Что такое IAM и как его выбрать?
Технологии Identity & Access Management (IAM) предоставляют всем приложениям компании единый сервис управления идентификацией, что существенно упрощает жизнь пользователей и повышает безопасность систем. Чтобы избежать распространенных ошибок (например, внедрения перегруженных технологий и, как следствие, существенной траты ресурсов), начинать построение системы управления доступом в компании следует именно с внедрения сервисов IAM.
Михаил Ванин, генеральный директор “РЕАК СОФТ”
В цифровом мире информационные системы и приложения подобны арендаторам офисов в бизнес-центрах. Приложениям нужна своя пропускная система, и в этой системе для пользователя должна быть заведена учетная запись и назначены полномочия. Каждый пользователь должен проходить идентификацию и аутентификацию, подобно прохождению через охрану в бизнес-центре. Вот только вместо паспорта для входа ему понадобятся логин и пароль, а вместо пропуска будет создана сессия и выдан маркер безопасности, так называемый Security Token. Тогда приложению останется проверить, что предъявленный пользователем маркер безопасности не просрочен, не отозван, а указанные в нем права соответствуют запрашиваемому доступу.
Компании используют в своей работе множество различных приложений, в том числе классические десктопные, мобильные и веб-приложения. Они могут быть развернуты на серверах компании или представлять собой облачные сервисы. И каждое приложение пытается решать задачи управления доступом самостоятельно, а пользователь при этом вынужден запоминать пароли от множества учетных записей и снова проходить идентификацию/аутентификацию.
Давайте представим, что все арендаторы в бизнес-центре вдруг решат установить свои турникеты, создать свои бюро пропусков и утвердить отдельные формы пропуска – это кажется абсурдным. Но в цифровом мире часто так и происходит.
С ростом числа используемых приложений и развитием парольного хаоса компании приходят к осознанию потребности в централизованном управлении доступом. Что же должна представлять такая система?
Компоненты системы управления доступом
Система управления доступом может включать в себя следующие сервисы:
С чего следует начинать
Обычно начинают с внедрения решений IDM, но у проектов в рамках такого подхода есть недостатки:
Лучшей альтернативой таким трудоемким процедурам будет внедрение решений IAM и сер висов каталога. Подобные проекты не занимают большое количество времени и быстро показывают результат, в первую очередь позволяя компании оперативнее обозначить требования к новым приложениям. До внедрения IAM компания даже может не знать о важности наличия в приложениях функций входа через внешний сервис. Это достигается поддержкой стандартов OpenID Connect или SAML.
IAM – это пропускная система для пользователей приложений компании.
IAM унифицирует управление идентификацией, аутентификацией и контролем доступа пользователей.
Раннее внедрение IAM позволит избежать появления приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен. На что же в сервисах IAM стоит обратить внимание?
Такой разный IAM
В IAM выделяют два различных технологических подхода:
В первом случае при внедрении технологии на каждое пользовательское устройство устанавливают программу-агент ESSO. Когда устройство включают, ESSO просит пользователя пройти идентификацию и аутентификацию с использованием комбинации методов – проверки пароля, смарт-карты, биометрии.
После этого пользователь может запустить нужное ему приложение. В свою очередь, приложение ничего не знает об использовании ESSO и во время запуска попробует показать пользователю экран запроса логина и пароля. Но агент ESSO перехватывает экран входа и сам подставляет за пользователя его логин и пароль.
Таким образом, пользователь получит надежную идентификацию/аутентификацию при входе в устройство, а также удобный автоматический вход во все приложения компании. Но такой подход обусловлен так называемым обманом приложений. Вход в них с помощью логина/пароля в обход запущенного агента ESSO по-прежнему возможен, значит сохраняются многие присущие парольной аутентификации угрозы, и это, безусловно, недостаток.
Есть еще один важный момент в использовании ESSO – ограниченность устройств, на которых возможна установка агента. Могут возникнуть проблемы с поддержкой Linux и macOS, iOS и Android.
Второй технологический подход – внедрение IDP. Этот подход лишен недостатков ESSO. Пользователь может использовать любые устройства, а для работы достаточно веб-браузера. В качестве устройств могут применяться не только ПК и смартфоны, но и голосовые станции, игровые приставки и Smart TV.
Расплатой за такую гибкость становится необходимость поддержки со стороны приложений возможности подключения к IDP. Другими словами, приложение должно поддерживать какой-либо из стандартов взаимодействия с IDP. Но большинство популярных приложений и облачных сервисов уже умеют это делать, так что недостатком это не является.
