Контакты
Подписка
МЕНЮ
Контакты
Подписка

Почему IdM – не AD

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Почему IdM – не AD

Тема Identity Management (IdM) уже достаточно давно известна на российском рынке, тем не менее периодически приходится сталкиваться с вопросом: чем IdM отличается от Active Directory (AD) и чем он лучше? Для кого-то ответ на этот вопрос очевиден, для кого-то нет. В данной статье хочется тезисно изложить взгляд IdM-специалиста на этот вопрос
Дмитрий Бондарь
Руководитель направления inRights компании Solar Security

Системы IdM предназначены для управления доступом к информационным системам, поэтому материал изложен именно в границах задачи управления доступом, не касаясь остальной функциональности AD.

Для начала обозначим, какие основные задачи управления доступом к информационным ресурсам стоят перед организацией:

  • предоставление прав доступа сотрудникам к тем или иным информационным ресурсам;
  • отзыв прав доступа сотрудника к информационной системе частично или в полном объеме;
  • аудит прав доступа, когда требуется собрать информацию о том, куда имеет доступ определенный сотрудник и на каком основании.

При этом процесс управления доступом может состоять из разного рода заявок (подача заявки на доступ), событий (увольнение сотрудника) или политик (политика ежегодного пересмотра прав), определенных шагов согласования и фазы исполнения. Давайте посмотрим, как те или иные задачи решаются двумя рассматриваемыми классами систем – IdM и AD.

Active Directory

Как правило, в AD есть учетные записи всех ИТ-пользователей компании (или почти всех). Учетные записи пользователей можно включать в различные группы безопасности, которые дают пользователям те или иные полномочия. Зачастую стараются как можно большее количество информационных ресурсов настроить на авторизацию на основе назначенных пользователю групп в AD. При таком подходе предоставление доступа выглядит как включение учетной записи сотрудника AD в определенную группу. Отзыв прав – как исключение пользователя из группы, а аудит – как просмотр списка групп, в которые включена учетная запись.


Такой подход упрощает последнюю фазу процесса управления доступом – фазу исполнения. Чем большее количество информационных ресурсов настроено на авторизацию в AD, тем быстрее этот доступ можно предоставить, поскольку чаще всего не требуется использовать интерфейс управления пользователями самого информационного ресурса, все можно сделать из единой оснастки AD.

Выглядит неплохо, и может возникнуть вопрос: зачем для управления доступом нужен IdM?

Identity Management

IdM – это система автоматизации. Она автоматизирует то, что можно сделать вручную, ускоряя процесс, снижая объем ручного труда и число возможных ошибок. Поэтому вопрос, вероятно, в объеме и рисках тех операций, которые требуется автоматизировать. Но изложим все по порядку.

В IdM ведется учет всех сотрудников, которые имеют доступ к информационным системам компании, даже если у них нет учетной записи в AD (например, подрядчиков). А видеть полный список людей, допущенных к информационным системам компании, – это довольно значимая задача.

IdM подключается ко всем ключевым системам вне зависимости от того, умеют ли они осуществлять авторизацию на основе внешних источников (например, AD) или нет. Соответственно, в IdM можно видеть более полную информацию о том, куда имеет доступ определенный сотрудник.


IdM автоматизирует не только фазу исполнения заявок, но и процессы подачи и согласования. И, помимо сокращения времени и трудоемкости этих операций, может дать информацию о том, на каком основании тот или иной доступ предоставлен (по какой заявке, кто ее подал, согласовал и т.п.).

Помимо этого, IdM обеспечивает процесс предоставления доступа со средствами взаимодействия всех его участников. В IdM можно обеспечить сервис самообслуживания, посредством которого сотрудники смогут видеть свои полномочия, отслеживать статус своих заявок, запрашивать изменения в правах, менять пароли. Руководителям можно предоставить возможность просматривать доступ своих подчиненных и строить отчеты. Владельцам ресурсов можно предоставить возможность видеть, кто имеет доступ к их ресурсу, а также возможность его отозвать. Службе информационной безопасности – возможность видеть актуальную картину прав, строить отчеты об их изменениях или о состоянии на дату в прошлом, возможность мгновенно заблокировать доступ сотрудника при необходимости. И многое другое.

Выбор AD или IdM зависит от задачи

Можно сказать, что с точки зрения управления доступом AD – это инструментальный уровень, который упрощает выполнение некоторых операций. А IdM – это процессный уровень, который автоматизирует процессы и взаимодействие сотрудников в их рамках.

Отсюда не следует, что каждой компании требуется система IdM, чтобы управлять доступом. Вопрос, как было сказано ранее, в объеме и рисках тех операций, которые предполагается автоматизировать.

И вопрос "AD или IdM?" – это вопрос того, какую задачу требуется решить. Каждый инструмент хорош для того, для чего он предназначен!

Опубликовано: Журнал "Системы безопасности" #5, 2017
Посещений: 7918

  Автор

Дмитрий Бондарь

Дмитрий Бондарь

Руководитель направления inRights компании Solar Security

Всего статей:  2

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций