Документация Avanpost IDM 7 : 1.2. Функциональные возможности

Навигатор по разделу:

1. Общие сведения

IDM Base — система управления учетными записями и правами доступа пользователей к корпоративным ресурсам организации. Решение предназначено для автоматизации процессов управления жизненным циклом учетных записей (User Administration and Provisioning, UAP) и контроля за правами доступа (Identity and Access Governance, IAG).

IDM Base решает задачи, связанные с управлением доступом сотрудников, привилегированных и технических учетных записей к информационным системам и корпоративным ресурсам. Система автоматизирует процессы создания, блокировки и удаления учетных записей, управляет правами доступа на основе ролевой модели и обеспечивает регулярный аудит для предотвращения несанкционированного доступа.

Основные функции системы:

• Автоматическое создание, блокировка и удаление учетных записей на основе данных из кадровых систем (прием, увольнение, перевод, отпуск);

• Интеграция с корпоративными системами для синхронизации учетных данных;

• Назначение прав доступа на основе ролевой модели (RBAC), где права определяются должностью, подразделением или другими атрибутами пользователя;

• Контроль и аудит прав доступа, включая сертификацию, выявление избыточных или несанкционированных прав, пересмотр по расписанию или по событию (например, изменение должности или увольнение);

• Управление привилегированными учетными записями (ПУЗ) и техническими учетными записями (ТУЗ);

• Автоматическая блокировка учетных записей при увольнении сотрудника или изменении его статуса;

• Настройка и контроль парольных политик, включая автоматическую проверку надежности паролей и инициирование их своевременной смены.

• Ведение и изменение каталога прав и ролей для инфраструктурных элементов, не имеющих централизованного хранилища ролевой модели (ОС, СУБД).

• Интеграция с кадровыми системами для получения данных о штатном расписании, отпусках, замещении, больничных и увольнениях, автоматизация процессов управления учетными записями;

• Выявление несанкционированных изменений прав доступа и атрибутов с возможностью оперативного реагирования;

• Анализ рисков компрометации учетных записей и предотвращение злоумышленного использования;

• Настройка правил разделения полномочий (SoD) для предотвращения конфликтов интересов;

• Автоматизация формирования требований во внутренние службы для ручной манипуляции учетными записями (создание, выдача прав, временная/постоянная блокировка, удаление);

• Формирование требований на выборочную проверку прав доступа и их соответствие политикам безопасности;

• Управление временными доступами (например, ограниченные по времени или одноразовые доступы для подрядчиков);

• Контроль за соблюдением нормативных требований (например, GDPR, ISO 27001, ГОСТ);

• Мониторинг и анализ аномалий в доступах (необычные попытки входа, эскалация привилегий);

• Уведомление ответственных участников об изменениях в правах доступа;

• Предоставление типового доступа новым сотрудникам на основе ролевой модели;

• Формирование отчетов о состоянии прав доступа, истории изменений учетных записей и нарушениях политики безопасности; 

• Хранение истории изменений учетных записей, карточек пользователей и сформированных требований, включая данные об авторах изменений;

• Поддержка многофакторной аутентификации (MFA) для критически важных учетных записей;

• Гибкое разграничение ролей администраторов системы (delegated administration) для контроля управления доступами.

2. Краткое описание функциональных возможностей прикладного программного обеспечения Системы

2.1. Возможности прикладного программного обеспечения Системы в части взаимодействия с другими информационными системами

IDM Base предоставляет широкий набор функциональных возможностей для управления учетными записями и правами доступа. Система поддерживает интеграцию с различными информационными системами, что позволяет централизованно управлять доступом к корпоративным ресурсам.