При использовании IDP пользователь обращается в приложение, а оно вместо отображения своего экрана входа отправляет серверу запрос на идентификацию. Если IDP уже знает пользователя, то происходит проверка разрешения на вход в приложение и регистрация факта посещения. После этого сведения о пользователе, полученные из каталога учетных записей компании, вернутся приложению. Если же IDP не знает пользователя, то попросит его сначала пройти идентификацию и аутентификацию. Вместо простой проверки логина/пароля IDP может использовать дополнительные методы аутентификации, в зависимости от контекста входа и политики доступа. Например, при входе в приложение из рабочей сети пользователь может быть автоматически идентифицирован по результатам проверки в домене (технология Kerberos SSO). Если пользователь хочет зайти в какое-то очень важное приложение или, например, осуществляет вход из сети Интернет с незнакомого устройства, то IDP может запросить подтверждение – потребовать ввести разовый пароль, отправленный по СМС, либо сгенерированный мобильным приложением выработки разовых паролей.
Для идентификации IDP может также сам обратиться к внешней системе входа, например к ЕСИА, социальным сетям, Apple ID.
Выбор решений IAM на рынке достаточно разнообразен. Есть решения, которые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-решений или внедрить проприетарное ПО, в том числе разработанное отечественными компаниями, включенное в единый реестр российских программ.
Еще раз подчеркну, что начинать создание системы управления доступом целесообразно именно с внедрения IAM.
Сервер аутентификации Blitz Identity Provider
Производитель: ООО «РЕАК СОФТ»
Сертификат: изделие не подлежит сертификации Назначение: комплексная IAM-система
Особенности: унифицирует доступ сотрудников, контрагентов, клиентов в собственные приложения компании и используемые облачные сервисы
Обзор IdM/IAM-систем на мировом и российском рынке
Введение
Как правило, обслуживание ИТ-инфраструктуры небольших компаний выполняется малым штатом системных администраторов (в большинстве случаев это может быть и вовсе один сотрудник). Для крупных же компаний управление всей ИТ-инфраструктурой превратилось в сложнейший процесс, в котором участвует несколько подразделений.
Один из самых острых вопросов при наличии большой ИТ-инфраструктуры — как управлять доступом сотрудников (а также сторонних пользователей) к информационным ресурсам компании. В ситуации, когда таких ресурсов много, расположены они в разных информационных системах, имеют различных владельцев, ручное управление доступом представляется очень трудоемким процессом. Это отнимает много времени как административного персонала (кадровые службы, ИТ-службы, ИБ-службы и т. д.), так и конечных пользователей информационных систем, которые критически долго ожидают доступ для выполнения рабочих задач.
Для решения таких проблем на рынке и стали появляться IdM/IAM-решения, призванные оптимизировать затраты компаний на администрирование постоянно развивающейся ИТ-инфраструктуры.
Детальное сравнение самых известных и популярных в России IdM/IAM-систем приведено в отдельной статье «Сравнение систем управления доступом (IdM/IAM) 2015».
Что такое IdM-системы?
Аббревиатуру IdM (Identity Management) можно расшифровать как «система управления учетными или идентификационными данными». Первоначально системы этого класса именовались именно так и подразумевали под собой управление учетными записями. С развитием функционала IdM-систем стали появляться новые классы решения, включающие в себя более широкий функционал (т. е. они уже не ограничивались только процессом управления учетными записями, а стали способны сами управлять полноценным доступом к информационным системам). К таким решениям относятся IAM-решения (Identity and Access Management), IAG-решения (Identity and Access Governance), IGA-решения (Identity Governance and Administration).
Рынок систем управления доступом в России довольно молодой, потому такие системы имеют популярное и обобщенное на сегодняшний день название — IdM-системы (далее по тексту будет использоваться именно это название). При этом их функционал подразумевает не только управление учетными данными, а также иными идентификационными данными и правами доступа к различным информационным ресурсам.
Основным функционалом IdM-систем является централизованное управление учетными записями, правами на доступ к информационным ресурсам, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить нагрузку на ИТ-подразделения и обеспечить более высокий уровень информационной безопасности.
Принцип работы IdM-системы
Работа IdM-системы выглядит следующим образом: система подключается к различным информационным ресурсам компании посредством коннекторов, и в последующем весь процесс управления учетными данными и правами доступа осуществляется посредством установленной IdM-системы.
