Моделирование процесса интеграции автоматизированной системы управления доступом с управляемой информационной системой предприятия



Ключевые слова: управление, доступ.

Система управления учетными записями в рамках Identity Management (IDM) системы представляет собой комплексный инструмент, предназначенный для создания, управления, администрирования и отслеживания учетных записей пользователей в информационных системах организации. Основная цель такой системы — обеспечить безопасное и эффективное управление доступом пользователей к информационным ресурсам, а также соблюдение политик безопасности и соответствие требованиям регулирующих органов [1].

Основные функции системы управления учетными записями в IDM системе включают следующие компоненты.

1. Создание учетных записей: Автоматизированный процесс создания новых учетных записей для пользователей в соответствии с их ролями и полномочиями.
2. Управление доступом: Назначение и отзыв прав доступа пользователям на основе их ролей, групп или других параметров, а также управление сроками действия этих прав.
3. Мониторинг и аудит: Отслеживание активности пользователей, аудит доступа к данным, обнаружение аномального поведения и реагирование на инциденты безопасности.
4. Интеграция с другими системами: Взаимодействие с другими информационными системами организации для обмена данными об учетных записях и синхронизации информации.

Для выполнения вышеописанных функций система управления учетными записями должна включать следующие компоненты:

— базу данных IDM системы, хранящую информацию о бизнес-ролях сотрудников;

— утилиту обновления пользователей информационных ресурсов;

— модули расширения для создания, изменения, удаления учетных записей внутри информационных ресурсов.

Работа системы управления учетными записями выглядит следующим образом: IDM система отправляет данные об изменениях бизнес ролей сотрудников в утилиту обновления пользователей информационных ресурсов, которая обрабатывает полученную информацию и через модули расширения для работы с отдельными информационными ресурсами применяет полученные изменения (см. Рис. 1):

Рис. 1. Изменение учетных записей пользователей внутри информационных ресурсов

Система управления учетными записями в IDM системе играет ключевую роль в обеспечении безопасности и эффективности работы организации, позволяя администраторам централизованно управлять доступом пользователей к информационным ресурсам и обеспечивать соответствие стандартам безопасности и законодательству.

В ходе проектирование базы данных была получена следующая структура базы данных интегрируемого информационного ресурса (см. Рис. 2):

Рис. 2. Диаграмма отношений

Таблица, характеризующая пользователей ресурса, называется User и имеет следующие столбцы.

1. Login — имя учетной записи пользователя, уникальное внутри информационного ресурса, в строковом формате. Является обязательным свойством.
2. FirstName — имя сотрудника в строковом формате, является обязательным свойством.
3. LastName — фамилия сотрудника в строковом формате, является обязательным свойством.
4. MiddleName — отчество сотрудника в строковом формате, не является обязательным свойством.
5. TelephoneNumber — контактный телефон сотрудника в строковом формате, является обязательным свойством.
6. IsLead — параметр, определяющий принадлежит ли данная учетная запись сотруднику, являющемуся руководителем отдела технической поддержки пользователей.

Таблица, хранящая информацию о паролях учетных записей пользователя информационного ресурса, называется Passwords, и содержит следующие столбцы.

1. Id — уникальный идентификатор записи в числовом формате.
2. UserId –логин учетный записи в строковом формате.
3. Password — хэш пароля учетной записи в строковом формате.

Права в информационном ресурсе содержатся в таблицах RequestRight и CommunicationRight. В таблице RequestRight содержатся права по управлению заявками: создание, изменение, чтение. В таблице CommunicationRight содержатся права описывающие возможности коммуникации между сотрудниками предприятия. Данная таблица содержит следующие столбцы.

1. Id — уникальный идентификатор права в ресурсе в числовом формате.
2. ReciverId — идентификатор получателя сообщения в строковом формате.
3. PushForReciever — параметр определяющий, будет ли получатель указанный в reciverId получать уведомление.

Сценарии коммуникаций между пользователями ограничены их бизнес-ролями, были выделены следующие права.

1. Право исполнителя заявки отправлять сообщение без уведомления руководителю отдела технической поддержки.
2. Право автора заявки отправлять сообщение с уведомлением руководителю отдела технической поддержки.

