ISIM предлагает интересную концепцию "права доступа", отражающую разный взгляд на права доступа со стороны бизнеса и ИТ. Существуют разные технические способы изменения полномочий сотрудника в системе - добавить учетную запись, изменить атрибуты существующей учетной записи, назначить бизнес-роль и т.п. Однако пользователя системы эти нюансы, как правило, не интересуют. Пользователь хочет просто получить нужный ему доступ.
name='more'>ISIM дает пользователю возможность поиска в каталоге доступных ему прав доступа. Право доступа - это "нечто", имеющее название и описание в терминах понятных конечному пользователю, например: "Доступ к корпоративной системе документооборота". Запросив и получив этот доступ, сотрудник сможет зайти в СЭД. Но что фактически произошло, как в действительности изменились учетные - остается за кадром. Как же это работает?
С технической точки зрения, каждое добавление полномочий - это выполнение одной из операций:
name='more'>ISIM дает пользователю возможность поиска в каталоге доступных ему прав доступа. Право доступа - это "нечто", имеющее название и описание в терминах понятных конечному пользователю, например: "Доступ к корпоративной системе документооборота". Запросив и получив этот доступ, сотрудник сможет зайти в СЭД. Но что фактически произошло, как в действительности изменились учетные - остается за кадром. Как же это работает?
С технической точки зрения, каждое добавление полномочий - это выполнение одной из операций:
- Добавление пользователю учетной записи для сервиса (т.е. в управляемой системе)
- Включение учетной записи в некоторую группу.
- Назначение пользователю бизнес-роли.
Примечания.
При назначении бизнес–роли, все полномочия, соответствующие этой роли, добавляются автоматически.
Группа - это абстракция в ISIM, которая описывает элементарное, неделимое полномочие в управляемой системе. С точки зрения ISIM, включение в группу трактуется как изменение многозначного атрибута учетной записи. Как это отражается в самой системе - определяет адаптер - специализированный модуль управления учетными записями.
Чтобы не грузить пользователя этими ненужными подробностями, администратор снабжает объекты системы (сервисы, группы сервисов и бизнес роли) описанием связанных с ними полномочий на понятном бизнес-пользователям языке. В каталог полномочий попадают только объекты, снабженные таким описанием.
Таким образом, в каталоге в одном ряду присутствуют объекты совершенно разной природы, но пользователь не думает про это, а просто запрашивает тот доступ, который ему нужен.
Чтобы не грузить пользователя этими ненужными подробностями, администратор снабжает объекты системы (сервисы, группы сервисов и бизнес роли) описанием связанных с ними полномочий на понятном бизнес-пользователям языке. В каталог полномочий попадают только объекты, снабженные таким описанием.
Таким образом, в каталоге в одном ряду присутствуют объекты совершенно разной природы, но пользователь не думает про это, а просто запрашивает тот доступ, который ему нужен.