Как правило, схема реализуется с помощью следующих компонентов:
Входной информацией для IdM-системы служат так называемые доверенные источники, обычно это приложения кадровых служб. Получив информацию от доверенного источника (прием, отпуск, увольнение сотрудника и т. д.), IdM-система вносит изменения в учетные данные в различных информационных системах (создание, блокирование, удаление учетных записей, изменение прав доступа и т. д.). Эти изменения могут вноситься как автоматически, так и в ручном режиме.
Также в IdM-системах реализована возможность организации процесса по запросу изменений в учетных данных пользователей. Такие запросы могут создаваться различными группами пользователей: администраторами, руководителями подразделений, конечными сотрудниками и т. д. Для этих целей в IdM-системе реализован функционал работы с заявками, который предполагает процесс согласования таких изменений всеми заинтересованными сторонами.
Кроме того, в IdM-системах реализован функционал, позволяющий ИБ-службам контролировать управление правами доступа в компании. С этой целью в системе реализованы различные функции по выполнению аудитов, а также поддерживается механизм построения отчетов.
Мировой IdM-рынок
Мировой IdM-рынок развивается уже более десяти лет и на смену аббревиатуре IdM пришли такие названия, как IAM-, IAG- и IGA-решения, которые отличаются более широким функционалом. Но системы данного класса все по старинке называют IdM.
Такие решения получили на Западе широкое распространение и пользуются уверенным спросом. Как и в любом сегменте продуктов, здесь не обошлось без поглощений. Постепенно крупные игроки рынка — такие как, например, Oracle — поглотили небольших разработчиков. На сегодняшний день западный рынок IdM-систем выглядит следующим образом (с учетом изменений названия IdM-системы Gartner на сегодняшний день использует в названии своего магического квадранта аббревиатуру IGA):
Рисунок 1. Магический квадрант Gartner по IGA-системам, 2014 год
Российский IdM-рынок
Российский рынок является не таким развитым, как западный. Решения данного класса востребованы в основном крупными компаниями (ИТ-инфраструктура включает более 1000 пользователей, для компании критичны финансовые риски из-за некорректно предоставленного доступа), в том числе из-за их высокой стоимости. Но сейчас в данном направлении наметился прогресс, о чем свидетельствует появление и активное развитие отечественных продуктов.
Российские IdM-системы представляют такие компании, как «Аванпост», «ТрастВерс» и Solar Security. Также достаточно молодым представителем систем данного класса является IdM-система компания 1IDM, построенная на базе открытых платформ (1С: Предприятие, OpenIDM, OpenICF).
Зарубежные IdM-системы, которые получили признание в нашей стране и имеют своих клиентов, представлены компаниями IBM и Oracle. Также в России с недавнего времени появилась компания SailPoint, которая хорошо известна на Западе и является лидером магического квадранта Gartner.
Краткий обзор IdM-систем
«Аванпост»
Компания «Аванпост» является разработчиком систем идентификации и управления доступом к информационным ресурсам предприятия. Компания работает на рынке информационных технологий и информационной безопасности с 2007 года.
Avanpost IDM предназначен для централизованного управления учетными записями и правами доступа пользователей в различных информационных системах, подключаемых к Avanpost IDM посредством коннекторов. Avanpost IDM предоставляет пользователю веб-интерфейс для создания заявок на доступ, согласования доступа, а также иных пользовательских действий.
Подробнее с IdM-системой Avanpost IDM можно ознакомиться здесь.
IBM Security Identity Manager обеспечивает эффективный контроль идентификационных данных и управление в масштабе предприятия, что способствует росту безопасности и более точному выполнению требований. IBM Security Identity Manager также доступен в виде виртуального устройства, автоматизирует процессы создания, модификации, повторной выдачи и аннулирования полномочий пользователей на протяжении всего жизненного цикла. Продукт обладает интуитивно понятным интерфейсом, который упрощает обработку запросов и помогает менеджерам принимать обоснованные решения, касающиеся прав доступа сотрудников. Кроме того, продукт содержит расширенные возможности составления отчетов и выполнения аналитики для мониторинга прав и действий пользователей.
Подробнее с IdM-системой IBM можно ознакомиться здесь.
