Итак, человека приняли на работу в организацию и, чтобы он мог приступить к своим обязанностям, ему нужно выдать необходимый для работы минимальный набор полномочий: например, учетная запись в домене, адрес электронной почты и т.п. На первый взгляд процесс назначения МНП кажется простым и незатейливым. Это, действительно, почти так, если на этапе формирования задания на автоматизацию не забыть формализовать несколько правил и алгоритмов.
name='more'>Алгоритм формирования логинов.
Первая задача, с которой мы сталкиваемся при создании любой учетной записи - это формирование её имени, которое должно быть уникальным. Все хотят, чтобы имена учетных записей и почтовых ящиков были похожи на имена их владельцев, а не на бессмысленный набор цифр. Нужен алгоритм формирования логинов сотрудников, которые будут прилично выглядеть и при этом будут уникальными.
Правила заполнения атрибутов учетных записей
Учетные записи в системах кроме имени имеют еще множество атрибутов. Часть из них имеем описательный характер (например ФИО), другие могут оказывать существенное влияние на поведение системы по отношению к учетной записи (например, контейнер в AD, срок действия пароля и т.п.). Для всех существенных атрибутов нужно предусмотреть правила их автоматического заполнения при создании учетных записей. Правила могут быть простыми, такими как простой перенос фамилии, имени из кадровой системы, а могут быть и более сложными, например, контейнер для размещения учетной записи может вычисляться на основе комбинации подразделения и должности сотрудника.
Правила назначения прав доступа.
У учетных записей есть не только атрибуты, но и связанные с ними права доступа. Назначаемые по умолчанию права доступа часто зависят от должности, подразделения и других атрибутов сотрудников.
В разных системах назначение прав доступа выполняется по разному. Где-то права даются назначением служебных атрибутов, где-то включением учетных записей в группы, где-то используется понятие ролей. Чтобы избежать разночтений и упростить правила назначения прав, рекомендуется использовать ролевую модель (RBAC), которая помогает сформулировать правила назначения в бизнес-терминах, и не зависеть от способа реализации модели доступа в конкретной информационной системе.
Стоит упомянуть еще один момент, связанный с назначением прав доступа. В ряде случаев не все права доступа назначаются автоматически при приеме на работу, часть из них проходит сначала через цепочку согласований у ответственных сотрудников.
После того как все необходимые правила назначения сформулированы, согласованы со всеми заинтересованными лицами, автоматизация назначения минимальных полномочий при приёме на работу становится понятной и несложной. Однако, при внедрении стоит иметь в виду, что все сформулированные правила в течение эксплуатации системы неизбежно будут изменяться. Причины изменений самые разные начиная с банальных ошибок и заканчивая серьезными изменением штатного расписания. Для нас это означает необходимость закладывать возможность изменения упомянутых выше правил без кардинальной переделки всей системы.