• Поддержка двусторонней синхронизации с управляемыми системами через коннекторы;
• Использование кадровых систем как доверенных источников информации о сотрудниках;
• Создание и настройка ресурсов (подключений к управляемым системам) с определением правил создания учетных данных;
• Управление произвольными структурами (юнитами), которые могут представлять организационные или технические объекты (проекты, команды, серверы, приложения и т.д.);
• Настройка профилей учетных записей, привязка их к юнитам и управление их свойствами;
• Синхронизация данных с управляемыми системами по расписанию или в реальном времени;
• Механизм сверки прав доступа для выявления и устранения расхождений между назначенными и фактическими правами;
• Пакетная загрузка данных из управляемых систем для массовой обработки учетных записей и прав доступа;
• Интеграция с SQL-ориентированными базами данных для управления пользователями и данными;
• Подключение к системам класса PAM (Privileged Access Management) и Secret Management для управления привилегированными учетными записями;
• Отправка событий безопасности и действий администратора во внешние системы аудита;
• Интеграция с ITSM-системами для управления задачами и доступом к неинтегрированным ресурсам;
• Поддержка метрик продукта для подключения внешних систем мониторинга;
• Настройка почтовых уведомлений, фильтров событий аудита и периодов недоступности ресурсов;
• Управление свойствами синхронизируемых объектов и их массовая обработка;
• Поддержка интеграции с системами класса Incident Response Platform для оперативного блокирования учетных записей по инцидентам кибербезопасности.

2.2. Возможности прикладного программного обеспечения Системы в части управления идентификационными данными пользователей

IDM Base обеспечивает идентификацию и аутентификацию внутренних пользователей, используя имена пользователей и пароли. Система поддерживает Kerberos-аутентификацию и смешанную модель авторизации на основе RBAC и ACL. Она управляет учетными записями на основе кадровых событий и заявок, обеспечивая гибкую настройку и автоматизацию процессов.

• Управление жизненным циклом учетных записей, включая создание, блокировку, удаление и разблокировку;
• Аутентификация пользователей с использованием доменных учетных записей;
• Управление разными типами УЗ: персонализированными, групповыми, техническими (ТУЗ), привилегированными (ПУЗ) и учетными записями сторонних организаций;
• Автоматическая синхронизация учетных данных из кадровых и ИТ-систем;
• Контроль и аудит прав доступа, в том числе выявление избыточных или несанкционированных привилегий;
• Настройка правил генерации паролей и управление парольными политиками, включая проверку надежности паролей и их своевременную смену;
• Возможность самообслуживания пользователей при запросе на модификацию и дезактивацию учетных записей;
• Хранение истории изменений учетных данных и учетных карточек, включая информацию об инициаторах изменений;
• Настройка сценариев автоматических действий с УЗ (например, при увольнении, отпуске, изменении должности).

2.3. Возможности прикладного программного обеспечения Системы в части управления доступом пользователей

IDM Base обеспечивает автоматизированное управление доступом пользователей, включая предоставление, изменение и отзыв прав на основе кадровых событий и бизнес-ролей. Система поддерживает аттестацию и сертификацию прав доступа, ролевое разграничение доступа и управление политиками назначения ролей.

• Автоматическое назначение и отзыв прав доступа на основе должностных обязанностей, переводов, увольнений и отпусков;
• Управление доступом к ИС, включая виртуальные ресурсы, без прямого подключения;
• Проведение аттестации и сертификации прав доступа для актуализации полномочий пользователей;
• Поддержка ролевого разграничения доступа (RBAC) и динамических ролей с гибкой настройкой параметров;
• Автоматическое выявление и предотвращение конфликтов полномочий (SoD) на основе атрибутивных политик;
• Интеграция с системами PAM и Secret Management для контроля привилегированных учетных записей;
• Аудит всех событий, связанных с предоставлением и изменением прав доступа пользователей.

2.4. Возможности прикладного программного обеспечения Системы в части управления бизнес-процессами

IDM Base позволяет гибко настраивать и автоматизировать бизнес-процессы, связанные с управлением доступом и учетными записями. Система поддерживает создание и тестирование бизнес-процессов, а также предоставляет инструменты для их настройки и контроля.

Гибкая настройка бизнес-процессов с возможностью кастомизации под корпоративные сценарии;
Графический редактор для проектирования и тестирования бизнес-процессов без необходимости программирования;
Поддержка последовательных и параллельных процессов согласования заявок, включая настройку визирования ЭП;
Встроенный скриптовый язык для вычисления атрибутов УЗ и расширения функциональности бизнес-процессов;
Возможность настройки автоматического участия пользователей, вычисленных в контексте кадровых событий;
Гибкое управление доступом к элементам интерфейса на основе ролевой модели и списков ACL.

2.5. Возможности прикладного программного обеспечения Системы в части управления заявками

IDM Base предоставляет широкие возможности для создания, управления и согласования заявок, связанных с предоставлением прав доступа и изменением учетных записей. Система поддерживает автоматизацию процессов и обеспечивает гибкую настройку маршрутов согласования.