Oracle
Oracle Identity Manager (OIM) спроектирован для управления привилегиями доступа пользователей ко всем ресурсам корпорации на протяжении целого жизненного цикла учетных данных — от приема сотрудника на работу или саморегистрации до увольнения или отказа от сервиса. OIM представляет собой интегрированную платформу для управления идентификационными данными и корпоративными ролями, а также для аудита и выполнения требований законодательства. Oracle предлагает OIM как в виде отдельного продукта, так и в составе прединтегрированных наборов решений:
Подробнее с IdM-системой Oracle можно ознакомиться здесь.
SailPoint
Компания SailPoint является крупным американским представителем и сравнительно недавно появилась на российском рынке.
SailPoint IdentityIQ — это единое решение по управлению учетными записями и пользовательским доступом для осуществления централизованного управления жизненным циклом учетных записей пользователей и их правами доступа к информационным ресурсам организации на основе ролевых моделей, политик и правил. Продукт также реализует управление и контроль прав доступа (аттестация и сертификация) на предмет соответствия корпоративной модели безопасности.
Подробнее с IdM-системой SailPoint можно ознакомиться здесь.
Solar Security
Компания Solar Security основана компанией «Инфосистемы Джет» в 2015 году. Представленная ими IdM-система Solar inRights является продолжением продукта Jet inView Identity Manager.
Solar inRights — это система IdM, которая создана по опыту внедрения IdM в крупных российских компаниях. В основу Solar inRights положен большой опыт доработки западных IdM-решений под требования российских пользователей IdM. Основной отличительной чертой Solar inRights является красивый и удобный пользовательский интерфейс, который разработан по заказу Solar Security одной из лучших компаний в области юзабилити. Solar inRights быстро внедряется, учитывает множество требований российских компаний, может настраиваться под нетиповые требования и поддерживает шаблоны конфигурации. Уникальной особенностью Solar inRights является возможность обновления без потери доработок, которая обеспечивается специальным механизмом расширений и позволяет всегда иметь самую последнюю версию продукта и сохранять поддержку производителя.
Подробнее с IdM-системой inRights можно ознакомиться здесь.
Также можно посмотреть подробный Обзор Solar inRights.
«ТрастВерс»
Компания «ТрастВерс» является независимым разработчиком автоматизированных средств управления доступом и защиты информации. Флагманский продукт компании — КУБ — представляет собой сертифицированное решение для автоматизации процесса управления учетными записями и правами доступа при эксплуатации автоматизированных систем различного назначения и любого уровня сложности.
Управление должностными правами доступа происходит в автоматическом режиме на основе кадровых операций: приема на работу, увольнения, смены должности и т. д. Дополнительные права доступа могут быть запрошены сотрудниками через веб-интерфейс самообслуживания путем создания заявки на доступ. После ее согласования с ответственным сотрудником (руководителем или сотрудником ИБ) система автоматически произведет изменения в целевых системах, подключенных посредством коннекторов. Также продукт обеспечивает непрерывный контроль состояния прав доступа в целевых системах для выявления несанкционированных изменений с последующим оповещением о них и возможностью их отмены в случае необходимости.
Подробнее с IdM-системой КУБ можно ознакомиться здесь.
Также можно посмотреть подробный Обзор IDM-системы КУБ.
Выводы
IdM-система — это решение, которое оптимизирует время и затраты ИТ-служб, дает возможность контролировать права доступа и их изменения во всей компании. Для бизнеса IdM-система экономит средства за счет минимизации простоя сотрудников в процессе согласования и выдачи различных прав доступа.
Учитывая то развитие, которое получили IdM-системы в нашей стране, можно сказать, что рынок еще очень молодой, но стремительно эволюционирует, и все чаще IdM-системы становятся неотъемлемой частью ИТ-инфраструктуры крупных компаний.
AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) обеспечивает точный контроль доступа во всех сервисах AWS. С помощью IAM вы можете указать, кто может получать доступ к определенным сервисам и ресурсам и при каких условиях. Благодаря политикам IAM вы управляете разрешениями для сотрудников и систем, выдавая разрешения с наименьшими привилегиями.
IAM – это возможность аккаунта AWS, которая предоставляется без дополнительной платы. Если вы уже зарегистрированы в AWS, чтобы начать работу с IAM, войдите в Консоль управления AWS.
Примеры использования
С помощью IAM вы можете управлять разрешениями AWS для сотрудников и рабочих нагрузок. Для сотрудников мы рекомендуем использовать AWS Single Sign-On (AWS SSO), чтобы управлять доступами к аккаунтам AWS и разрешениями в пределах аккаунтов. С AWS SSO можно с легкостью назначать роли и политики IAM и управлять ими в масштабах всей организации. Для рабочих нагрузок используйте роли и политики IAM и выдавайте только необходимые разрешения.