В ситуации, когда сервис не имеет готового для интеграции API, отделу, отвечающему за интеграцию со стороны заказчика, необходимо разработать сервис-прослойку между IAM-сиcтемой и сервисом технической поддержки. Это позволит ускорить процесс отладки информационного решения, так как сервис-прослойка ограничит возможности интеграционной системы влиять на базу данных сервиса технической поддержки и предотвратит применение критических изменений, которые могут вызвать ошибки в работе информационного ресурса.

Для того чтобы обеспечить необходимые возможности по управлению учетными записями, интеграционное решение должно управлять следующими сущностями.

1. Property — модель, содержащая информацию о свойстве в информационном ресурсе. Эта модель должна содержать поля с названием свойства, идентификатором свойства внутри информационного ресурса, текстовым описанием свойства, и логическим параметром, обозначающим обязательность этого свойства.
2. Permission — модель, содержащая информацию о праве в информационном ресурсе. Эта модель должна содержать поля с названием права, идентификатором права внутри информационного ресурса и описанием права.
3. UserProperty — модель, являющейся парой ключ-значение, ключом в которой является идентификатор свойства в информационном ресурсе, а значением желаемое или получаемое значение свойства пользователя в информационном ресурсе.

В качестве стандарта реализации был спроектирован следующий интерфейс. Реализация данного интерфейса позволит управлять пользователями, их правами, свойствами, а также получать информацию о свойствах и правах пользователя в информационном ресурсе. Данный интерфейс разделяет сценарии управления пользователя на методы, что дает широкие возможности в управлении информационном ресурсом с помощью сценариев, определенных в IAM-системе (см. Рис. 3):

Рис. 3. Интерфейс коннектора к управляемому информационному ресурсу

Интерфейс содержит следующие, необходимые для реализации методы.

1. Connect — метод осуществляющий подключение к информационному ресурсу.
2. Disconnect — метод осуществляющий закрытие подключения к информационному ресурсу.
3. CreateUser — метод осуществляющий создание пользователя.
4. GetPropertiesInfo — метод получающий описание всех свойств в информационном ресурсе.
5. GetUserInfo — метод получающий все свойства пользователя.
6. ChangeUserPassword — метод изменяющий пароль пользователя.
7. RemoveUser — метод удаления пользователя.
8. CheckUserExistance — метод отражающий существование пользователя в информационном ресурсе.
9. UpdateUserInfo — метод изменяющий свойства пользователя в информационном ресурсе.
10. GetUserPermissions — метод возвращающий права, которыми обладает пользователь.
11. UpdateUserPermissions — метод изменяющий список назначенных пользователю права.
12. GetAllPermission — метод возвращающий информацию о всех правах доступных в информационном ресурсе.

В ходе моделирование интеграции IAM-системы и информационного ресурса, были выделены следующие рекомендации.

1. При интеграции с информационным ресурсом рекомендуется использовать универсальный стандарт для библиотек расширения или коннекторов. Такая стратегия позволяет использовать разработанную единожды функциональность продукта для управления пользователями нескольких информационных ресурсов.
2. При проектировании стандарта интеграционного решения использовать минимальное количество информационных моделей. Использование минимального количества информационных моделей позволит упростить процесс поддержки.
3. При интеграции рекомендуется использовать не только библиотеку расширения, но и сервис посредник между интегрируемым информационным ресурсом и IAM-системой. Использование сервиса посредника позволит ускорить разработку интеграционного решения распараллелив процессы разработки библиотеки и сервиса, а также позволит не перегружать библиотеку расширения логикой обработки исключений, вызываемых отличиями между информационными моделями, используемыми внутри информационного ресурса и моделями, используемыми внутри IAM-системы.

Соблюдения рекомендаций, описанных выше позволит ускорить процесс интеграции, сделать конечное интеграционное решение поддерживаемым и устойчивым к изменениям в бизнес-процессах предприятия.

Литература:

1. Функционал современных IDM-систем 2023. Текст электронный/URL: https://market.cnews.ru/articles/2023–07–02_funktsional_sovremennyh_idm-sistem (Дата обращения 07.05.2024).