CC BY
0УДК 004.4
Петров М.А.
магистрант 2 курса Московский государственный технологический университет «Станкин»
(г. Москва, Россия)
МОДЕЛИРОВАНИЕ ПРОЦЕССА ИНТЕГРАЦИИ IDM СИСТЕМЫ С УПРАВЛЯЕМОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ
Аннотация: данная работа направлена на снижение трудозатрат при интеграции IdM-системы. В рамках исследования будет смоделирован процесс интеграции IdM-системы с управляемой информационной системой компании. Системы управления доступом и идентификацией являются ключевыми элементами современной ИТ-инфраструктуры. Они защищают конфиденциальные данные, ограничивая доступ только для авторизованных пользователей, что предотвращает утечки данных и несанкционированный доступ. С помощью IdM-системы можно эффективно управлять рисками, связанными с доступом пользователей, отслеживая и контролируя доступ к критически важным ресурсам и минимизируя внутренние угрозы. Эти системы автоматизируют процессы создания, изменения и удаления учетных записей пользователей, упрощая администрирование и снижая вероятность ошибок, связанных с ручным управлением учетными записями. Таким образом, IdM-системы обеспечивают не только безопасность и соответствие нормативным требованиям, но и повышают эффективность управления ИТ-ресурсами. Корректная интеграция IdM-системы позволяет предприятию значительно улучшить уровень информационной безопасности и сократить затраты на процессы предоставления доступа.
Ключевые слова: управление доступом, информационный ресурс, интеграция iam.
Система управления учетными записями в рамках Identity Management (IDM) представляет собой комплексное средство для создания, управления, администрирования и отслеживания пользовательских учетных записей в информационных системах организации. Основная цель такой системы -обеспечить безопасное и эффективное управление доступом пользователей к
информационным ресурсам, а также соответствие политик безопасности и требований регулирующих органов [1].
Ключевые функции системы управления учетными записями в IDM включают следующие компоненты:
1. Создание учетных записей: Автоматизация процесса создания новых учетных записей для пользователей в соответствии с их ролями и полномочиями.
2. Управление доступом: Назначение и отзыв прав доступа пользователям на основе их ролей, групп или других параметров, а также управление сроками действия этих прав.
3. Мониторинг и аудит: Отслеживание пользовательской активности, аудит доступа к данным, выявление аномального поведения и реагирование на инциденты безопасности.
Интеграция с другими системами: Взаимодействие с другими информационными системами организации для обмена данными об учетных записях и синхронизации информации.
Для выполнения этих функций система управления учетными записями должна включать следующие компоненты:
• базу данных IDM, хранящую информацию о бизнес-ролях сотрудников;
• утилиту обновления пользователей информационных ресурсов;
• модули для создания, изменения и удаления учетных записей в информационных ресурсах.
Работа системы управления учетными записями осуществляется следующим образом: IDM система передает данные об изменениях бизнес-ролей сотрудников в утилиту обновления пользователей информационных ресурсов. Эта утилита обрабатывает полученную информацию и с помощью модулей для работы с отдельными информационными ресурсами применяет изменения (см. Рис. 1):
Рис. 1. Изменение учетных записей пользователей внутри информационных ресурсов.
Система управления учетными записями в IDM является важнейшим элементом для обеспечения безопасности и эффективности работы организации. Она позволяет администраторам централизованно управлять доступом пользователей к информационным ресурсам и обеспечивать соблюдение стандартов безопасности и законодательства.
В процессе проектирования была разработана следующая структура базы данных для интегрируемого информационного ресурса (см. Рис. 2):
RequestRight РК id (nit)
name(text)
CommunTcationRight PK idflntl
FK reoverld{text)
pushForRecieveitbool)
UserRequestRight FK userldftext) FK I mihUd(iiit)
U serCornmu n ic at i on Rig ht
FK useridjtext) FK nghtW(ifvt)
User
РК logïn(string)
la stName(text)
fï rstN a m e(text)
la stName(text)
middleName(text)
telephone N umb er(texl)
isLead(bool)
Passwords PK id(intl
FK userld(text)
password(text)
Рис. 2. Диаграмма отношений.
Таблица, характеризующая пользователей ресурса, называется User и имеет следующие столбцы.
1. Login - имя учетной записи пользователя, уникальное внутри информационного ресурса, в строковом формате. Является обязательным свойством.
2. FirstName - имя сотрудника в строковом формате, является обязательным свойством.
3. LastName - фамилия сотрудника в строковом формате, является обязательным свойством.
4. MiddleName - отчество сотрудника в строковом формате, не является обязательным свойством.
5. TelephoneNumber - контактный телефон сотрудника в строковом формате, является обязательным свойством.
6. IsLead - параметр, определяющий принадлежит ли данная учетная запись сотруднику, являющемуся руководителем отдела технической поддержки пользователей.
Таблица, хранящая информацию о паролях учетных записей пользователя информационного ресурса, называется Passwords, и содержит следующие столбцы.
1. Id - уникальный идентификатор записи в числовом формате.
2. Userld -логин учетный записи в строковом формате.
3. Password - хэш пароля учетной записи в строковом формате.
Права в информационном ресурсе содержатся в таблицах RequestRight и
CommunicationRight. В таблице RequestRight содержатся права по управлению заявками: создание, изменение, чтение. В таблице CommunicationRight содержатся права описывающие возможности коммуникации между сотрудниками предприятия. Данная таблица содержит следующие столбцы.
