Делимся с вами заключительной статьей цикла о системе управления учетными или идентификационными данными, разработанной нами на собственной платформе ЦРП («Цифровое Рабочее Пространство»). Решение применяется в крупной транспортной компании с сотнями тысяч пользователей для управления несколькими миллионами отдельных полномочий. В этом материале расскажем об интеграционных интерфейсах системы и модуле формирования отчетности.
Предыдущие статьи:
Интеграционные интерфейсы
Модуль импорта данных
Для заполнения и актуализации справочных разделов системы возможно конфигурирование произвольного набора профилей для нормализованного импорта данных из внешних источников различных типов. Профили имеют единую модель, в которой указываются:
параметры источника и его полей;
условия фильтрации записей источника;
сопоставление полей источника с атрибутами целевых разделов справочников для возможности установки ссылочных связей между существующими записями или для создания новых ссылочных записей;
другие параметры, задающие идентификационные наборы атрибутов, значения по умолчанию для атрибутов, значения которых отсутствуют во внешнем источнике, условия ограничения целевого набора записей для обновления данных и пр.
С помощью таких профилей из внешних источников НСИ заполняются справочники оргструктуры, персон, ИС, вспомогательные справочники. Кадровая система служит доверенным источником данных для импорта сведений о кадровых движениях персон, на основании которых могут инициироваться различные действия, например: присвоение бизнес-ролей, приостановка полномочий персон на период длительного отсутствия, отзыв полномочий.
Модуль обработки полномочий в управляемых ИС
Для управления учетными записями и параметрами доступа в управляемых ИС существует единая модель для создания новых коннекторов, которая поддерживает следующий набор действий:
получение списков объектов;
получение данных объекта;
создание объекта;
модификацию объекта;
удаление объекта.
Модель коннекторов поддерживает пакетное и асинхронное выполнение действий с управляемыми ИС для массовых операций.
Для управления паролями учетных записей модель поддерживает следующие типы операций:
задание пароля;
блокирование учетной записи;
инициирование сброса пароля в новое случайное значение и получение нового значения пароля;
проверку валидности пароля.
На основе этой модели и с использованием предоставляемого SDK для разработки коннекторов возможно создание коннекторов к произвольным системам как с помощью API, если управляемая система предлагает такие возможности, так и с использованием RPA, если управляемая система поддерживает через API лишь некоторые из типов операций или вовсе не имеет API для управления доступом, которое основано на использовании командной строки или графических утилит.
Для взаимодействия с теми управляемыми системами, для которых ещё не разработаны собственные коннекторы, используется коннектор к системе ServiceDesk для передачи запроса на ручное выполнение запрашиваемого действия. Все типы поддерживаемых действий имеют шаблоны для формирования содержимого с целью регистрации задачи в ServiceDesk на основании данных заявки и значений дополнительных полей полномочий в системе IDM. Регистрация обращения и получение результата его выполнения возможны через API, RPA или структурированные сообщения электронной почты, отправляемые и получаемые через почтовый шлюз системы IDM.
Интеграция с системами управления конфигурациями
Для распространения на клиентские устройства клиентских компонентов управляемых ИС и собственных клиентов системы IDM используется интеграция с системами управления конфигурациями, такими как MS SCCM, OCS inventory и пр. Для определения распространяемых пакетов при предоставлении полномочия доступа к ИС используется информация, заданная в атрибутах ИС, а целевые устройства для распространения с учетом типа подключения (мобильное или стационарное), указанного в присваиваемом полномочии, определяются из значений соответствующих атрибутов персоны.
Сквозная аутентификация (SSO)
Поддерживаются различные сценарии аутентификации пользователя в управляемых ИС в зависимости от поддерживаемых ими протоколов аутентификации и возможностей конфигурирования взаимодействия с IDM-системой. В случае, если управляемая ИС поддерживает только аутентификацию с помощью форм ввода имени и пароля пользователя, возможно использование сценариев сквозной аутентификации с применением сценариев RPA, запускаемых из микроклиента системы IDM, распространение которого на клиентские устройства вместе с RPA-агентом может быть сконфигурировано через интеграцию с системой управления конфигурациями.
Микроклиент при запуске на клиентском устройстве в пользовательской сессии получает от системы IDM перечень ИС, для доступа к которым у текущего пользователя имеются учетные записи со связанными действующими полномочиями. На основании перечня этих ИС формируется набор ярлыков для доступа к ним, каждый из которых в зависимости от значений атрибутов ИС может запускать, например, браузер по умолчанию с заданным URL, командную строку или сценарий RPA, куда в качестве параметров передаются имя пользователя и пароль, полученные от системы IDM в момент инициации входа в ИС через ярлык микроклиента. После инициации входа в ИС микроклиент не сохраняет на локальном устройстве или в кэше оперативной памяти имя пользователя и пароль, полученные от системы IDM.
Интеграция с почтовой системой
Для двусторонних коммуникаций с пользователями системы IDM и, если необходимо, со смежными системами применяется собственный почтовый шлюз, который может отправлять сообщения, созданные системой IDM, а также обрабатывать входящие электронные письма.
Исходящие сообщения создаются по заданным шаблонам при наступлении событий и выполнении условий, сконфигурированных в системе. Допускается создание неограниченного количества шаблонов для каждой информационной сущности и конфигурирование неограниченного набора правил отправки любого из шаблонов. В системе имеется преднастроенный набор уведомлений авторов заявок, согласующих лиц, руководителей подразделений, администраторов системы для необходимого минимума событий, требующих реакции.
Экспорт данных
В решении имеется функциональность экспорта произвольных данных системы во внешние ИС. Подобно модели импорта данных, модель экспорта состоит в описании параметров приемника, его полей и сопоставления полей информационных сущностей системы IDM, которые должны быть выгружены. Каждый профиль экспорта параметризуется условиями отбора записей, например значениями их атрибутов или критерием экспорта только выбранных записей. Экспорт может быть инициализирован вручную, по расписанию или по наступлению какого-либо события, например при создании записи нового выданного полномочия.
Модуль формирования отчетности
Отчёты по данным системы реализуются путём интеграции с внешней ИС отчетности, в которой разрабатываются макеты для визуализации наборов данных, передающихся из системы IDM в качестве параметров при запуске формирования отчетов на основе того или иного макета. В качестве таких наборов данных может быть использован либо один из профилей экспорта данных, либо одно из представлений (views) данных, созданных в системе IDM. В первом случае система отчетности обращается к экспортированным во внешний контейнер данным, а во втором — к актуальным данными системы.
В системе имеется ряд преднастроенных экспортов и представлений данных для анализа необходимого минимума контрольных параметров процессов.
Заключение
Мы предполагаем, что интерес к российским IDM-решениям будет продолжать расти. В первую очередь со стороны крупных организаций с большим количеством работников и информационных систем с различными типами прав доступа. Наш опыт показывает, что при выборе решения заказчики будут прежде всего ожидать от ПО высокой производительности, гибкого наращивания функциональности по мере развития и совершенствования бизнес-процессов и выстраивания организационной структуры, а также возможности применения автоматических коннекторов со смежными ИС, такими как кадровая система, для управления полномочиями.