Включите точный контроль доступа
Используя политики IAM, предоставляйте доступ к определенным API сервисов и ресурсам AWS. Вы также можете определить конкретные условия для предоставления доступа, например определенная организация AWS или использование определенного сервиса AWS.
Установите ограничения разрешений и периметры данных во всей организации AWS
Благодаря AWS Organizations вы можете использовать политики управления сервисами (SCP) для установления ограничений разрешений, которым будут соответствовать все пользователи и роли IAM в аккаунтах организации. Независимо от того, начинаете ли вы работать с SCP или они у вас уже есть, можно использовать консультанта по доступу IAM для того, чтобы уверенно ограничивать разрешения.
Создавайте разрешения с минимальными привилегиями благодаря IAM Access Analyzer
Достижение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере появления требований. IAM Access Analyzer помогает оптимизировать настройку, проверку и уточнение разрешений.
Автоматически масштабируйте точные разрешения с помощью ABAC
Управление доступом на основе атрибутов (ABAC) – это стратегия авторизации для создания детализированных разрешений на базе пользовательских атрибутов, таких как отдел, рабочая роль и название команды. С помощью ABAC можно сократить количество разрешений, необходимых для точного управления аккаунтом AWS.
Как это работает
Благодаря точным разрешениям IAM вы можете определять, кто получает доступ. Затем IAM применяет эти разрешения к каждому запросу. По умолчанию доступ запрещен и возможен только в том случае, когда выбрано значение «Разрешено»
Какие задачи решают IAM системы?
Какие задачи решают IAM системы?
Терминология
Чаще всего мы встречаем термин Identity Management (IdM), что означает управление учетными записями или электронными представлениями пользователей. Как правило, от IdM-системы требуется управление не только учетными записями, но и доступом к системам. Поэтому обычно говоря об IdM, подразумевают Identity and Access Management.
Под Identity and Access Management (IAM) понимают набор технологий и программных продуктов, отвечающих задачам управления жизненным циклом учетных записей и управления доступом к различным системам в компании. Аналитические агентства (Gartner, Forrester, KuppingerCole) и разработчики IAM-систем выделяют как минимум две области внутри IAM: User Administration and Provisioning (UAP) и Identity and Access governance (IAG). Современное IAM-решение должно предоставлять функциональность в обеих областях.
UAP-решения появились в конце 1990-х как средства автоматизации работы со службами каталогов. UAP решает задачи автоматизации создания, изменения и удаления учетных записей в информационных системах организации, а также обеспечивает доступ к приложениям и ресурсам, которые нужны пользователю для работы.
Типовые задачи IAM
Задачи UAP
Представим себе процесс организации доступа к IT-ресурсам (приложения, данные, сервисы) в компании без автоматизации. Сотрудника при приеме на работу отдел кадров вносит в 1С. Затем информация о нем попадает в ИТ-отдел. IT-отдел создает учетную запись в службе каталогов Active Directory. Доступ к папкам, приложениям, рассылкам новый работник получает, обратившись к системному администратору или в службу поддержки по электронной почте, в некоторых случаях требуется согласие руководителя или владельца ресурса. При этом сотрудник никогда не просит «отобрать доступ» и за годы работы в компании может «обрасти» доступом в различные системы.
Если в небольшой компании организация доступа решается путем прямых коммуникаций и новичок сможет в течение дня получить доступ ко всему, что требуется для работы, то в географически распределенной компании со штатом более 500 человек на это могут уйти дни.
У сотрудников могут меняться должности, телефонные номера, фамилии, и эти изменения должны отражаться в информационных системах. В некоторых компаниях есть работники по контракту или сезонные работники. При расторжении контракта или смене должности доступ к ресурсам должен быть прекращен.
Если же в компании несколько информационных систем, например система документооборота, бухгалтерская система, внешний портал, появляется задача управления паролями. Каждая система управляется разными людьми. Пароль в каждой системе создается отдельно (т. е. присваиваются персональные пароли). Пользователю сложно запомнить несколько паролей, и это приводит к тому, что они хранятся на бумаге. Если пароль требуется поменять, нужно найти владельца приложения, который может быть в отпуске, а доступ необходим сейчас.
Представим ситуацию, когда сотрудник в командировке решил подключить доступ к почте на мобильный телефон и ошибся при вводе пароля. Его учетная запись будет заблокирована при многократных попытках ввода неправильных данных, и он не сможет самостоятельно получить доступ к почте.
