Портал №1 по управлению цифровыми
и информационными технологиями

Role mining. Построение ролевой модели

Как известно, одна из основных трудностей в проектах по управлению доступом – это построение ролевой модели.Many People Thinking of Questions

Сложность построения модели повышается с каждой дополнительной управляемой системой, включенной в охват проекта. Построение актуальной ролевой модели для нескольких систем с нуля может растянуться на месяцы, а то и годы. Такая модель может устареть ещё до начала ее использования. Одно из решений этой проблемы – инструменты построения ролевой модели (Role mining tools).

Инструменты эти могут сильно отличаться по логике своей работы, стоимости, юзабилити и т.д., но принцип работы и цели у них общие – это сбор информации о текущих правах сотрудника в информационных системах, анализ "повторяемости" этих прав для сотрудников с одинаковыми атрибутами, объединение этих прав в роли и, в конечном итоге, построение некой базовой ролевой модели, которая отражает текущее положение дел.

Здесь нужно уточнить, что базовая ролевая модель является лишь неким срезом, она предназначена для построения новой, более актуальной модели. Роли, которые были получены путем автоматического анализа не всегда будут корректно отражать бизнес-роли сотрудников. Например, три сотрудника на должности "Бухгалтер" имеют одни и те же права, и мы получаем автоматически сформированную роль "Бухгалтер", а у четвертого сотрудника в той же должности дополнительно ко всем правам из роли "Бухгалтер" есть еще одно, уникальное для этого подразделения право. В таком случае, в зависимости от настроек чувствительности, система анализа либо пропустит четвертого сотрудника, либо сделает для него дополнительную роль. В обоих случаях необходимо будет вручную просмотреть такой случай и решить самостоятельно, как поступить. Несмотря на необходимый ручной аудит полученных ролей, такая базовая модель позволяет на начальном этапе проекта значительно ускорить построение актуальной ролевой модели.

Как это может выглядеть? Для примера приведу утилиту Avanpost Role Manager.

Перед стартом необходимо выбрать подразделения и системы для анализа:

Снимок экрана 2015-10-02 в 10.19.26

Ограничивать область анализа очень удобно, поскольку можно периодически анализировать отдельные подразделения и поддерживать ролевую модель в актуальном состоянии.

По результатам анализа формируется набор базовых ролей:

1

Здесь зеленым выделены роли, в которых наборы прав у сотрудников практически полностью совпадают. Красным выделены роли, где сотрудники на одной должности имеют отличающиеся наборы прав, такие роли необходимо пересмотреть, возможно, разбить на более мелкие роли.

Можно зайти в роль и посмотреть какие именно права в ней есть, насколько часто они встречаются у сотрудников, и какие сотрудники получат эту роль, если ее использовать в IDM  системе:

Снимок экрана 2015-10-02

Инструменты построения ролей могут также использоваться и как средство аудита, некоторые из них могут выгрузить в виде отчета текущие права (даже если они не входят в роли) всех пользователей системы.

Таким образом, польза данных инструментов очевидна, но не нужно полностью полагаться на автоматику, ведь всегда есть пользователи с уникальными правами.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM