Наиболее глубокое отличие новой версии Avanpost IDM связано с переходом на многоуровневую иерархическую ролевую модель. Применявшаяся ранее одноуровневая (плоская) модель обладала рядом преимуществ на этапе приобретения российскими компаниями первого опыта применения IDM и IGA: упрощала внедрение IDM и позволяла автоматизировать большую часть работы по созданию ролевой модели на основе фактически существующих в организации прав доступа. Однако плоская модель неизбежно приводила к излишне тесной привязке ролей к конкретному ПО и встроенным в него механизмам управления доступом, сводя роль любого уровня (бизнес-, организационная, функциональная и др.) к набору полномочий в определенных элементах информационной системы (например, групп MS AD или ролей SAP), позволяющих выполнять те или иные действия. Отсутствие прямой связи с терминологией бизнеса делало такие роли непонятными и неудобными для бизнес-подразделений, ограничивало вовлеченность последних в процессы управления доступом, затрудняло процессы сертификации доступа и первичной реконсиляции, не позволяло поднять ролевую модель на уровень бизнеса. Кроме того, одноуровневая организация ролевой модели приводила к дублированию полномочий в различных ролях и в относящихся к ним правилах (например, правилах предотвращения SoD-конфликтов). Любое изменение ИТ-инфраструктуры требовало корректировки множества ролей (зачастую многих десятков, а иногда и сотен), что повышало трудоемкость поддержки ролевой модели в актуальном состоянии.
Многоуровневая ролевая модель Avanpost IDM 6.5
В Avanpost IDM 6.5 ролевая модель стала многоуровневой, не ограниченной по количеству слоев. При этом компания Аванпост рекомендует проектировать минимум два уровня: базовый – ИТ-роли и бизнес-роли различного вида: функциональные, проектные, организационные. Последний вид, по существу, является иерархическим словарем правил доступа сотрудников к тем или иным функциям информационных систем организации, которые, в отличие от плоской модели, определены абстрактно, т. е. без привязки к конкретному ПО и встроенным в него механизмам управления доступом. В разных подразделениях организации и на разных этапах развития информационной инфраструктуры одно и то же абстрактное описание может быть реализовано с помощью разного ПО. При этом связь абстрактных ролей с конкретным ПО задается в базовом слое многоуровневой ролевой модели и не выходит за его пределы.
Это дает большие преимущества. Во-первых, описания ролей и правил в надстроечном уровне понятны сотрудникам бизнес-подразделений, что позволяет им не только полноценно участвовать в процессах управления доступом, но и самостоятельно управлять бизнес-слоем ролевой модели. Во-вторых, верхние уровни ролевой модели меняются только при изменении требований бизнеса, но сохраняются неизменными при замене одного ПО другим. При этом такая замена (и другие изменения на уровне ИС) зачастую требует корректировки лишь базового слоя многоуровневой модели, с чем самостоятельно справляются сотрудники ИТ- или ИБ-подразделений. Иными словами, переход на многоуровневую модель приводит к перераспределению ответственности в области управления доступом и приведению его в полное соответствие с задачами, которые фактически решают разные категории сотрудников предприятия. В-третьих, механизм наследования ролей, реализованный в Avanpost IDM 6.5, дает возможность создавать ролевые модели любой глубины вложенности, устранив дублирование описаний и связанные с этим проблемы.
Отметим также, что внедрение новой ролевой модели позволяет реализовать в Avanpost IDM 6.5 полностью прозрачные процессы первичной реконсиляции и сертификации имеющихся у пользователей прав доступа, охватить более широкий набор сценариев управления доступом, повысить уровень автоматизации и вовлечь в них пользователей.
Расширение сферы контроля IDM и повышение точности управления доступом
Еще одно важнейшее нововведение Avanpost IDM 6.5 – это механизм публикации ресурсов, который позволяет IDM-системе управлять правами в отношении объектов, которые создают и контролируют сами пользователи. При этом могут применяться такие модели авторизации, как ACL и контекстные роли. Теперь у заказчиков появилась возможность полноценно контролировать доступ к разнообразным ресурсам: проектам (в системе управления проектами), сайтам Share Point, отчетам (например, в системе BI), совместно используемым файлам, «разделяемым пространствам» (в системах коллективной работы) и мн.др. Механизм публикации ресурсов устраняет разрывы и задержки в системе контроля доступа к таким ресурсам.
С помощью механизма публикации ресурсов руководитель может, создав проект или иной ресурс, незамедлительно опубликовать его в IDM-системе, стать его владельцем и запросить необходимые права доступа для членов команды. В свою очередь, IDM сразу возьмет под контроль права доступа к этому ресурсу, применит к ним (правам) все необходимые процессы (например, проведет согласование заявки с определенными должностными лицами, а в дальнейшем – процедуры сертификации и аттестации), а также обеспечит базовые механизмы автоматизации (например, отзовет права при увольнении сотрудника).
Отметим, что механизм публикации ресурсов опирается на новый вид прав (права к объектам доступа), который в Avanpost IDM 6.5 существует наряду с правами, предоставляющими глобальные полномочия уровня информационной системы.
Всё это значительно расширяет зону контроля со стороны IDM-решения, позволяет повысить точность управления правами и эффективно противодействовать более широкому набору рисков.
Другие улучшения
В новой версии Avanpost IDM имеется целый ряд технических нововведений и усовершенствований, которые существенно повышают удобство внедрения, использования и сопровождения IDM-решения. Отметим лишь основные из них.
Существенно улучшен пользовательский интерфейс, появился чрезвычайно востребованный интеграторами инструментарий настройки внешнего вида IDM-системы и приведения ее в соответствие с особыми требования заказчиков, включая брендирование. Теперь в Avanpost IDM можно создавать меню для разных групп пользователей, назначать действия, доступные участникам процессов (включая внешний вид и поведение), а также задавать множество других настроек.
Масштабным изменением стала переработка модуля самообслуживания (self service). С этой системой непосредственно взаимодействуют все пользователи IDM-решения, поэтому её улучшения дают наиболее ощутимый эффект. Наиболее заметные изменения произошли в пользовательском интерфейсе. Его внешний вид, удобство и отзывчивость приведены в соответствие с изменившимися подходами к проектированию web-интерфейсов и с возросшими требованиями заказчиков. Выбранный разработчиками Avanpost IDM 6.5 стиль основывается на проверенных принципах Material Design, а для его реализации используются тщательно отобранные готовые компоненты. Применение готовой дизайн-системы и фреймворка не только ускорило разработку, но и расширило возможности кастомизации и брендирования.
Значительно усовершенствован дизайнер процессов и механизм их тестирования. Теперь при сохранении описания процесса автоматически проверяется не только полнота настоек каждого этапа, но и все связи, выражения в условиях, входные и выходные переменные. Кроме того, появилась поддержка функций на языке программирования Python, что позволило заменить трудоемкое программирование (например, для реализации обращения бизнес-процесса к внешнему сервису) на написание простых скриптов – прямо в пользовательском интерфейсе консоли администратора. Теперь стало гораздо проще модифицировать процессы, причем даже без остановки сервиса. Кроме того, на Python переведены все виды скриптов, имеющиеся в Avanpost IDM 6.5.
Новая версия Avanpost IDM подтверждает и закрепляет признанное лидерство компании Аванпост на этом сегменте российского ИБ-рынка. С помощью Avanpost IDM 6.5 заказчики могут вывести управление доступом на новый уровень удобства и зрелости. А распространение новых практик управления доступом улучшит интеграцию IDM в корпоративные системы управления рисками и поможет повысить общий уровень защищенности российских организаций.