3 минуты вместо 3 дней. Как с помощью IDM автоматизировать управление доступом для 20 000 сотрудников?

Для крупного телекоммуникационного холдинга было необходимо ускорить и стандартизировать выдачу доступов. Учетные записи в домене создавались автоматически на основании данных из кадровых систем, но доступ к ИТ-ресурсам сотрудники получали по заявкам, которые могли рассматриваться до трех дней. Задача осложнялась постоянным ростом компании за счет приобретения новых активов и большим числом персонала и подрядчиков.

Команда УЦСБ внедрила IDM-решение, помогла выстроить процессы управления доступом, в основу которых легла работа с кадровыми и организационными изменениями и ролевая модель, построенная на базе трудовых функций сотрудников. Благодаря этому время предоставления и отзыва доступов к ИТ-системам сократилось до нескольких минут, а при любом кадровом изменении их состав и уровни корректируется автоматически.

Кроме того, был спроектирован и внедрен каталог ролей, а процесс подачи и согласования заявок на доступ, в котором ранее был задействован целый ряд разнородных систем, был централизован и перенесен в IDM, что в разы сократило SLA, а также повысило прозрачность процесса.

Отличительная черта Заказчика — масштаб его ИТ-ландшафта: десятки информационных систем использовались как сотрудниками компании, так и подрядчиками, задействованными в их обслуживании и поддержке.

Другие сложности проекта:

• заявки на доступ требовали большого объема ручной работы;
• для каждой заявки нужно было настраивать коммуникацию между сотрудником и согласующим лицом;
• не было единого способа выдачи доступа для внутренних и внешних пользователей;
• отсутствовал централизованный контроль назначения и отзыва полномочий.

Параллельно с IDM Заказчик внедрил в свои кадровые процессы трудовую функцию — атрибут, отражающий набор операций, которые фактически выполняет сотрудник в рамках своих трудовых обязанностей. На их основе экспертами УЦСБ была спроектирована ролевая модель, в которой для каждой трудовой функции определяется набор необходимых доступов.

Таким образом, трудовые функции, которые присваиваются сотрудникам в кадровой системе, в IDM превращаются в так называемые бизнес-роли. При этом весь жизненный цикл этих бизнес ролей — создание, наполнение необходимыми полномочиями, периодическая актуализация их состава, назначение пользователям, перенос в архив — автоматизирован и управляется с помощью IDM.

К IDM подключили ключевые информационные системы и сервисы Заказчика:

• 1С ЗУП — для оперативного получения всех организационных и кадровых изменений;
• корпоративные системы SAP (SAP BPC, SAP S4/HANA, SAP BObj) — для получения кадровых данных и событий;
• инфраструктурные сервисы Microsoft Active Directory, Exchange и Skype for Business — для автоматизации предоставления базового доступа;
• системы семейств SAP и 1С:Предприятие, СУБД, биллинговые сервисы и другие бизнес-системы — для централизованного управления доступом, доступов в них с помощью ролей и самообслуживания;
• брокер сообщений Apache Kafka для оптимизации обмена справочными данными и кадровыми изменениями между интегрируемыми системами.

Для управления дополнительными доступами пользователей на портале самообслуживания IDM был выстроен каталог ИТ-систем и ролей, с помощью которого сотрудники и подрядчики могут запросить дополнительные права, а владельцы бизнес-процессов и ресурсов — быстро согласовать доступ.

IDM взяла на себя основную нагрузку по управлению доступами — от автоматических назначений до оперативного отзыва прав при кадровых изменениях. На практике это дает следующие ключевые эффекты:

• не более 3 минут занимает автоматическое предоставление доступа на основании ролевой модели и трудовых функций;
• автоматическая блокировка доступа при увольнении, отзыв потерявших актуальность и назначение новых полномочий при смене трудовой функции;
• контроль назначений — в любой момент можно увидеть, какие права есть у каждого пользователя в каждой системе;
• все доступы аттестованы — владельцы бизнес-процессов и информационных ресурсов регулярно подтверждают актуальность назначенных сотрудникам доступов;
• аналитическая информация — решение хранит историю назначений, согласований и прочие данные, которые в том числе могут быть использованы при расследовании инцидентов информационной безопасности.