Минимальный набор полномочий

<p>Итак, человека <a href="http://acsman.blogspot.com/2015/04/blog-post_29.html">приняли на работу</a> в организацию и, чтобы он мог приступить к своим обязанностям, ему нужно выдать необходимый для работы минимальный набор полномочий: например, учетная запись в домене, адрес электронной почты и т.п. На первый взгляд процесс назначения МНП кажется простым и незатейливым. Это, действительно, почти так, если на этапе формирования задания на автоматизацию не забыть формализовать несколько правил и алгоритмов.</p> <a name='more'></a> <h2>Алгоритм формирования логинов.</h2> <p>Первая задача, с которой мы сталкиваемся при создании любой учетной записи - это формирование её имени, которое должно быть уникальным. Все хотят, чтобы имена учетных записей и почтовых ящиков были похожи на имена их владельцев, а не на бессмысленный набор цифр. Нужен алгоритм формирования логинов сотрудников, которые будут прилично выглядеть и при этом будут уникальными.</p> <h2>Правила заполнения атрибутов учетных записей </h2> <p>Учетные записи в системах кроме имени имеют еще множество атрибутов. Часть из них имеем описательный характер (например ФИО), другие могут оказывать существенное влияние на поведение системы по отношению к учетной записи (например, контейнер в AD, срок действия пароля и т.п.). Для всех существенных атрибутов нужно предусмотреть правила их автоматического заполнения при создании учетных записей. Правила могут быть простыми, такими как простой перенос фамилии, имени из кадровой системы, а могут быть и более сложными, например, контейнер для размещения учетной записи может вычисляться на основе комбинации подразделения и должности сотрудника.</p> <h2>Правила назначения прав доступа.</h2> <p>У учетных записей есть не только атрибуты, но и связанные с ними права доступа. Назначаемые по умолчанию права доступа часто зависят от должности, подразделения и других атрибутов сотрудников.<br>В разных системах назначение прав доступа выполняется по разному. Где-то права даются назначением служебных атрибутов, где-то включением учетных записей в группы, где-то используется понятие ролей. Чтобы избежать разночтений и упростить правила назначения прав, рекомендуется использовать <a href="http://acsman.blogspot.com/2014/12/idm.html">ролевую модель</a> (RBAC), которая помогает сформулировать правила назначения в бизнес-терминах, и не зависеть от способа реализации модели доступа в конкретной информационной системе.<br>Стоит упомянуть еще один момент, связанный с назначением прав доступа. В ряде случаев не все права доступа назначаются автоматически при приеме на работу, часть из них проходит сначала через цепочку согласований у ответственных сотрудников. </p> <p><br>После того как все необходимые правила назначения сформулированы, согласованы со всеми заинтересованными лицами, автоматизация назначения минимальных полномочий при приёме на работу становится понятной и несложной. Однако, при внедрении стоит иметь в виду, что все сформулированные правила в течение эксплуатации системы неизбежно будут изменяться. Причины изменений самые разные начиная с банальных ошибок и заканчивая серьезными изменением штатного расписания. Для нас это означает необходимость закладывать возможность изменения упомянутых выше правил без кардинальной переделки всей системы.</p>