CC BY
0УДК 004.4
Петров М.А.
магистрант 2 курса Московский государственный технологический университет «Станкин»
(г. Москва, Россия)
ОСНОВНЫЕ ПРИНЦИПЫ ИНТЕГРАЦИИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ УПРАВЛЕНИЯ ДОСТУПОМ
С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ ПРЕДПРИЯТИЯ
Аннотация: работа посвящена снижению трудоемкости интеграции автоматизированных систем управления доступом к информационным ресурсам. IAM -системы помогают защитить конфиденциальные данные, ограничивая доступ только для авторизованных пользователей. Это предотвращает утечки данных и несанкционированный доступ. Благодаря IAM-системе можно эффективно управлять рисками, связанными с доступом пользователей. Системы позволяют отслеживать и контролировать доступ к критически важным ресурсам, сводя к минимуму возможность внутренних угроз. Система управления доступом автоматизирует процессы создания, изменения и удаления учетных записей пользователей. Это упрощает администрирование и снижает вероятность ошибок, связанных с ручным управлением учетными записями. Таким образом, IAM -системы не только обеспечивают безопасность и соответствие нормативным требованиям, но и повышают эффективность управления и использования ИТ-ресурсов. Корректная интеграция IAM-системы позволяет предприятию не только существенно повысить уровень информационной безопасности, но и снизить затраты на расходуемые на процессы предоставления доступа.
Ключевые слова: управление доступом, единый вход, службы каталогов, информационные безопасность.
При интеграции автоматизированной системы управления доступом (далее IAM-система) ключевым этапом является проектирование процессов взаимодействия IAM-системы с информационными системами предприятия. Для полной автоматизации таких процессов необходимо интегрировать IAM-
систему с информационным ресурсом организации. Результатом этой интеграции станет программный продукт, выполняющий функции администратора информационного ресурса, называемый коннектором. Коннекторы для IAM-систем делятся на два основных типа:
1. Коннекторы для синхронизации данных.
2. Коннекторы предоставления доступа.
Коннекторы для синхронизации данных предназначены для обновления информации в IAM-системе в режиме реального времени. Они не влияют на доверенные или кадровые ИС и автоматически синхронизируют данные между IAM-системой и другими приложениями или системами, такими как Active Directory, HR-системы, CRM-системы и т.д. Синхронизация данных включает в себя:
• Создание новых учетных записей пользователей в IAM-системе на основе данных из других систем.
• Обновление информации об учетных записях пользователей в IAM-системе, например, изменение пароля или роли пользователя.
• Удаление учетных записей пользователей в IAM-системе, если они были удалены из других интегрированных систем.
• Синхронизация групп пользователей между IAM-системой и интегрированными системами.
• Синхронизация прав доступа к ресурсам между IAM-системой и другими системами.
Синхронизация данных обеспечивает актуальность информации об учетных записях и правах доступа, что повышает эффективность управления доступом к ресурсам, уменьшает количество ошибок и повышает безопасность системы.
Коннекторы предоставления доступа управляют доступом к ресурсам в IAM-системе. Они автоматически предоставляют или отзывают доступ к ресурсам на основе правил и политик безопасности, установленных в IAM-системе, и включают следующие функции:
• Автоматическое создание учетных записей пользователей на ресурсах на основе данных из IAM-системы.
• Автоматическое назначение прав доступа к ресурсам на основе ролей и политик безопасности в IAM-системе.
• Автоматический отзыв прав доступа к ресурсам при удалении учетной записи пользователя из IAM-системы или изменении его роли или политик безопасности.
• Мониторинг использования ресурсов и предупреждения при обнаружении несанкционированного доступа.
Коннекторы предоставления доступа позволяют более эффективно управлять доступом к ресурсам, автоматически применяя правила и политики безопасности, сокращая время на управление доступом и уменьшая количество ошибок и нарушений безопасности.
Разработка коннектора к кадровым системам сложный и деликатный процесс, критичный для актуальности данных IAM-системы. Ошибки в разработке могут привести к несанкционированному доступу к конфиденциальным данным, нарушению политик безопасности, рискам для безопасности сети, нарушению законодательства (например, GDPR), потере доверия сотрудников и клиентов, и ущербу репутации компании. Чтобы избежать этих проблем, необходимо придерживаться методологии разработки коннектора к кадровым системам:
1. Определить требования: понимать, какие кадровые системы будут интегрироваться с IAM-системой, какие данные будут передаваться и какие функции коннектора необходимы.
2. Выбрать протоколы и стандарты: выбрать подходящие протоколы (например, LDAP, SAML, OAuth) для обмена данными между IAM-системой и кадровыми системами.
3. Проектировать архитектуру: определить компоненты коннектора, их взаимодействие и выполняемые функции.
4. Разработать код: в соответствии с выбранными протоколами и архитектурой, использовать соответствующие языки программирования и инструменты разработки.
5. Провести тестирование: проверить работу коннектора с кадровыми системами и убедиться, что он выполняет все необходимые функции.
6. Развернуть коннектор в производственной среде: убедиться, что коннектор работает корректно, безопасно и соответствует требованиям проекта.
Разработка коннектора предоставления доступа также важный процесс, поскольку он изменяет данные учетных записей внутри корпоративных информационных систем, выдает или отзывает доступ в соответствии с процессами внутри IAM-системы. Для корректного выполнения этих процессов необходимо следовать методологии разработки коннектора предоставления доступа:
1. Определить требования: определить ресурсы, к которым нужно предоставлять доступ, типы учетных записей, свойства учетных записей и права доступа.
2. Определить протоколы и форматы данных: выбрать протоколы и форматы данных для передачи информации между коннектором и ресурсами или IAM-системой.
3. Разработать код: в зависимости от требований, форматов данных и протоколов взаимодействия.
4. Провести тестирование: убедиться в корректном взаимодействии коннектора с информационной системой и бизнес-процессами IAM-системы.
5. Развернуть коннектор в производственной среде: убедиться, что коннектор работает корректно и безопасно, и соответствует требованиям проекта.
СПИСОК ЛИТЕРАТУРЫ:
Подготовка к внедрению IAM со стороны заказчика. [сайт] - URL:
https://habr.com/ru/companies/solarsecurity/articles/447536/ (Дата обращения 16.04.2024).
Petrov M.A.
Moscow State Technological University «Stankin» (Moscow, Russia)
KEY PRINCIPLES OF INTEGRATING AN AUTOMATED ACCESS MANAGEMENT SYSTEM WITH ENTERPRISE INFORMATION SYSTEMS
Abstract: work is dedicated to reducing the complexity of integrating automated access management systems with information resources. IAM systems help protect confidential data by restricting access to authorized users only. This prevents data leaks and unauthorized access. With an IAM system, it is possible to effectively manage risks associated with user access. These systems allow monitoring and controlling access to critical resources, minimizing the possibility of internal threats. An access management system automates the processes of creating, modifying, and deleting user accounts. This simplifies administration and reduces the likelihood of errors associated with manual account management. Therefore, IAM systems not only ensure security and compliance with regulatory requirements but also enhance the efficiency of managing and utilizing IT resources. Proper integration of an IAM system enables an enterprise to significantly improve its level of information security and reduce costs associated with access provision processes.
Keywords: access control, single sign-on, IAM, IDM, directory services, information
security.