1. Id - уникальный идентификатор права в ресурсе в числовом формате.
2. Reciverld - идентификатор получателя сообщения в строковом формате.
3. PushForReciever - параметр определяющий, будет ли получатель указанный в reciverld получать уведомление.
Сценарии коммуникаций между пользователями ограничены их бизнес-ролями, были выделены следующие права.
1. Право исполнителя заявки отправлять сообщение без уведомления руководителю отдела технической поддержки.
2. Право автора заявки отправлять сообщение с уведомлением руководителю отдела технической поддержки.
В случае отсутствия готового API для интеграции сервиса, отделу, отвечающему за интеграцию со стороны заказчика, потребуется разработать промежуточный сервис между IAM-системой и сервисом технической поддержки. Это решение позволит ускорить процесс отладки информационного решения. Промежуточный сервис будет ограничивать возможности интеграционной системы в части влияния на базу данных сервиса технической поддержки, предотвращая внесение критических изменений, которые могут вызвать сбои в работе информационного ресурса.
Чтобы обеспечить необходимые возможности по управлению учетными записями, интеграционное решение должно оперировать следующими сущностями:
1. Property - модель, содержащая информацию о свойствах в информационном ресурсе. Она должна включать поля с названием свойства, его идентификатором внутри информационного ресурса, текстовым описанием и логическим параметром, обозначающим обязательность этого свойства.
2. Permission - модель, содержащая информацию о правах в информационном ресурсе. Она должна включать поля с названием права, его идентификатором внутри информационного ресурса и описанием права.
3. UserProperty - модель, представляющая собой пару ключ-значение, где ключом является идентификатор свойства в информационном ресурсе, а значением - желаемое или полученное значение свойства пользователя в информационном ресурсе.
Для реализации данных функций был спроектирован следующий интерфейс. Его внедрение позволит управлять пользователями, их правами и
свойствами, а также получать информацию о свойствах и правах пользователей в информационном ресурсе. Этот интерфейс разделяет сценарии управления пользователями на методы, предоставляя широкие возможности для управления информационным ресурсом с помощью сценариев, определенных в IAM-системе (см. Рис. 3):
Рис. 3. Интерфейс коннектора к управляемому информационному ресурсу.
Интерфейс содержит следующие, необходимые для реализации методы.
1. Connect - метод осуществляющий подключение к информационному ресурсу.
2. Disconnect - метод осуществляющий закрытие подключения к информационному ресурсу.
3. CreateUser - метод осуществляющий создание пользователя.
4. GetPropertieslnfo - метод получающий описание всех свойств в информационном ресурсе.
5. GetUserInfo - метод получающий все свойства пользователя.
6. ChangeUserPassword - метод изменяющий пароль пользователя.
7. RemoveUser - метод удаления пользователя.
8. СЬескивегЕх1в1апсе - метод отражающий существование пользователя в информационном ресурсе.
9. ирёа1еЦвег1п1:о - метод изменяющий свойства пользователя в информационном ресурсе.
10. ОеШвегРегтввюпБ - метод возвращающий права, которыми обладает пользователь.
11. ирёа1еивегРегт188ЮП8 - метод изменяющий список назначенных пользователю права.
12. Ое1Л11Регш188юп - метод возвращающий информацию о всех правах доступных в информационном ресурсе.
В ходе моделирования интеграции IAM-системы и информационного ресурса были выделены следующие рекомендации:
1. Использование универсального стандарта для библиотек расширения или коннекторов: Рекомендуется применять универсальный стандарт при интеграции с информационным ресурсом. Это позволяет использовать разработанную функциональность для управления пользователями нескольких информационных ресурсов, что упрощает и унифицирует процесс интеграции.
2. Минимизация количества информационных моделей при проектировании: Рекомендуется использовать минимальное количество информационных моделей в интеграционном решении. Это упростит процесс поддержки и уменьшит сложность системы.
3. Включение сервиса-посредника в интеграцию: Помимо библиотеки расширения, рекомендуется использовать сервис-посредник между интегрируемым информационным ресурсом и IAM-системой. Это ускорит разработку интеграционного решения, разделив процессы разработки библиотеки и сервиса, а также позволит не перегружать библиотеку логикой обработки исключений, вызванных различиями между информационными моделями информационного ресурса и IAM-системы.
4. Соблюдение этих рекомендаций позволит ускорить процесс интеграции, сделать конечное решение более поддерживаемым и устойчивым к изменениям в бизнес-процессах предприятия.
СПИСОК ЛИТЕРАТУРЫ:
Современных IDM-систем 2023. [Электронный ресурс]. - Режим доступа: URL:
https://market.cnews.ru/articles/2023-07-02_funktsional_sovremennyh_idm-sistem
(07.05.2024).
Petrov M.A.
Moscow State Technological University «Stankin» (Moscow, Russia)
MODELING PROCESS OF INTEGRATING IDM SYSTEM WITH MANAGED INFORMATION SYSTEM
Abstract: work aims to reduce labor costs in the integration of an IdM system. The study will model the process of integrating the IdM system with the company's managed information system. Access and identity management systems are key components of modern IT infrastructure. They protect confidential data by restricting access to authorized users only, preventing data leaks and unauthorized access. An IdM system can effectively manage risks related to user access by monitoring and controlling access to critical resources, thus minimizing internal threats. These systems automate the processes of creating, modifying, and deleting user accounts, simplifying administration, and reducing the likelihood of errors associated with manual account management. Therefore, IdM systems not only ensure security and compliance with regulatory requirements but also enhance the efficiency of IT resource management. Proper integration of an IdM system allows a company to significantly improve its level of information security and reduce the costs associated with access provision processes.
Keywords: access management, information resource, economic efficiency.