При увольнении сотрудника необходимо заблокировать его доступ ко всем системам компании, иногда важно сделать это в течение минуты.
Такой процесс в масштабах крупной организации отнимает много времени у IT-отдела, неизбежно приводит к ошибкам и, как следствие, финансовым потерям.
Достаточно часто в Интернете можно прочитать о судебных делах, связанных с тем, что у уволенного сотрудника остался доступ к системам предприятия, например:
www.kuzbass85.ru/2012/04/11/uvolennyiy-sistemnyiy-administrator-udalil-chetyirehletniy-arhiv-buhucheta-byivshego-predpriyatiya
Суд установил, что в июле 2011 года Приходько, находясь у себя дома в г. Кемерово, осуществил неправомерный доступ на почтовый сервер предприятия, где он ранее работал. Затем он удалил программу «1С Предприятие» за период с 2007 по 2011 год. В результате данные бухгалтерского учета на серверах трех обществ холдинговой компании, находящихся в г. Прокопьевске, были уничтожены.
О многих подобных случаях мы не узнаем, поскольку банки или страховые компании предпочитают не афишировать подобные инциденты.
Теперь посмотрим, как выглядит автоматизированный процесс.
После появления учетной записи в кадровой системе UAP-решение автоматически создает учетные записи в подключенных системах, выдает доступ на основе атрибутов пользователя (например, должность и отдел) и групп. UAP-система позволяет проверять значения атрибутов на соответствие правилам и запрещать создание «неправильных записей», в частности, с незаполненной должностью. При изменениях достаточно внести их в одном месте – и они автоматически будут отражены во всех подключенных системах. Так, например, пользователь, изменяя пароль в AD, автоматически получает такой же пароль во всех системах. При переводе или увольнении сотрудника система отбирает доступ во всех системах практически мгновенно.
Важно отметить, что UAP изначально были нацелены в большей степени на решение рутинных задач отделов IT по администрированию пользователей и ресурсов. Однако такие решения не предполагались для организации контроля доступа к системам и не были предназначены для не IT-пользователей. То есть UAP-системы автоматически выдавали доступ и отбирали его, но не могли дать ответ на вопрос, к каким ресурсам пользователь имеет доступ сейчас. Также важно было дать пользователям возможность самостоятельно запрашивать доступ к ресурсам (приложения, данные, сервисы), а их руководителям (или владельцам ресурсов) подтверждать правомочность доступа при запросе, организовывать аттестации на предмет проверки, кто имеет доступ к тому или иному ресурсу.
Эти потребности сначала закрывались набором расширенной функциональности UAP-продуктов, но было понятно, что такие задачи требуют новых решений.
Задачи IAG
В середине 2000-х начали появляться специализированные IAG-предложения. IAG-система решает задачи запроса, подтверждения, аттестации и аудита доступа к приложениям, данным и сервисам, а также обеспечивает контроль и предоставляет бизнес-аналитику процессов создания учетных записей, управления этими записями и как эти записи были использованы для доступа. В отличие от UAP, где права в системах привязывались напрямую к учетным записям, IAG-решения оперируют ролями, которые связаны с организационной структурой предприятия. Можно сказать, что в UAP-решениях за выдачу доступа отвечал ИТ-отдел, а IAG-системы вернули бразды управления доступом бизнес-пользователям.
Посмотрим на конкретные примеры использования IAG-решений. Допустим, требуется использовать Adobe Photoshop на рабочем компьютере. Сначала пользователь отправляет заявку в службу техподдержки. Ее сотрудники ждут подтверждения руководителя, который добавляется в переписку. В результате пользователь получает установленное приложение, потратив на это пару дней. Бывает, что в согласовании участвует несколько человек (так, чтобы получить новый ноутбук, нужно подтверждение руководителя и директора).
IAG-решения предлагают автоматизацию подобных процессов с помощью веб-портала, где можно запросить ресурс, затем запустится «невидимый» процесс, который при необходимости запросит подтверждение руководителя и после его получения автоматически произведет требуемые изменения. 
IAG-система позволяет руководителю или сотруднику службы безопасности увидеть, к каким системам у пользователя есть доступ, и также управлять этим доступом. 
Доступ может предоставляться и на основе «вычисляемых» правил, то есть если сотрудника назначили работать над конкретным проектом и у него появилась соответствующая роль, он автоматически получит доступ к требуемой документации, что позволит избежать «ручных согласований».
