«Аванпост» представила новую версию Avanpost IDM

Интеграция Бизнес-приложения
мобильная версия
, Текст: Владимир Бахур

«Аванпост» выпустила новую версию продукта Avanpost IDM 5.5. Она содержит большое количество функциональных доработок и усовершенствований, благодаря которым продукт стал полностью соответствовать требованиям самых крупных российских организаций-заказчиков. Многие из нововведений не имеют аналогов в конкурирующих продуктах ведущих мировых ИТ-компаний.

Новая версия Avanpost IDM представляет первостепенный интерес для всех категорий заказчиков: крупных коммерческих организаций, госкорпораций, федеральных органов власти, ведомств, имеющих филиальную структуру на всей территории страны. 

Главные изменения связаны с реализацией политик обработки кадровых событий, усовершенствованием средств построения ролевых моделей для организаций с разветвленной структурой и с созданием механизма разрешения SOD-конфликтов. Кроме того, встроенные средства организации электронного документооборота стали значительно более функциональными и удобными для пользователя, а также расширился набор модулей сопряжения (коннекторов) Avanpost IDM с различными управляемыми системами (в первую очередь, с российским инфраструктурным и прикладным ПО). 

IDM-решение Аванпост в связке с Avanpost WebSSO автоматически приобретает ряд функций, важных для эффективного управление правами доступа на крупных порталах и в SaaS-сервисах с очень большим числом (миллионами) пользователей.

Avanpost IDM содержит гибкие средства настройки политик обработки кадровых событий (приема на работу и увольнения, изменения должности и мн. др.). Для структурных подразделений, должностей или произвольных списков пользователей стало возможным не только выбирать сценарий автоматического реагирования системы (из числа предопределенных, а также настроенных в ходе внедрения), но и задавать тонкие нюансы такой обработки. 

Весь функционал создания и настройки сценариев обработки кадровых событий встроен в Avanpost 5.5 и доступен в интерфейсе администратора IDM-системы. Иными словами, уполномоченные сотрудники заказчика могут самостоятельно описывать и менять политики обработки кадровых событий — без необходимости доработки или обращения к интегратору. При этом возможности редактора политик покрывают практически все потребности любой крупной организации.

Механизм является существенным преимуществом Avanpost IDM перед конкурирующими продуктами от ведущих поставщиков IDM-систем, в которых для реализации подобного функционала требуется дополнительная разработка, а также длительный период адаптации и настройки продукта для конкретного потребителя.

Новый механизм позволяет создавать универсальные роли, автоматически формирующие состав прав для получающего ее пользователя — в зависимости от его данных. Так, в предыдущем примере правильный доступ к интернету будет автоматически назначаться пользователю на основе его принадлежности к филиалу.

Механизм вычисления ролей критически важен для применения Avanpost IDM в очень крупных организациях с разветвленной структурой. При этом, как и в случае с редактором политик обработки кадровых событий, механизм вычисления ролей встроен в Avanpost 5.5 и доступен заказчику через удобный пользовательский интерфейс. Функциональность и удобство использования этого механизма — это важное конкурентное преимущество Avanpost IDM 5.5, так как аналогичные продукты требуют дополнительной разработки на уровне интеграции с управляемыми ИС.

Разрабатывая механизм вычисления ролей, влияющий на жизненный цикл IDM, компания Аванпост провела обширное обследование, включая консультации со своими клиентами — федеральными ведомствами и коммерческими организациями (Федеральная налоговая служба России, Россельхозбанк и ряд других). Анализ полученных данных позволил создать чрезвычайно простое и гибкое решение, охватывающее большинство сценариев настройки ролевой модели для крупной территориально распределенной организации.

SoD (Segregation of duties) — это популярная сегодня концепция разделения полномочий, основная идея которой состоит в предотвращении выполнения управляющих и контролирующих действий одним лицом. При практическом применении этой концепции большое значение приобретает выявление и предотвращение SoD-конфликтов, т. е. такого разделения полномочий, которое приводит к противоречиям в правах пользователя (например, к взаимоисключающим полномочиям). Подобные конфликты являются причиной злоупотребления правами пользователями.

Механизм предотвращения SoD-конфликтов, встроенный в Avanpost IDM 5.5, защищает организацию от нарушения политики SOD, обеспечивает высокий уровень автоматизации, позволяет устанавливать сложные критерии назначения роли, настраивать ограничения использования роли — с минимальным уровнем ложных срабатываний.

Новые возможности появились в подсистеме управления процессами обработки заявок и поддержания соответствующего электронного документооборота: теперь блоки бизнес-процессов интегрированы с системой событий, а сценарии выхода из блока можно задавать в графическом редакторе. 

Сегодня для организаций, переходящих на импортонезависимые ИТ-решения, особенно важно наличие в Avanpost IDM большого числа готовых коннекторов к популярному российскому ПО (например, 1С:Предприятие или СЭД DocsVision), а также к лучшему ПО с открытым кодом: ОС на основе Linux, СУБД, всем распространенным реализациям каталогов LDAP (Open LDAP, 389 LDAP, Free IPA) и др. По этому параметру Avanpost IDM давно и с большим отрывом превосходит любое конкурирующее решение, представленное на российском рынке.

«Аванпост» продолжает создавать новые коннекторы (из последних разработок отметим систему «Застава» компании «Элвис Плюс»), а также обеспечивает совместимость существующих коннекторов c новыми версиями соответствующего ПО. В частности, была проверена совместимость новой версии Avanpost IDM с распространенными зарубежными ОС на базе Linux (Red Hat, Suse, Ubuntu и Debian), а также с первой российской операционной системой уровня предприятия (ОС АЛЬТ компании «Базальт СПО»). Отметим, что во всех случаях универсальный коннектор Avanpost IDM для ОС Linux обеспечивает как управление пользователями и их правами, так и извлечение учетных данных, на которое, в свою очередь, опираются инструменты автоматизированного построения ролевых моделей и проведения аудитов фактических прав доступа. 

Работая в связке с программным продуктом Avanpost WebSSO (однократная аутентификация пользователя в приложениях всех типов: облачных, мобильных, традиционных), IDM-система Аванпост автоматически приобретает функцию «проверки на лету» (on-demand provisioning). В такой конфигурации IDM-система вообще не требует коннектора для прямого взаимодействия с теми ИТ-системами, которые работают с WebSSO через стандартные протоколы аутентификации. Реагируя на такой запрос, WebSSO «спрашивает» IDM-систему, соответствует ли он правам пользователя.