IDM для замкадышей

Сакральным смыслом данного поста является телепортация знаний из сердца нашей Родины.

Итак, некоторое время над мы рассуждали  об IDM и даже получили ответ .
Сделаем второй шаг и выложим свои идеи бюджетной системы управления учетными записями для небольшой компании, размером в несколько тысяч сотрудников.
Начальные условия следующие:
1. Все пользователи хранятся в Active Directory.
2. Права в системах (всех, любых) даются на основании членства в группах Active Directory.
3. Вновь внедряемые или модернизируемые системы перестраиваются с учетом условий 1 и 2.

Термины и определения:
Базовые права – доступ к внутренней электронной почте и доменная учетная запись.
Шаблон должности – набор прав, характерный для данной должности.
Информационный ресурс - сущность, к которой осуществляется доступ на основании заявки.

Варианты работы с заявками.
1. Прием на работу
При приеме на работу Система, на основании информации из кадровой базы, оформляет и согласует для пользователя автоматически (здесь и далее, действие инициируется сотрудником кадровой службы) заявку на создание почтового ящика для пересылки внутри ИС.
Первый пароль пользователя передается системотехнику, который выходит на настройку компьютера. В свойствах учетной записи должен быть установлен параметр «Обязательная смена пароля при следующем входе в систему».
Система автоматически оформляет заявки в соответствии с шаблоном должности.
2. Увольнение
На основании заявления, кадровая служба обязана в момент получения заявления на увольнение установить параметр пользователя «Подготовка к увольнению». В результате Системой автоматически должны быть оформлены и согласованы заявки на блокировку доступа к следующим информационным ресурсам:
- внешняя электронная почта;
- доступ в Интернет;
- доступ к сменным носителям.
Так же после отъема этих прав, должна быть возможность передать их (автоматически оформить и согласовать заявки) на замещающего сотрудника в момент блокировки старого или позже. Эти заявки так же согласуются автоматически.
Передача прав не может быть осуществлена от одного сотрудника более одного раза.
В начале дня увольнения, в соответствии с заявкой, учетная запись блокируется в 00:01.
3. Увольнение и прием в дочернее предприятие (ДП).
При переводе в ДП в рамках головного предприятия и ДП, действуем аналогично п.2, кроме блокировки в день увольнения.
В начале дня увольнения, на основании информации из кадровой базы, автоматически оформляются и согласуются заявки на блокировку доступа ко всем информационным ресурсам, кроме электронной почты. При этом старым руководителем сотрудника и подразделением безопасности должно быть согласовано сохранение электронного адреса, либо его замена. Эта заявка должна быть подана автоматически не позднее чем за 3 дня до перевода. Если заявка не подана вовремя (заявление поступило в кадровую службу позднее), доступ пользователя блокируется полностью до оформления заявки на перевод с сохранением адреса или оформление в соответствии с п.1. При этом система должна проконтролировать несовпадение электронных адресов.
4. Перевод в другой, независимый отдел в рамках предприятия
При переводе в другое подразделение, в рамках одного предприятия, действуем аналогично п.3
5. Перевод на вышестоящую должность, Перевод на нижестоящую должность, Перевод в рамках отдела
Система автоматически, на основании информации из кадровой базы, оформляет и согласует заявку на блокировку учетной записи в связи с переводом, с указанием вида перевода. У сотрудника отбираются все права, кроме базовых.
Система автоматически оформляет и согласует заявки на предоставление прав в соответствии с шаблоном новой должности.
6. Смена фамилии.
При смене фамилии оформляется заявка (или 2 заявки) которая видна, если поиск осуществляется по старой или новой фамилии. При этом в заявке указывается что на что поменялось.
7. Отпуск, больничный, декретный отпуск, командировка.
При оформлении отпуска, больничного, декретного отпуска и командировки, на основании информации из кадровой базы, автоматически оформляется и согласуется заявка на блокировку учетной записи. По окончании периода блокировки, если это не противоречит информации из кадровой базы, системой автоматически оформляется и согласуется заявка на разблокировку пользователя.
8. Создание удаление инфрмационных ресурсов.
После подачи и согласования заявки, информация о ресурсе добавляется в базу, для оформления заявок на доступ. Бизнес администратор информационного ресурса назначается из числа сотрудников имеющих доступ к ИС. При увольнении сотрудника являющегося бизнес-администратором системы, система должна уведомить руководителя сотрудника, о необходимости назначить нового администратора.


Вот такие мысли. Жду комментариев.