Если у пользователя появились лишние права (например, администратор Active Directory добавил пользователя в группу), которые не соответствуют его роли, служба безопасности получит уведомление об этом и может подтвердить исключение или принять меры к его устранению.
Важной составляющей процесса управления ролями является политики Separation of Duties (SoD) или разделение полномочий. Эти политики запрещают совмещение определенных ролей. Например, сотрудник, формирующий заказ, не должен участвовать в финансовых операциях.
Некоторые направления развития IAM
IAM-решения быстро развиваются, охватывая новые области, такие как управление данными на основе содержимого, управление мобильными устройствами, авторизация на основе рисков и многие другие.
Как мы видим, существующие IAM-решения хорошо позволяют управлять доступом к централизованным ресурсам. Однако в современных компаниях есть огромные объемы неструктурированных данных, хранящихся на компьютерах пользователей, в сетевых папках. Пользователь может легко скопировать ценные данные на свой компьютер и потом распространять их бесконтрольно.
Для решения этой проблемы в IAM-продуктах появляются модули, позволяющие классифицировать данные по содержимому и атрибутам документа и предоставлять доступ на основе сравнения данных, предоставленных пользователем (кто пользователь и какое устройство он использует), и данных классификации документа (какие данные содержит документ).
Еще одним перспективным направлением является управление и взаимодействие с мобильными устройствами. В современных компаниях пользователи используют для работы не только стационарные компьютеры, но и смартфоны, и планшеты. Во многих случаях это не корпоративные устройства, а личные. Политика BYOD (Bring your own device, или принеси свое устройство) набирает популярность за счет снижения затрат компании на поддержку инфраструктуры, покупку устройств. C популяризацией этой политики появляются новые задачи. Как защитить данные компании, хранящиеся на устройстве, но при этом соблюсти неприкосновенность частной информации сотрудника?
Технология использования логина и пароля для доступа к ресурсам компании критикуется давно, однако достойной замены предложить никто не смог. Методы двухфакторной аутентификации (например, комбинация традиционного способа и СМС) широкого распространения не получили. Сейчас поставщики IAM-решений двигаются в направлении аутентификации на основе контекстных данных о пользователе, устройстве, приложении, откуда пришел запрос. Эти данные анализируются, и принимается решение о личности пользователя. Такой алгоритм работы существует в некоторых социальных сетях. Так, при вводе логина из другой страны можно получить предложение указать дополнительные данные (номер телефона, например).
Как выбрать подходящую IAM-систему
Рынок IAM-решений
Рынок IAM активно развивается, происходят слияния и поглощения. Сложность IAM-систем существенно увеличивается с каждым годом. Для оценки современных IAM-предложений требуется серьезная экспертиза не только в области информационных технологий, но и в сфере бизнес-аналитики.
Существует несколько аналитических агентств, специализирующихся на исследованиях и сравнениях IAM-решений: Forrester, KuppingerCole, Gartner. Они, как правило, выпускают ежегодный отчет по рынку IAM-решений, а также отдельные документы о трендах в отрасли, опросники, помогающие выбрать наиболее подходящую систему. Если ежегодные отчеты можно найти на сайтах поставщиков решений, то специализированная документация, как правило, стоит от сотен до десятков тысяч долларов.
Для ежегодных отчетов у каждого из агентств своя методика сравнений и наглядного представления результатов.
Так, например, Gartner оценивает поставщиков IAM по шкале «Видение» (видение того, как развивается и будет развиваться рынок, способность к инновациям) и «Способность к реализации» (способность занимать долю рынка, продавать систему). 
В отчете KuppingerCole есть несколько диаграмм, где поставщики IAM-решений оцениваются по какой-то одной шкале (оценка продукта в целом на скриншоте ниже).
Такие отчеты позволяют получить понимание предметной области, тенденций развития рынка и общее представление о крупных игроках на рынке IAM.
Важно понимать, что на российском рынке многие системы не представлены вовсе. Также могут быть и локальные решения, достаточно успешные на российском рынке, но не имеющие распространения в мире.
Критерии выбора систем
Как не бывает двух одинаковых предприятий с одинаковым набором приложений и бизнес-процессов, так не бывает и универсальных и самых лучших IAM-систем. Каждая IAM-система обладает уникальным набором функциональности, коннекторов к целевым системам, фреймворков для расширения функциональности.