• Создание заявок для одного или нескольких пользователей, в том числе по образцу;
• Возможность включения нескольких прав в одну заявку и группового согласования;
• Самостоятельное создание заявок пользователями на предоставление прав доступа;
• Контроль статуса заявки через веб-интерфейс и электронную почту;
• Ограничение видимости заявок для владельцев ресурсов;
• Автоматическое назначение заместителей для согласования заявок в период отсутствия основного сотрудника;
• Настройка маршрутов согласования с поддержкой последовательного и параллельного согласования;
• Динамическое изменение состава согласующих в зависимости от данных заявки;
• Встроенный конструктор форм заявок с настройкой зависимостей между полями и возможностью миграции текущих форм;
• История согласования заявок фиксируется и доступна для просмотра;
• Электронное согласование заявок с использованием простой электронной подписи;
• Контроль исполнения заявки через web-интерфейс и уведомления.

2.6. Возможности прикладного программного обеспечения Системы в части регистрации и учета событий

IDM Base обеспечивает полный цикл регистрации, учета событий и формирования отчетности, позволяя контролировать изменения в системе и предотвращать несанкционированный доступ.

• Аудит предоставленных прав доступа с возможностью регулярного пересмотра;
• Автоматическая генерация уведомлений при изменениях статуса заявок, доступов и других событий;
• Выявление неиспользуемых учетных записей и их автоматическая или ручная блокировка;
• Регистрация в журнале всех изменений параметров системы с указанием времени и пользователя;
• Ведение детализированного журнала событий, включая вход/выход пользователей, изменения конфигурации, создание/удаление объектов, а также выявление избыточных или недостающих полномочий;
• Возможность экспорта части журнала событий в файл;
• Встроенный конструктор отчетов с возможностью формирования отчетов по учетным записям, правам доступа, ролям и субъектам авторизации;
• Автоматическая генерация и рассылка отчетов по почте;
• Формирование отчетов с отображением актуальной информации или исторических данных;
• Запрет на модификацию журнала событий процессами, не принадлежащими подсистеме регистрации;
• Архивирование журнала событий по заданным критериям;
• Разграничение прав доступа к просмотру событий;
• Интеграция с внешними SIEM-системами (syslog, SNMP);
• Агрегация задач при отправке уведомлений пользователям.

2.7. Возможности прикладного программного обеспечения Системы в части обеспечения мониторинга

IDM Base обеспечивает возможности мониторинга состояния системы и контроля выполнения задач.

• Мониторинг системы с отслеживанием узлов (доступность, загрузка CPU, RAM, активные процессы), сервисов коннекторов и ресурсов;
• Контроль выполнения бизнес-процессов в режиме реального времени;
• Мониторинг задач по изменению ролей и доступов (назначение/отзыв, статус выполнения, повторная обработка ошибочных задач);
• Мониторинг задач по изменению состояния учётных записей (блокировка/разблокировка, просмотр и управление задачами);
• Контроль выполнения плановых заданий, включая отображение узлов и планировщиков в интерфейсе мониторинга;
• Хранение данных мониторинга в базе для анализа и аудита.

2.8. Возможности прикладного программного обеспечения Системы в части обеспечения целостности

IDM Base обеспечивает механизмы для поддержания целостности системы и контроля успешности выполнения действий, что позволяет предотвращать ошибки и восстанавливать исходное состояние системы при необходимости.

• Контроль целостности с использованием специализированных программных механизмов;
• Контроль успешности завершения действий (транзакционность);
• Возможность восстановления исходного состояния системы, если действие (транзакция) завершено не полностью или некорректно.

2.9. Возможности прикладного программного обеспечения Системы в части администрирования

IDM Base предоставляет инструменты для эффективного администрирования системы, обеспечивая контроль и управление учетными записями и правами доступа.

• Управление событиями в области управления учетными записями;
• Контроль всех событий в области управления учетными записями;
• Разделение функций и полномочий администраторов (например, администратор учетных записей, администратор ресурса);
• Ограничение действий пользователей: все операции выполняются только через пользовательский интерфейс;
• Разграничение доступа, обеспечивающее выполнение действий только в рамках выданных полномочий;
• Автоматическое завершение сеанса после определенного времени бездействия.