'
Петров М.А.
МОДЕЛИРОВАНИЕ ПРОЦЕССА ИНТЕГРАЦИИ IDM СИСТЕМЫ С УПРАВЛЯЕМОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ *
Аннотация:
данная работа направлена на снижение трудозатрат при интеграции IdM-системы. В рамках исследования будет смоделирован процесс интеграции IdM-системы с управляемой информационной системой компании. Системы управления доступом и идентификацией являются ключевыми элементами современной ИТ-инфраструктуры. Они защищают конфиденциальные данные, ограничивая доступ только для авторизованных пользователей, что предотвращает утечки данных и несанкционированный доступ. С помощью IdM-системы можно эффективно управлять рисками, связанными с доступом пользователей, отслеживая и контролируя доступ к критически важным ресурсам и минимизируя внутренние угрозы. Эти системы автоматизируют процессы создания, изменения и удаления учетных записей пользователей, упрощая администрирование и снижая вероятность ошибок, связанных с ручным управлением учетными записями. Таким образом, IdM-системы обеспечивают не только безопасность и соответствие нормативным требованиям, но и повышают эффективность управления ИТ-ресурсами. Корректная интеграция IdM-системы позволяет предприятию значительно улучшить уровень информационной безопасности и сократить затраты на процессы предоставления доступа.
Ключевые слова:
управление доступом, информационный ресурс, интеграция iam
Система управления учетными записями в рамках Identity Management (IDM) представляет собой комплексное средство для создания, управления, администрирования и отслеживания пользовательских учетных записей в информационных системах организации. Основная цель такой системы - обеспечить безопасное и эффективное управление доступом пользователей к информационным ресурсам, а также соответствие политик безопасности и требований регулирующих органов [1].Ключевые функции системы управления учетными записями в IDM включают следующие компоненты:Создание учетных записей: Автоматизация процесса создания новых учетных записей для пользователей в соответствии с их ролями и полномочиями.Управление доступом: Назначение и отзыв прав доступа пользователям на основе их ролей, групп или других параметров, а также управление сроками действия этих прав.Мониторинг и аудит: Отслеживание пользовательской активности, аудит доступа к данным, выявление аномального поведения и реагирование на инциденты безопасности.Интеграция с другими системами: Взаимодействие с другими информационными системами организации для обмена данными об учетных записях и синхронизации информации.Для выполнения этих функций система управления учетными записями должна включать следующие компоненты:базу данных IDM, хранящую информацию о бизнес-ролях сотрудников;утилиту обновления пользователей информационных ресурсов;модули для создания, изменения и удаления учетных записей в информационных ресурсах.Работа системы управления учетными записями осуществляется следующим образом: IDM система передает данные об изменениях бизнес-ролей сотрудников в утилиту обновления пользователей информационных ресурсов. Эта утилита обрабатывает полученную информацию и с помощью модулей для работы с отдельными информационными ресурсами применяет изменения (см. Рис. 1):Рис. 1. Изменение учетных записей пользователей внутри информационных ресурсов.Система управления учетными записями в IDM является важнейшим элементом для обеспечения безопасности и эффективности работы организации. Она позволяет администраторам централизованно управлять доступом пользователей к информационным ресурсам и обеспечивать соблюдение стандартов безопасности и законодательства.В процессе проектирования была разработана следующая структура базы данных для интегрируемого информационного ресурса (см. Рис. 2):Рис. 2. Диаграмма отношений.Таблица, характеризующая пользователей ресурса, называется User и имеет следующие столбцы.Login – имя учетной записи пользователя, уникальное внутри информационного ресурса, в строковом формате. Является обязательным свойством.FirstName – имя сотрудника в строковом формате, является обязательным свойством.LastName – фамилия сотрудника в строковом формате, является обязательным свойством.MiddleName – отчество сотрудника в строковом формате, не является обязательным свойством.TelephoneNumber – контактный телефон сотрудника в строковом формате, является обязательным свойством.IsLead – параметр, определяющий принадлежит ли данная учетная запись сотруднику, являющемуся руководителем отдела технической поддержки пользователей.Таблица, хранящая информацию о паролях учетных записей пользователя информационного ресурса, называется Passwords, и содержит следующие столбцы.Id – уникальный идентификатор записи в числовом формате.UserId –логин учетный записи в строковом формате.Password – хэш пароля учетной записи в строковом формате.