Управление идентификацией и доступом

Подсистема управления идентификацией и доступом IAM (Identity and Access Management) строится на основе:

· средств аутентификации;

· системы централизованного управления учетными записями и правами доступа;

· служб каталогов.

Процессы идентификации и аутентификации неразрывно связаны с системой управления доступом к ресурсам системы. Процесс управления доступом пользователей включает в себя:

· создание идентификатора субъекта (создание учетной записи пользователя) в системе;

· управление данными субъекта, используемыми для его аутентификации (смена пароля, издание сертификата и т.п.);

· управление правами доступа субъекта к ресурсам системы.

В зависимости от конкретных задач может потребоваться доступ к различным ресурсам:

· к операционным системам;

· к базам данных;

· к сетевым ресурсам;

· к веб-ресурсам.

Система централизованного управления учетными записями и правами доступа пользователей предназначена для повышения безопасности корпоративных приложений и сервисов и снижения затрат на администрирование в разнородных приложениях и операционных системах.

Эта система осуществляет синхронизацию, распространение и централизованное управление правами и учетными записями в гетерогенных информационных системах и приложениях на основе единого, централизованного представления учетных записей.

В общем случае подсистема управления учетными записями состоит из центрального хранилища учетных записей (служба каталогов), политик управления записями, правил распространения учетных записей в целевые системы и механизма согласования учетных записей.

При получении информации от целевых систем о создании/изменении/ удалении учетных записей локальными средствами администрирования под­система выполняет определенные действия в соответствии с заданными по­литиками.

При создании учетной записи пользователя в центральной системе (кадровая система, служба каталога и т.п.) подсистема управления учетными записями производит автоматическую трансформацию записи в идентификационные записи в целевых системах согласно политикам управления.

Такой подход позволяет реализовать модель ролевого управления пользователями, которые автоматически получают необходимые им права на ресурсы в соответствии с должностными обязанностями, определенными через включение их в соответствующие ролевые группы.

Одной из ключевых задач подсистемы управления учетными записями является автоматическое изменение параметров или удаление учетных записей пользователей, которые уже не работают в компании или ушли в плановый отпуск и не должны иметь доступ к ресурсу.

С ростом числа пользователей информационной системы и количества прикладных систем и сервисов, к которым они должны получать доступ, увеличиваются затраты на администрирование учетных записей пользователей и управление правами доступа к системам и сервисам.

Использование системы централизованного управления учетными записями и правами доступа позволяет автоматизировать процессы, связанные с созданием, администрированием, удалением учетных записей, предоставлением доступа к ресурсам и управлением правами в разнородных операционных системах, службах каталогов и приложениях.

Использование решений централизованного управления учетными записями и правами доступа позволяет сократить расходы на ведение учетных записей в корпоративных системах, так как создание/изменение/удаление учетных записей проводится один раз в центральной системе и далее эта информация через центральное хранилище передается в целевые системы автоматически.

Архитектура решений для управления учетными записями позволяет иметь одно представление пользователя в различных системах и дает возможность избежать повторного ввода идентификационных данных, связанных с этим ошибок и рассогласования учетных записей в корпоративных системах.

Дополнительно решения позволяют установить единые для организации правила в отношении паролей на доступ к системам и уменьшить временные затраты администраторов ИТ-подразделения, связанные со сменой и восстановлением паролей пользователей.

Благодаря решениям централизованного управления учетными записями и правами доступа администраторы безопасности могут быть уверены в том, что установленные политики безопасности в отношении паролей действительно используются и отсутствуют забытые или неучтенные учетные записи в информационной системе организации.

Системы однократной аутентификации SSO предназначены для автоматической аутентификации пользователей в целевых системах и приложениях. Логика работы системы SSO основывается на принципе хранения секретных данных пользователей в центральном хранилище (базе данных, службе каталогов).

Учетные данные системы SSO записываются в центральное хранилище (службу каталога) при первом входе пользователя в поддерживаемое приложение либо могут быть внесены в него администратором системы вручную или в результате интеграции с системой централизованного управления учетными записями и правами доступа. Поэтому системы SSO могут выступать в качестве альтернативы системе централизованного управления учетными записями и правами доступа либо дополнять эту систему.