Начать выбор можно с формальных требований, таких как стоимость владения (стоимость лицензий, внедрения и поддержки на протяжении нескольких лет), лицензионная политика, наличие успешно завершенных проектов в близких по размеру/отрасли предприятиях, наличие специалистов по внедрению и поддержке на территории России.
Технические требования тоже могут помочь: наличие коннекторов к распространенным системам, используемым на предприятии, веб-интерфейса для бизнес-пользователей, автоматизации бизнес-процессов (например, согласований), механизма аттестаций, требования к открытому расширению функциональности (когда систему можно расширять без производителя).
Отобрав несколько наиболее подходящих поставщиков, можно посмотреть, как система работает с основными и самыми важными сценариями, которые требуется автоматизировать.
Обычно это сценарии жизненного цикла сотрудника: прием на работу, перевод в другой отдел или офис, отпуск, увольнение. Также важен набор сценариев по управлению доступом: выдача временного и постоянного доступа к системам по запросу, автоматически или по согласованию на основании ролей в компании или проекте, контроль доступа по расписанию (аттестации) и запросу.
При работе с данными учетных записей важно проверять их корректность (например, формат телефонного номера), а также преобразовывать данные при синхронизации, в частности, выполнять транслитерацию имен при синхронизации кадровой системы и Active Directory.
Для автоматизации жизненного цикла пользователей в целевых системах, как правило, используются коннекторы. Это выделенные модули IAM, осуществляющие взаимодействие с внешней системой, обеспечивающие создание, изменение, удаление учетных записей и выдачу доступа путем перевода ролей в IAM-системе в набор прав, понятный для целевой системы, например группы. Коннекторы часто меняются по причине изменений в целевой системе. Будет ли IAM поддерживать новую версию 1С или SalesForce? Как дорого стоит доработка коннектора?
Важно понимать, что IAM-система не коробочный продукт и в большинстве проектов стоимость услуг может в разы превышать стоимость лицензий. IAM-проекты никогда не заканчиваются (кроме неудачных), поскольку целевые системы под управлением IAM-предложения постоянно меняются и требуют переконфигурирования, обновления или доработки. Поэтому расширяемость системы – очень важный критерий выбора. Потребуется ли привлекать специалистов поставщика для каждого изменения или с этим могут справиться администраторы и бизнес-пользователи заказчика?
Примеры сценариев для оценки IAM-системы
Сценарий: После того как отдел кадров заводит учетную запись нового сотрудника в кадровой системе (например, 1С), сотрудник должен получить учетные записи и наборы прав во всех системах соответственно его роли не позднее чем через n минут.
Результат:
Сотрудник может пользоваться всеми системами в рамках полномочий его роли.
Запрос доступа к ресурсу
Сценарий: После того как сотрудник запрашивает ресурс через веб-портал, он должен получить ответ в течении n часов. Временный доступ к ресурсу регулируется путем ручного согласования. То есть запрос получает владелец ресурса и/или его заместитель. Если в течение заданного времени запрос остался не отвеченным, происходит эскалация.
Результат:
а) Сотрудник получает доступ к ресурсу;
б) Сотрудник получает отказ.
Сценарий: Раз в месяц владелец ресурса проводит аттестации списка тех, кто имеет доступ к ресурсу. Для каждого участника списка он продлевает или прекращает доступ.
Результат: Проведена аттестация, доступ к ресурсу имеют только сотрудники, подтвержденные владельцем.
Сценарий: Доступ сотрудника в отпуске должен автоматически быть прекращен на время его отсутствия. Прекращение доступа не требует ручных действий.
Результат: Сотрудник не имеет доступ к системам компании во время отпуска.
Сценарий: У сотрудника должен быть аннулирован доступ во все системы предприятия не позднее чем через n минут после инициации процесса руководителем на веб-портале.
Результат: Сотрудник не имеет доступ к системам компании.
Сценарий: Руководитель назначает сотруднику роль, которая не совместима с уже имеющимися ролями. Сотрудник не может совмещать взаимоисключающие роли.
Результат: Система отказывает в изменении и фиксирует нарушение политики.
Сценарий: Сотрудник забыл пароль.
Он заходит на веб-сайт, где, ответив на вопросы системы, инициирует сброс пароля и получает новый пароль в виде СМС. Новый пароль автоматически должен быть синхронизирован в подключенные системы.
Результат: Сотрудник получает новый пароль, которым может пользоваться во всех системах, где у него есть доступ.
Это первая часть статьи, будет продолжение.
Автор: Александр Цветков, инженер Dell Software
