Какие задачи решают IAM системы?
Терминология
Чаще всего мы встречаем термин Identity Management (IdM), что означает управление учетными записями или электронными представлениями пользователей. Как правило, от IdM-системы требуется управление не только учетными записями, но и доступом к системам. Поэтому обычно говоря об IdM, подразумевают Identity and Access Management.
Под Identity and Access Management (IAM) понимают набор технологий и программных продуктов, отвечающих задачам управления жизненным циклом учетных записей и управления доступом к различным системам в компании. Аналитические агентства (Gartner, Forrester, KuppingerCole) и разработчики IAM-систем выделяют как минимум две области внутри IAM: User Administration and Provisioning (UAP) и Identity and Access governance (IAG). Современное IAM-решение должно предоставлять функциональность в обеих областях.
UAP-решения появились в конце 1990-х как средства автоматизации работы со службами каталогов. UAP решает задачи автоматизации создания, изменения и удаления учетных записей в информационных системах организации, а также обеспечивает доступ к приложениям и ресурсам, которые нужны пользователю для работы.
Типовые задачи IAM
Задачи UAP
Представим себе процесс организации доступа к IT-ресурсам (приложения, данные, сервисы) в компании без автоматизации. Сотрудника при приеме на работу отдел кадров вносит в 1С. Затем информация о нем попадает в ИТ-отдел. IT-отдел создает учетную запись в службе каталогов Active Directory. Доступ к папкам, приложениям, рассылкам новый работник получает, обратившись к системному администратору или в службу поддержки по электронной почте, в некоторых случаях требуется согласие руководителя или владельца ресурса. При этом сотрудник никогда не просит «отобрать доступ» и за годы работы в компании может «обрасти» доступом в различные системы.
Если в небольшой компании организация доступа решается путем прямых коммуникаций и новичок сможет в течение дня получить доступ ко всему, что требуется для работы, то в географически распределенной компании со штатом более 500 человек на это могут уйти дни.
У сотрудников могут меняться должности, телефонные номера, фамилии, и эти изменения должны отражаться в информационных системах. В некоторых компаниях есть работники по контракту или сезонные работники. При расторжении контракта или смене должности доступ к ресурсам должен быть прекращен.
Если же в компании несколько информационных систем, например система документооборота, бухгалтерская система, внешний портал, появляется задача управления паролями. Каждая система управляется разными людьми. Пароль в каждой системе создается отдельно (т. е. присваиваются персональные пароли). Пользователю сложно запомнить несколько паролей, и это приводит к тому, что они хранятся на бумаге. Если пароль требуется поменять, нужно найти владельца приложения, который может быть в отпуске, а доступ необходим сейчас.
Представим ситуацию, когда сотрудник в командировке решил подключить доступ к почте на мобильный телефон и ошибся при вводе пароля. Его учетная запись будет заблокирована при многократных попытках ввода неправильных данных, и он не сможет самостоятельно получить доступ к почте.
При увольнении сотрудника необходимо заблокировать его доступ ко всем системам компании, иногда важно сделать это в течение минуты.
Такой процесс в масштабах крупной организации отнимает много времени у IT-отдела, неизбежно приводит к ошибкам и, как следствие, финансовым потерям.
Достаточно часто в Интернете можно прочитать о судебных делах, связанных с тем, что у уволенного сотрудника остался доступ к системам предприятия, например:
www.kuzbass85.ru/2012/04/11/uvolennyiy-sistemnyiy-administrator-udalil-chetyirehletniy-arhiv-buhucheta-byivshego-predpriyatiya
Суд установил, что в июле 2011 года Приходько, находясь у себя дома в г. Кемерово, осуществил неправомерный доступ на почтовый сервер предприятия, где он ранее работал. Затем он удалил программу «1С Предприятие» за период с 2007 по 2011 год. В результате данные бухгалтерского учета на серверах трех обществ холдинговой компании, находящихся в г. Прокопьевске, были уничтожены.
О многих подобных случаях мы не узнаем, поскольку банки или страховые компании предпочитают не афишировать подобные инциденты.
Теперь посмотрим, как выглядит автоматизированный процесс.
После появления учетной записи в кадровой системе UAP-решение автоматически создает учетные записи в подключенных системах, выдает доступ на основе атрибутов пользователя (например, должность и отдел) и групп. UAP-система позволяет проверять значения атрибутов на соответствие правилам и запрещать создание «неправильных записей», в частности, с незаполненной должностью. При изменениях достаточно внести их в одном месте – и они автоматически будут отражены во всех подключенных системах. Так, например, пользователь, изменяя пароль в AD, автоматически получает такой же пароль во всех системах. При переводе или увольнении сотрудника система отбирает доступ во всех системах практически мгновенно.
Важно отметить, что UAP изначально были нацелены в большей степени на решение рутинных задач отделов IT по администрированию пользователей и ресурсов. Однако такие решения не предполагались для организации контроля доступа к системам и не были предназначены для не IT-пользователей. То есть UAP-системы автоматически выдавали доступ и отбирали его, но не могли дать ответ на вопрос, к каким ресурсам пользователь имеет доступ сейчас. Также важно было дать пользователям возможность самостоятельно запрашивать доступ к ресурсам (приложения, данные, сервисы), а их руководителям (или владельцам ресурсов) подтверждать правомочность доступа при запросе, организовывать аттестации на предмет проверки, кто имеет доступ к тому или иному ресурсу.
Эти потребности сначала закрывались набором расширенной функциональности UAP-продуктов, но было понятно, что такие задачи требуют новых решений.
Задачи IAG
В середине 2000-х начали появляться специализированные IAG-предложения. IAG-система решает задачи запроса, подтверждения, аттестации и аудита доступа к приложениям, данным и сервисам, а также обеспечивает контроль и предоставляет бизнес-аналитику процессов создания учетных записей, управления этими записями и как эти записи были использованы для доступа. В отличие от UAP, где права в системах привязывались напрямую к учетным записям, IAG-решения оперируют ролями, которые связаны с организационной структурой предприятия. Можно сказать, что в UAP-решениях за выдачу доступа отвечал ИТ-отдел, а IAG-системы вернули бразды управления доступом бизнес-пользователям.
Посмотрим на конкретные примеры использования IAG-решений. Допустим, требуется использовать Adobe Photoshop на рабочем компьютере. Сначала пользователь отправляет заявку в службу техподдержки. Ее сотрудники ждут подтверждения руководителя, который добавляется в переписку. В результате пользователь получает установленное приложение, потратив на это пару дней. Бывает, что в согласовании участвует несколько человек (так, чтобы получить новый ноутбук, нужно подтверждение руководителя и директора).
IAG-решения предлагают автоматизацию подобных процессов с помощью веб-портала, где можно запросить ресурс, затем запустится «невидимый» процесс, который при необходимости запросит подтверждение руководителя и после его получения автоматически произведет требуемые изменения.
IAG-система позволяет руководителю или сотруднику службы безопасности увидеть, к каким системам у пользователя есть доступ, и также управлять этим доступом.
Доступ может предоставляться и на основе «вычисляемых» правил, то есть если сотрудника назначили работать над конкретным проектом и у него появилась соответствующая роль, он автоматически получит доступ к требуемой документации, что позволит избежать «ручных согласований».
Если у пользователя появились лишние права (например, администратор Active Directory добавил пользователя в группу), которые не соответствуют его роли, служба безопасности получит уведомление об этом и может подтвердить исключение или принять меры к его устранению.
Важной составляющей процесса управления ролями является политики Separation of Duties (SoD) или разделение полномочий. Эти политики запрещают совмещение определенных ролей. Например, сотрудник, формирующий заказ, не должен участвовать в финансовых операциях.
Некоторые направления развития IAM
IAM-решения быстро развиваются, охватывая новые области, такие как управление данными на основе содержимого, управление мобильными устройствами, авторизация на основе рисков и многие другие.
