектуры.
• Контроль фактического состава групп доступа и ролей для интегрированных систем.

7. Централизация

• Формирование единой ролевой модели для нескольких экземпляров RS: Управление доступом.
• Создание сводной отчетности и обеспечение контроля.
• Согласование заявок.

8. Отчетность

• Большой набор предустановленных исторических и оперативных отчетов.

С 2016 года решение включено в реестр отечественного ПО, а сейчас активно ведется процесс сертификации во ФСТЭК.