Права в информационном ресурсе содержатся в таблицах RequestRight и CommunicationRight. В таблице RequestRight содержатся права по управлению заявками: создание, изменение, чтение. В таблице CommunicationRight содержатся права описывающие возможности коммуникации между сотрудниками предприятия. Данная таблица содержит следующие столбцы.Id – уникальный идентификатор права в ресурсе в числовом формате.ReciverId – идентификатор получателя сообщения в строковом формате.PushForReciever – параметр определяющий, будет ли получатель указанный в reciverId получать уведомление.Сценарии коммуникаций между пользователями ограничены их бизнес-ролями, были выделены следующие права.Право исполнителя заявки отправлять сообщение без уведомления руководителю отдела технической поддержки.Право автора заявки отправлять сообщение с уведомлением руководителю отдела технической поддержки.В случае отсутствия готового API для интеграции сервиса, отделу, отвечающему за интеграцию со стороны заказчика, потребуется разработать промежуточный сервис между IAM-системой и сервисом технической поддержки. Это решение позволит ускорить процесс отладки информационного решения. Промежуточный сервис будет ограничивать возможности интеграционной системы в части влияния на базу данных сервиса технической поддержки, предотвращая внесение критических изменений, которые могут вызвать сбои в работе информационного ресурса.Чтобы обеспечить необходимые возможности по управлению учетными записями, интеграционное решение должно оперировать следующими сущностями:Property – модель, содержащая информацию о свойствах в информационном ресурсе. Она должна включать поля с названием свойства, его идентификатором внутри информационного ресурса, текстовым описанием и логическим параметром, обозначающим обязательность этого свойства.Permission – модель, содержащая информацию о правах в информационном ресурсе. Она должна включать поля с названием права, его идентификатором внутри информационного ресурса и описанием права.UserProperty – модель, представляющая собой пару ключ-значение, где ключом является идентификатор свойства в информационном ресурсе, а значением – желаемое или полученное значение свойства пользователя в информационном ресурсе.Для реализации данных функций был спроектирован следующий интерфейс. Его внедрение позволит управлять пользователями, их правами и свойствами, а также получать информацию о свойствах и правах пользователей в информационном ресурсе. Этот интерфейс разделяет сценарии управления пользователями на методы, предоставляя широкие возможности для управления информационным ресурсом с помощью сценариев, определенных в IAM-системе (см. Рис. 3):Рис. 3. Интерфейс коннектора к управляемому информационному ресурсу.Интерфейс содержит следующие, необходимые для реализации методы.Connect – метод осуществляющий подключение к информационному ресурсу.Disconnect – метод осуществляющий закрытие подключения к информационному ресурсу.CreateUser – метод осуществляющий создание пользователя.GetPropertiesInfo – метод получающий описание всех свойств в информационном ресурсе.GetUserInfo – метод получающий все свойства пользователя.ChangeUserPassword – метод изменяющий пароль пользователя.RemoveUser – метод удаления пользователя.CheckUserExistance – метод отражающий существование пользователя в информационном ресурсе.UpdateUserInfo – метод изменяющий свойства пользователя в информационном ресурсе.GetUserPermissions – метод возвращающий права, которыми обладает пользователь.UpdateUserPermissions – метод изменяющий список назначенных пользователю права.GetAllPermission – метод возвращающий информацию о всех правах доступных в информационном ресурсе.В ходе моделирования интеграции IAM-системы и информационного ресурса были выделены следующие рекомендации:Использование универсального стандарта для библиотек расширения или коннекторов: Рекомендуется применять универсальный стандарт при интеграции с информационным ресурсом. Это позволяет использовать разработанную функциональность для управления пользователями нескольких информационных ресурсов, что упрощает и унифицирует процесс интеграции.Минимизация количества информационных моделей при проектировании: Рекомендуется использовать минимальное количество информационных моделей в интеграционном решении. Это упростит процесс поддержки и уменьшит сложность системы.Включение сервиса-посредника в интеграцию: Помимо библиотеки расширения, рекомендуется использовать сервис-посредник между интегрируемым информационным ресурсом и IAM-системой. Это ускорит разработку интеграционного решения, разделив процессы разработки библиотеки и сервиса, а также позволит не перегружать библиотеку логикой обработки исключений, вызванных различиями между информационными моделями информационного ресурса и IAM-системы.Соблюдение этих рекомендаций позволит ускорить процесс интеграции, сделать конечное решение более поддерживаемым и устойчивым к изменениям в бизнес-процессах предприятия.
Номер журнала Вестник науки №8 (77) том 1
Ссылка для цитирования:
Петров М.А. МОДЕЛИРОВАНИЕ ПРОЦЕССА ИНТЕГРАЦИИ IDM СИСТЕМЫ С УПРАВЛЯЕМОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ // Вестник науки №8 (77) том 1. С. 146 - 153. 2024 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/16970 (дата обращения: 06.10.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2024. 16+
*