Как мы видим, существующие IAM-решения хорошо позволяют управлять доступом к централизованным ресурсам. Однако в современных компаниях есть огромные объемы неструктурированных данных, хранящихся на компьютерах пользователей, в сетевых папках. Пользователь может легко скопировать ценные данные на свой компьютер и потом распространять их бесконтрольно.
Для решения этой проблемы в IAM-продуктах появляются модули, позволяющие классифицировать данные по содержимому и атрибутам документа и предоставлять доступ на основе сравнения данных, предоставленных пользователем (кто пользователь и какое устройство он использует), и данных классификации документа (какие данные содержит документ).
Еще одним перспективным направлением является управление и взаимодействие с мобильными устройствами. В современных компаниях пользователи используют для работы не только стационарные компьютеры, но и смартфоны, и планшеты. Во многих случаях это не корпоративные устройства, а личные. Политика BYOD (Bring your own device, или принеси свое устройство) набирает популярность за счет снижения затрат компании на поддержку инфраструктуры, покупку устройств. C популяризацией этой политики появляются новые задачи. Как защитить данные компании, хранящиеся на устройстве, но при этом соблюсти неприкосновенность частной информации сотрудника?
Технология использования логина и пароля для доступа к ресурсам компании критикуется давно, однако достойной замены предложить никто не смог. Методы двухфакторной аутентификации (например, комбинация традиционного способа и СМС) широкого распространения не получили. Сейчас поставщики IAM-решений двигаются в направлении аутентификации на основе контекстных данных о пользователе, устройстве, приложении, откуда пришел запрос. Эти данные анализируются, и принимается решение о личности пользователя. Такой алгоритм работы существует в некоторых социальных сетях. Так, при вводе логина из другой страны можно получить предложение указать дополнительные данные (номер телефона, например).
Как выбрать подходящую IAM-систему
Рынок IAM-решений
Рынок IAM активно развивается, происходят слияния и поглощения. Сложность IAM-систем существенно увеличивается с каждым годом. Для оценки современных IAM-предложений требуется серьезная экспертиза не только в области информационных технологий, но и в сфере бизнес-аналитики.
Существует несколько аналитических агентств, специализирующихся на исследованиях и сравнениях IAM-решений: Forrester, KuppingerCole, Gartner. Они, как правило, выпускают ежегодный отчет по рынку IAM-решений, а также отдельные документы о трендах в отрасли, опросники, помогающие выбрать наиболее подходящую систему. Если ежегодные отчеты можно найти на сайтах поставщиков решений, то специализированная документация, как правило, стоит от сотен до десятков тысяч долларов.
Для ежегодных отчетов у каждого из агентств своя методика сравнений и наглядного представления результатов.
Так, например, Gartner оценивает поставщиков IAM по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему).
В отчете KuppingerCole есть несколько диаграмм, где поставщики IAM-решений оцениваются по какой-то одной шкале (оценка продукта в целом на скриншоте ниже).
Такие отчеты позволяют получить понимание предметной области, тенденций развития рынка и общее представление о крупных игроках на рынке IAM.
Важно понимать, что на российском рынке многие системы не представлены вовсе. Также могут быть и локальные решения, достаточно успешные на российском рынке, но не имеющие распространения в мире.
Критерии выбора систем
Как не бывает двух одинаковых предприятий с одинаковым набором приложений и бизнес-процессов, так не бывает и универсальных и самых лучших IAM-систем. Каждая IAM-система обладает уникальным набором функциональности, коннекторов к целевым системам, фреймворков для расширения функциональности.
Начать выбор можно с формальных требований, таких как стоимость владения (стоимость лицензий, внедрения и поддержки на протяжении нескольких лет), лицензионная политика, наличие успешно завершенных проектов в близких по размеру/отрасли предприятиях, наличие специалистов по внедрению и поддержке на территории России.
Технические требования тоже могут помочь: наличие коннекторов к распространенным системам, используемым на предприятии, веб-интерфейса для бизнес-пользователей, автоматизации бизнес-процессов (например, согласований), механизма аттестаций, требования к открытому расширению функциональности (когда систему можно расширять без производителя).
