От ролевой модели управления доступом к динамическим политикам назначения прав: как это реализовано в Solar inRights
Требования к функциональности IdM-решений растут вслед за ожиданиями и новыми сценариями по управлению доступом в компаниях. Наряду с базовыми опциями востребованными становятся возможности систем для расследования инцидентов, информативность интерфейса, повышенная скорость работы. На российских вендоров также большое влияние оказывает планка, заданная иностранными поставщиками IGA/IdM-решений, и рост цифровой зрелости российских заказчиков, которым необходимо системное управление доступом.
В этом материале Мария Конорева, ведущий аналитик отдела управления доступом к информационным системам, рассказывает о новой функции в Solar inRights, которая позволяет эффективно построить гибкую ролевую модель и оптимизировать затраты на выполнение рутинных заявок для назначения прав доступа.
При выстраивании процессов управления доступом возникает задача автоматизировать назначение и изменение полномочий для сотрудников по различным критериям и правилам. Например, автоматизированное назначение прав доступа различным категориям сотрудников при приеме или переводе в другой отдел или департамент.
Ранее IdM-система Solar inRights позволяла настраивать ролевую модель, основываясь только на трудоустройстве пользователя. Механизм базовых ролей на основе этого признака позволяет настроить ролевую модель, которая будет закрывать потребности распределения доступа на основании должностей и подразделений организационной структуры.
Например, назначить всем старшим специалистам бухгалтерии роль, позволяющую просматривать документы и справочники в системе бухгалтерского учета, или предоставить всем администраторам баз данных бизнес-роль «Администратор ИТ», и так далее.
Но если запросы усложняются, и ролевая модель строится не только на факте трудоустройства, но и на других атрибутах, например, типе работника, его принадлежности к продукту или проекту, или добавляются исключения из правил, такой механизм уже не срабатывает.
Поэтому в Solar inRights ввели новое понятие «Динамические политики» или, иначе, «Политики назначения ролей».
Рис. 1. Базовые роли Solar inRights
Политики назначения ролей — это правила, по которым пользователям, в зависимости от их атрибутов или атрибутов их трудоустройств, автоматически назначаются те или иные роли. Учитывая, что Solar inRights позволяет ввести большое количество атрибутов и расширять при необходимости их список, политики открывают широкие возможности настройки процесса автоматической выдачи прав доступа сотрудникам.
Рис. 2. Политики назначения ролей
Динамические политики в inRights пришли на смену базовым ролям и расширили их возможности. В отличие от базовых ролей, динамические политики могут основываться не только на компании, подразделении или должности работника, но и на других атрибутах — например, типе работника (штатный или внештатный), кадровом статусе, руководителе, проекте и других атрибутах пользователя и его трудоустройства, известных inRights.
Также можно создать сложные политики, которые будут учитывать несколько атрибутов пользователя и решать различные задачи компании в части автоматического назначения ролей. При этом сам механизм настройки прост, с ним сможет справиться сотрудник, не обладающий специальными техническими навыками.
Рис. 3. Новая политика назначения ролей
При создании политики администратор указывает список ролей, которые будут назначаться согласно политике и набор условий — правил, на основании которых система будет принимать решение, какому пользователю назначать эти роли. Правила включают в себя объект, для которого будет применяться правило (пользователь или его трудоустройство), атрибут, оператор и значение.
Для отдельных специфичных атрибутов могут добавляться и другие дополнительные параметры. Типы атрибутов, которые можно использовать, расширяем постепенно. Сначала мы добавили возможность указывать простые текстовые атрибуты, затем — атрибуты, которые являются ссылками.
Список возможных операторов позволяет настраивать правила и в виде исключений — например, политика будет применяться для всех пользователей, кроме пользователей из подразделения «А» или для всех, чье имя не «Иван».
Политики можно создавать, изменять, а также включать или выключать по необходимости. Выключенные политики применяться не будут до того момента, пока их не включат обратно. Таким образом, можно сначала настроить весь список политик, убедиться в его достаточности, а затем запустить процесс применения политик для существующих пользователей.
В карточке политики можно увидеть список пользователей, которым назначены роли согласно данной политике, а в карточках этих пользователей увидеть в качестве основания для назначения роли эту политику.
Рис. 4. Пользователи, которым назначены роли согласно политике
Рис. 5. Роли, назначенные на пользователя
Выводы:
Основные преимущества IdM-системы Solar inRights:
1. Гибкость и адаптивность. Политики позволяют настроить ролевую модель в соответствии с потребностями организации, учитывая различные атрибуты пользователей и их трудоустройства. Это дает возможность более точно и эффективно управлять доступом сотрудников к информационным ресурсам компании.
2. Более простой процесс управления доступом. Автоматическое назначение ролей на основе политик освобождает администраторов от необходимости вручную настраивать права доступа для каждого сотрудника. Это снижает вероятность ошибок и ускоряет процесс предоставления доступа новым сотрудникам.
3. Повышение безопасности данных. Динамические политики позволяют предоставить доступ к конфиденциальной информации только тем пользователям, которым это действительно необходимо. Это помогает предотвратить несанкционированный доступ и защитить данные от внутренних и внешних угроз.
4. Простота настройки и использования. Интерфейс Solar inRights позволяет легко создавать, изменять и включать/выключать политики. Это делает процесс настройки ролевой модели доступным даже для специалистов без специальных технических навыков.
