Назначение полномочий сотруднику сильно различается с точки зрения бизнеса и ИТ. Бизнес рассматривает полномочия, в первую очередь, как возможность выполнения сотрудником определенных бизнес задач. С точки зрения ИТ-подразделения полномочия – это свойства учетных записей сотрудников. Система управления доступом выступает в роли переводчика между этими представлениями. Посмотрим как это делает ISIM.
name='more'>
Для учета полномочий с точки зрения бизнес-потребностей учетные записи не важны, важна связь между полномочиями и сотрудниками. Для представления сотрудника в системе заводится "учетная карточка" - набор атрибутов, которые описывают сотрудника: ФИО, должность, подразделение, контактная информация и т.п. Наличие карточки не дает возможности входа в систему ISIM - для этого необходимо завести ему учетную запись.
Для фактического управления полномочиями в подключенных системах с карточкой связываются аккаунты, которые отражают в базе данных ISIM реальные учетные записи сотрудников в других системах. Полномочия во внешних системах представляются как атрибуты учетных записей. С одной карточкой сотрудника может быть связано несколько учетных записей. Интересно, что сам ISIM тоже выступает как управляемая система, учетные записи, дающие возможность входа в интерфейс ISIM, создаются так же как учетные записи других систем.
В интерфейсе ISIM полномочия назначаются сотруднику, а не учетной записи. ISIM сам определяет, какие учетные записи необходимо изменить для добавления полномочий, и передает в управляемую систему соответствующие инструкции. И наоборот, если в учетных записях произошли изменения и они были загружены в ISIM, атрибуты учетных записей анализируются, и в списке полномочий сотрудника появляются соответствующие полномочия. При желании можно проследить всю цепочку пользователь->аккаунт->полномочие, но необходимости делать это нет.
name='more'>
Для учета полномочий с точки зрения бизнес-потребностей учетные записи не важны, важна связь между полномочиями и сотрудниками. Для представления сотрудника в системе заводится "учетная карточка" - набор атрибутов, которые описывают сотрудника: ФИО, должность, подразделение, контактная информация и т.п. Наличие карточки не дает возможности входа в систему ISIM - для этого необходимо завести ему учетную запись.
Для фактического управления полномочиями в подключенных системах с карточкой связываются аккаунты, которые отражают в базе данных ISIM реальные учетные записи сотрудников в других системах. Полномочия во внешних системах представляются как атрибуты учетных записей. С одной карточкой сотрудника может быть связано несколько учетных записей. Интересно, что сам ISIM тоже выступает как управляемая система, учетные записи, дающие возможность входа в интерфейс ISIM, создаются так же как учетные записи других систем.
В интерфейсе ISIM полномочия назначаются сотруднику, а не учетной записи. ISIM сам определяет, какие учетные записи необходимо изменить для добавления полномочий, и передает в управляемую систему соответствующие инструкции. И наоборот, если в учетных записях произошли изменения и они были загружены в ISIM, атрибуты учетных записей анализируются, и в списке полномочий сотрудника появляются соответствующие полномочия. При желании можно проследить всю цепочку пользователь->аккаунт->полномочие, но необходимости делать это нет.
В 6-й версии ISIM появилась полезная возможность указывать тип связи между аккаунтом и сотрудником. Тип связи по умолчанию предназначен для личных учетных записей. Добавление полномочий сотруднику приводит к автоматическому изменению соответствующих атрибутов личных учетных записей. Но это не всегда уместно. Например, часто встречается ситуация, когда сотрудник является ответственным за служебную учетную запись, которая, например, используется каким-либо приложением. Он, как её владелец, может поменять пароль учетной записи и, возможно, какие-то другие атрибуты, однако этой учетной записи совершенно не нужно назначать полномочия, положенные сотруднику по должности. Такую ситуацию можно отразить в системе управления доступом, указав, что учетная запись не личная, а служебная.
Учетные записи не всегда связаны с карточкой. Например, при первичной загрузке данных из управляемой системы существующие аккаунты могут не связаться с карточками сотрудников автоматически. Такие учетные записи называются “осиротевшими” (orphaned). При необходимости, ISIM позволяет вручную связать такой аккаунт с карточкой нужного сотрудника.