Отобрав несколько наиболее подходящих поставщиков, можно посмотреть, как система работает с основными и самыми важными сценариями, которые требуется автоматизировать.
Обычно это сценарии жизненного цикла сотрудника: прием на работу, перевод в другой отдел или офис, отпуск, увольнение. Также важен набор сценариев по управлению доступом: выдача временного и постоянного доступа к системам по запросу, автоматически или по согласованию на основании ролей в компании или проекте, контроль доступа по расписанию (аттестации) и запросу.
При работе с данными учетных записей важно проверять их корректность (например, формат телефонного номера), а также преобразовывать данные при синхронизации, в частности, выполнять транслитерацию имен при синхронизации кадровой системы и Active Directory.
Для автоматизации жизненного цикла пользователей в целевых системах, как правило, используются коннекторы. Это выделенные модули IAM, осуществляющие взаимодействие с внешней системой, обеспечивающие создание, изменение, удаление учетных записей и выдачу доступа путем перевода ролей в IAM-системе в набор прав, понятный для целевой системы, например группы. Коннекторы часто меняются по причине изменений в целевой системе. Будет ли IAM поддерживать новую версию 1С или SalesForce? Как дорого стоит доработка коннектора?
Важно понимать, что IAM-система не коробочный продукт и в большинстве проектов стоимость услуг может в разы превышать стоимость лицензий. IAM-проекты никогда не заканчиваются (кроме неудачных), поскольку целевые системы под управлением IAM-предложения постоянно меняются и требуют переконфигурирования, обновления или доработки. Поэтому расширяемость системы – очень важный критерий выбора. Потребуется ли привлекать специалистов поставщика для каждого изменения или с этим могут справиться администраторы и бизнес-пользователи заказчика?
Примеры сценариев для оценки IAM-системы
Прием на работу
Сценарий: После того как отдел кадров заводит учетную запись нового сотрудника в кадровой системе (например, 1С), сотрудник должен получить учетные записи и наборы прав во всех системах соответственно его роли не позднее чем через n минут.
Результат:
Сотрудник может пользоваться всеми системами в рамках полномочий его роли.
Запрос доступа к ресурсу
Сценарий: После того как сотрудник запрашивает ресурс через веб-портал, он должен получить ответ в течении n часов. Временный доступ к ресурсу регулируется путем ручного согласования. То есть запрос получает владелец ресурса и/или его заместитель. Если в течение заданного времени запрос остался не отвеченным, происходит эскалация.
Результат:
а) Сотрудник получает доступ к ресурсу;
б) Сотрудник получает отказ.
Аттестация
Сценарий: Раз в месяц владелец ресурса проводит аттестации списка тех, кто имеет доступ к ресурсу. Для каждого участника списка он продлевает или прекращает доступ.
Результат: Проведена аттестация, доступ к ресурсу имеют только сотрудники, подтвержденные владельцем.
Отпуск
Сценарий: Доступ сотрудника в отпуске должен автоматически быть прекращен на время его отсутствия. Прекращение доступа не требует ручных действий.
Результат: Сотрудник не имеет доступ к системам компании во время отпуска.
Увольнение
Сценарий: У сотрудника должен быть аннулирован доступ во все системы предприятия не позднее чем через n минут после инициации процесса руководителем на веб-портале.
Результат: Сотрудник не имеет доступ к системам компании.
Разделение полномочий
Сценарий: Руководитель назначает сотруднику роль, которая не совместима с уже имеющимися ролями. Сотрудник не может совмещать взаимоисключающие роли.
Результат: Система отказывает в изменении и фиксирует нарушение политики.
Сброс пароля
Сценарий: Сотрудник забыл пароль.
Он заходит на веб-сайт, где, ответив на вопросы системы, инициирует сброс пароля и получает новый пароль в виде СМС. Новый пароль автоматически должен быть синхронизирован в подключенные системы.
Результат: Сотрудник получает новый пароль, которым может пользоваться во всех системах, где у него есть доступ.
Это первая часть статьи, будет продолжение...
Автор: Александр Цветков, инженер Dell Software