Единый вход без разрывов. Зачем в RooX UIDM объединены SSO и IDM в одной системе

Организация единого входа (Single Sign-On, SSO) — одна из самых востребованных задач при внедрении системы управления доступом. Однако на практике оказывается, что в крупных компаниях функций одной только аутентификации недостаточно для стабильной и безопасной реализации SSO. Важную роль здесь играет IDM-компонент, обеспечивающий достоверность и актуальность информации о пользователях.

Что происходит без IDM

В классическом SSO нет инструментов, с помощью которых можно было бы автоматизировать выдачу доступов. В большинстве сценариев без IDM-составляющей система SSO «цепляется» к уже существующим хранилищам пользователей (например, AD).

Такая схема в крупной компании имеет два недостатка:

• много ручного труда администраторов: создать УЗ при найме, приписать к группам, следить за изменением прав при переводах, заблокировать при отпуске или увольнении,
• ошибки вследствие человеческого фактора: забыли дать права, дали слишком мало или слишком много, не забрали в нужный момент и прочее. Каждое из таких отклонений — потенциальная точка утечки, срыва аудита, простоев сотрудников, сверхнагрузки на ИТ-подразделение, недовольства коллектива.

Если IDM отдельная система

Поняв, что для управления доступами функций SSO недостаточно, компании задумываются об IDM. Но здесь их подстерегает другая проблема: отдельный IDM почти всегда избыточен. Большинство функций запускаются раз в пятилетку или не настраиваются вовсе. А значит — просто увеличивают сложность и стоимость владения.

Также тяжелый IDM добавляет бюрократии: появляются новые интерфейсы, роли, шаги согласования. Вместо упрощения процессов — еще одна система на сопровождении.

Финансовый аспект тоже имеет значение: нужно выделить бюджет не только на закупку лицензий и внедрение IDM, но и на его интеграцию с SSO.

И в итоге вместо легкой автоматизации и надежного SSO компания получает перегруженную систему, в которой самое важное — оперативный и безопасный доступ — тонет в регламентах.

Что нужно SSO от IDM: минимум, без которого не работает максимум

Мы проанализировали практические кейсы и запросы от крупных компаний. Оказалось, что при решении задачи SSO не нужен «весь IDM», но и без следующих ключевых функций далеко не уехать.

1. Синхронизация с HR-системами. Нужно отрабатывать кадровые события: автоматически создавать или блокировать учетные записи, выдавать или отзывать права доступа.
2. Не только сотрудники. Во многих компаниях к системам получают доступ внешние участники: подрядчики, интеграторы, партнеры, аудиторы. Важно управлять их правами в том же контуре, что и у сотрудников: с учетом срока действия контракта, статуса, зоны ответственности.
3. Ролевая модель. Она должна поддерживать статичные роли, автоматическое назначение ролей по оргструктуре, контекстные роли (например, для проектов), ручные исключения.
4. Возможность передавать изменения в учетных записях и полномочиях в другие системы: защищаемые приложения или каталог пользователей.

Всеми этими возможностями мы дополнили RooX UIDM, создав в нем модуль IDM.

Как связка SSO+IDM реализована в RooX UIDM

Интеграция с HR-системами

RooX UIDM синхронизируется с HR-системами и обрабатывает кадровые события, которые влияют на управление доступом. Например, событие «прием нового сотрудника» может запустить следующую цепочку действий: создание учетных записей в RooX UIDM, AD, корпоративной почте и других бизнес-приложениях; назначение стартовых ролей в RooX UIDM; включение в соответствующие группы AD; запуск сценария первого входа (генерация временного пароля, задание постоянного пароля при первом входе).

Не только сотрудники

В RooX UIDM внешние пользователи — такие же полноценные субъекты доступа, как и сотрудники. Система позволяет назначать им роли, ограничивать срок действия прав, автоматически блокировать учетные записи по завершении работ или контракта.

Ролевая модель

Система RooX UIDM поддерживает как RBAC (Role-Based Access Control), так и ABAC (Attribute-Based Access Control). В ней можно:

• задавать организационные роли (например, «Сотрудник отдела снабжения на площадке А»),
• создавать проектные или временные роли с ограниченным сроком действия,
• назначать прямые полномочия, без объединения роли — для исключений или нестандартных сценариев,
• использовать несколько иерархий ролей параллельно — например, одна иерархия отражает оргструктуру, другая — функциональные или географические особенности (например, предприятие ↔ служба ↔ смена).

В рамках ABAC можно настраивать правила на основе таких атрибутов, как должность, подразделение, проект, локация, дата начала работы, стаж и т. д. Это особенно важно для предприятий с матричной или холдинговой структурой, где доступ зависит сразу от нескольких факторов.

Читайте также

Как правильно управлять ІоТ-проектами

В классическом ИТ обновление ПО – это нажатие кнопки. В ІоТ же это действие превращается в логистическую операцию по удаленной доставке обновлений, которую планируют еще на этапе разработки железа. Именно в этом и заключается фундаментальное отличие интернета вещей от всего, к чему привыкла ИТ-индустрия. О том, как устроен жизненный цикл ІоТ-оборудования, и почему управлять им по правилам классического ИТ – заранее готовить почву для провала, IT-World рассказывает Вячеслав Шириков, технический директор ГК Лартех

Передача изменений в другие системы

В RooX UIDM есть сервис, который обеспечивает синхронизацию данных между различными системами в рамках управления доступом и идентификацией пользователей.⁠

Интеграция с системами заявок

В процессе анализа требований мы пришли к выводу, что нет необходимости реализовывать внутри RooX UIDM механизм заявок на выдачу прав. В крупных компаниях уже присутствуют системы согласования, которые используются для других заявок. Чтобы не дублировать эти функции RooX UIDM интегрируется в уже существующие у заказчика системы согласования (Naumen SD, Jira Service Management, 1С ITIL, bpmn-платформы и другие).

Таким образом:

• все заявки ведутся централизованно, в привычной для бизнес-пользователей системе,
• нет необходимости обучать пользователей работе с новым интерфейсом,
  
• RooX UIDM выполняет автоматическую обработку одобренных заявок и контроль исполнения,
• маршруты согласования остаются под управлением бизнес-логики и ИТ-процессов компании.

Преимущества такого подхода

• Одна точка управления: управляем аутентификацией, учетными записями и правами доступа в одном интерфейсе.
• Управляемый вход: RooX UIDM не просто позволяет авторизоваться по SSO, но и принимает решение, пускать ли пользователя, на основании его текущего статуса в компании.
  
• Гибкая маршрутизация: доступ к разным системам может требовать разных факторов — например, SSO в ERP возможен только с усиленной MFA.
• Контроль на выходе: при увольнении RooX UIDM не просто блокирует вход, а отзывает сессии и уведомляет ИБ.
• Аудит и соответствие требованиям: каждый вход логируется, можно в любой момент отследить, кто, куда и когда заходил — и был ли к этому допущен.

И главный результат, которого удалось добиться объединением SSO и IDM в одном продукте — это снижение общей стоимости решения задачи для заказчика.

Реклама ООО РуксСолюшенс erid: 2W5zFGt43tc