Единый вход без разрывов. Зачем в RooX UIDM объединены SSO и IDM в одной системе

It-world

Организация единого входа (Single Sign-On, SSO) — одна из самых востребованных задач при внедрении системы управления доступом. Однако на практике оказывается, что в крупных компаниях функций одной только аутентификации недостаточно для стабильной и безопасной реализации SSO. Важную роль здесь играет IDM-компонент, обеспечивающий достоверность и актуальность информации о пользователях.

Единый вход без разрывов. Зачем в RooX UIDM объединены SSO и IDM в одной системе
© It-world

Что происходит без IDM

В классическом SSO нет инструментов, с помощью которых можно было бы автоматизировать выдачу доступов. В большинстве сценариев без IDM-составляющей система SSO «цепляется» к уже существующим хранилищам пользователей (например, AD).

Такая схема в крупной компании имеет два недостатка:

много ручного труда администраторов: создать УЗ при найме, приписать к группам, следить за изменением прав при переводах, заблокировать при отпуске или увольнении, ошибки вследствие человеческого фактора: забыли дать права, дали слишком мало или слишком много, не забрали в нужный момент и прочее. Каждое из таких отклонений — потенциальная точка утечки, срыва аудита, простоев сотрудников, сверхнагрузки на ИТ-подразделение, недовольства коллектива.

Если IDM отдельная система

Поняв, что для управления доступами функций SSO недостаточно, компании задумываются об IDM. Но здесь их подстерегает другая проблема: отдельный IDM почти всегда избыточен. Большинство функций запускаются раз в пятилетку или не настраиваются вовсе. А значит — просто увеличивают сложность и стоимость владения.

Также тяжелый IDM добавляет бюрократии: появляются новые интерфейсы, роли, шаги согласования. Вместо упрощения процессов — еще одна система на сопровождении.

Финансовый аспект тоже имеет значение: нужно выделить бюджет не только на закупку лицензий и внедрение IDM, но и на его интеграцию с SSO.

И в итоге вместо легкой автоматизации и надежного SSO компания получает перегруженную систему, в которой самое важное — оперативный и безопасный доступ — тонет в регламентах.

Что нужно SSO от IDM: минимум, без которого не работает максимум

Мы проанализировали практические кейсы и запросы от крупных компаний. Оказалось, что при решении задачи SSO не нужен «весь IDM», но и без следующих ключевых функций далеко не уехать.

Синхронизация с HR-системами. Нужно отрабатывать кадровые события: автоматически создавать или блокировать учетные записи, выдавать или отзывать права доступа. Не только сотрудники. Во многих компаниях к системам получают доступ внешние участники: подрядчики, интеграторы, партнеры, аудиторы. Важно управлять их правами в том же контуре, что и у сотрудников: с учетом срока действия контракта, статуса, зоны ответственности. Ролевая модель. Она должна поддерживать статичные роли, автоматическое назначение ролей по оргструктуре, контекстные роли (например, для проектов), ручные исключения. Возможность передавать изменения в учетных записях и полномочиях в другие системы: защищаемые приложения или каталог пользователей.

Всеми этими возможностями мы дополнили RooX UIDM, создав в нем модуль IDM.

Как связка SSO+IDM реализована в RooX UIDM

Интеграция с HR-системами

RooX UIDM синхронизируется с HR-системами и обрабатывает кадровые события, которые влияют на управление доступом. Например, событие «прием нового сотрудника» может запустить следующую цепочку действий: создание учетных записей в RooX UIDM, AD, корпоративной почте и других бизнес-приложениях; назначение стартовых ролей в RooX UIDM; включение в соответствующие группы AD; запуск сценария первого входа (генерация временного пароля, задание постоянного пароля при первом входе).

Не только сотрудники

В RooX UIDM внешние пользователи — такие же полноценные субъекты доступа, как и сотрудники. Система позволяет назначать им роли, ограничивать срок действия прав, автоматически блокировать учетные записи по завершении работ или контракта.

Ролевая модель

Система RooX UIDM поддерживает как RBAC (Role-Based Access Control), так и ABAC (Attribute-Based Access Control). В ней можно:

задавать организационные роли (например, «Сотрудник отдела снабжения на площадке А»), создавать проектные или временные роли с ограниченным сроком действия, назначать прямые полномочия, без объединения роли — для исключений или нестандартных сценариев, использовать несколько иерархий ролей параллельно — например, одна иерархия отражает оргструктуру, другая — функциональные или географические особенности (например, предприятие ↔ служба ↔ смена).

В рамках ABAC можно настраивать правила на основе таких атрибутов, как должность, подразделение, проект, локация, дата начала работы, стаж и т. д. Это особенно важно для предприятий с матричной или холдинговой структурой, где доступ зависит сразу от нескольких факторов.

Передача изменений в другие системы

В RooX UIDM есть сервис, который обеспечивает синхронизацию данных между различными системами в рамках управления доступом и идентификацией пользователей.⁠

Интеграция с системами заявок

В процессе анализа требований мы пришли к выводу, что нет необходимости реализовывать внутри RooX UIDM механизм заявок на выдачу прав. В крупных компаниях уже присутствуют системы согласования, которые используются для других заявок. Чтобы не дублировать эти функции RooX UIDM интегрируется в уже существующие у заказчика системы согласования (Naumen SD, Jira Service Management, 1С ITIL, bpmn-платформы и другие).

Таким образом:

все заявки ведутся централизованно, в привычной для бизнес-пользователей системе, нет необходимости обучать пользователей работе с новым интерфейсом, RooX UIDM выполняет автоматическую обработку одобренных заявок и контроль исполнения, маршруты согласования остаются под управлением бизнес-логики и ИТ-процессов компании.

Преимущества такого подхода

Одна точка управления: управляем аутентификацией, учетными записями и правами доступа в одном интерфейсе. Управляемый вход: RooX UIDM не просто позволяет авторизоваться по SSO, но и принимает решение, пускать ли пользователя, на основании его текущего статуса в компании. Гибкая маршрутизация: доступ к разным системам может требовать разных факторов — например, SSO в ERP возможен только с усиленной MFA. Контроль на выходе: при увольнении RooX UIDM не просто блокирует вход, а отзывает сессии и уведомляет ИБ. Аудит и соответствие требованиям: каждый вход логируется, можно в любой момент отследить, кто, куда и когда заходил — и был ли к этому допущен.

И главный результат, которого удалось добиться объединением SSO и IDM в одном продукте — это снижение общей стоимости решения задачи для заказчика.