Пред тем как начинать любую автоматизацию стоит ознакомиться с возможностями выбранного решения и сформулировать автоматизируемые операции в терминах модели, используемой системой. Сегодня я начинаю рассказывать про объектную модель и принцип работы решения по управлению доступом от IBM – Security Identity Manager.
name='more'>ISIM предназначен для централизованного управления персональными учетными записями и полномочиями пользователей в информационных системах. ISIM автоматизирует процессы, связанные с созданием и изменений учетных записей сотрудников. Когда наступают какие-то кадровые события – прием на работу, смена должности, отпуск, увольнение и т.п. – необходимо соответствующим образом изменить полномочия затронутых сотрудников. ISIM выполняет все нужные действия автоматически. Для этого в системе моделируются взаимосвязи между пользователями, системами, полномочиями и т.п., описывается в виде бизнес-процессов, что должно происходить в определенных случаях. При необходимости перед автоматическим выполнением операций система может запрашивать подтверждение у ответственных сотрудников. Например, добавление полномочий сотруднику предварительно согласуется его руководителем.
Основные объекты системы – это сотрудник (person) и сервис (service).
Сотрудники могут быть разных типов, в базовой поставке есть два типа сотрудников – внутренние и внешние. Тип сотрудника задается при создании и определяет набор атрибутов карточки. Сотрудники в системе могут быть заведены вручную или загружены автоматически из внешнего источника (Identity feed).
Сервис – это подключенная с помощью специального адаптера внешняя информационная система, учетными записями которой управляет ISIM. У каждого сотрудника может быть одна или несколько учетных записей в каждом сервисе. Полномочия сотрудников в системе определяются наличием учетной записи в соответствующем сервисе, а также свойствами (атрибутами) учетной записи.
Учетные записи для сотрудников могут быть созданы как вручную, так и автоматически, с помощью политик предоставления доступа. ISIM позволяет управлять также и свойствами учетных записей. После редактирования все изменения автоматически передаются в управляемую систему.
Обмен данными между ISIM и управляемой системой идет в двух направлениях: предоставление (provisioning) – передача данных из ISIM в управляемую систему и реконсиляция (Reconciliation) – загрузка из управляемой системы в ISIM актуальных данных об учетных записях. Кроме учетных записей ISIM управляет также группами – объектами системы, описывающими элементарные полномочия. Один из атрибутов учетной записи – это набор групп, т.е. полномочий, предоставленных пользователю в системе.
В ISIM настраиваются области видимости и разрешения, определяющие правила назначения полномочий пользователям в зависимости от должности, подразделения, назначенных ролей и других параметров. Пользователи могут самостоятельно запрашивать необходимые полномочия во всех подключенных системах. Заявка на предоставление доступа проходит согласование по настроенному маршруту, после чего запрошенные права предоставляются автоматически.
