Александр Омельченко, Автор в Digital Enterprise

Упрощение процесса приёма нового сотрудника с помощью IDM

Все мы знаем, что при приёме нового сотрудника ему необходимо предоставить доступ ко всем приложениям, директориям, файлам, базам данных и т.д., которые нужны для работы. Также нужно выдать сотруднику пропуск в здание, парковочный талон или электронный ключ доступа. Обычно все эти процедуры выполняются вручную и занимают достаточно много времени, в это время новый сотрудник вынужден просиживать без дела. IDM решения позволяют упростить или автоматизировать большую часть таких рутинных операций. Начать нужно с анализа существующего процесса приёма нового сотрудника: Необходимо полностью описать процесс приёма нового сотрудника. Пересмотреть и актуализировать все этапы передачи информации между заинтересованными сторонами (Отдел подбора персонала, Отдел кадров, ИТ,…

Определение ролей для IDM. Два подхода

Внедрение ролевого управления доступом может принести много пользы, если определять роли правильно. Ролевая модель доступа позволяет предоставлять и ограничивать доступ как сотрудникам компании, так и контрактникам, аудиторам и другим временным пользователям, даже клиентам. Применение ролей в IDM системе позволяет упростить аудит и отчетность. Основная трудность при использовании ролей – правильно их определить. Для решения этой проблемы были придуманы два подхода: первый – определение ролей сверху вниз, второй – опредление ролей снизу вверх. Использовать их необходимо последовательно. Первый метод заключается в определении ролей совместно с владельцами систем и непосредственными руководителями сотрудников. Сначала необходимо встретиться с владельцем системы, чтобы понять, как предоставляется доступ, и кто какой…

Проектный опыт: интеграция IDM и Service Desk

В наших заметках и статьях мы не раз писали о том, как полезно интегрировать IDM и Servise Desk.Сегодня расскажу подробнее на примере реального проекта, что собой может представлять такая интеграция, как она работает и какую пользу позволяет получить. Задача была следующей: автоматизированное исполнение в IDM согласованных в SD заявок на управление учетными записями (добавление/отзыв прав, блокировка, сброс пароля, изменение информации). Основной плюс здесь, конечно же, в автоматизированном добавлении/отзыве прав доступа, что существенно уменьшает количество ручного труда по управлению доступом в системе. Ролевые модели для управляемых систем уже существовали на момент начала работ, поэтому в IDM системе использовались уже задокументированные роли с определенным набором прав в управляемых системах. Схема…

Расширение ролевого управления доступом с помощью атрибутов

Ранее на нашем портале рассказывалось о методах управления доступом с помощью ролей и атрибутов. Сегодня рассмотрим способы объединения этих методов с целью получения более гибкой модели. Существует три основных комбинации RBAC и ABAC: Динамические роли. Ролевая модель дополняется динамическими атрибутами, например, временем суток. Таким образом, набор ролей пользователя определяется динамически системой управления доступа. В зависимости от реализации такого подхода, набор ролей пользователя может полностью динамически определяться системой управления, либо пользователь будет получать один из заранее определенных наборов авторизованных ролей. На основе атрибутов. Имя роли – это один из многих атрибутов. В данном случае роль – это не набор прав, а лишь название в атрибуте "Роль". При таком подходе быстро теряется простота администрирования ролевой модели, чем больше атрибутов…

Role mining. Построение ролевой модели

Как известно, одна из основных трудностей в проектах по управлению доступом – это построение ролевой модели. Сложность построения модели повышается с каждой дополнительной управляемой системой, включенной в охват проекта. Построение актуальной ролевой модели для нескольких систем с нуля может растянуться на месяцы, а то и годы. Такая модель может устареть ещё до начала ее использования. Одно из решений этой проблемы – инструменты построения ролевой модели (Role mining tools). Инструменты эти могут сильно отличаться по логике своей работы, стоимости, юзабилити и т.д., но принцип работы и цели у них общие – это сбор информации о текущих правах сотрудника в информационных системах, анализ "повторяемости" этих прав для…

Управление доступом на основе атрибутов

Продолжаем тему управления доступом. Недавно мы рассказали о модели RBAC и запросах на доступ, которые можно использовать там, где возможностей RBAC не достаточно. Но, как было показано, запросы на доступ так же имеют свои недостатки, главным из которых является накопление прав, предоставленных через запросы. Как же повысить эффективность управления доступом? Одним из подходов является использование управления доступом на основе атрибутов (ABAC). Этот подход использует анализ атрибутов субъектов и объектов доступа, а также времени и среды. Доступ предоставляется на основе правил или политик, которые представляют из себя набор условий для проверки атрибутов, например: Бизнес-Правило: "Менеджер может редактировать заказ, только если стоимость заказа не выше 1000 руб. и заказ находится в его филиале"…

Управление доступом на основе ролей: преимущества, практика, особенности

Здравствуйте, уважаемые посетители портала! Меня зовут Александр Омельченко, я – новый сотрудник компании Cleverics. Буду заниматься проектами по внедрению решений IDM и управлению доступом. В связи с появлением нового направления в компании, хочу рассказать подробнее про связанные с управлением доступом понятия. Сегодня поговорим о наиболее популярной на сегодняшний день модели предоставления доступа – управление доступом на основе ролей, известной как RBAC (Role Based Access Control). Управление доступом на основе ролей Ключевой особенностью ролевой модели является то, что весь доступ к информационным системам и ресурсам предоставляется только через роли. Роль – это набор прав доступа. Пользователи получают доступ только через присвоенные им роли….

Александр Омельченко, 19 июня 2015, последний комментарий 17 июля 2015

Портал №1 по управлению цифровымии информационными технологиями

Александр Омельченко