Задать вопрос

Cистему учета заявок на предоставление прав доступа для крупной организации?

Добрый день!


Есть потребность в автоматизации процесса представления прав в ряде  автоматизированных системы большому количеству пользователей.

Контекст такой: есть крупная организация (1-2 тысячи работников),  в которой используется несколько десятков программных продуктов (редко какой из них может использовать для аутентификации и представления прав Active  Directory, большинство имеют свою базу пользователей со своей системой аутентификации и авторизации),  имеем отдел поддержки пользователей, который по запросам пользователей форирует заявки на изменение прав в одной  или нескольких системах, имеем отдел безопасности, который эти заявки проверяет на допустимость и имеем отдел администрирования,  который эти заявки исполняет — заводит пользователей в системах,  выдает/меняет права. Проблема в том,  что отдел безопасности часто  запрашивает отчеты о том, кому выданы такие-то права в системе (или вообще сводный отчёт по правами в конкретной системе),  а иногда возникает необходимость в просмотре предыдущей версии заявки на конкретного пользователям и так далее.

Задача не в автоматизации выдачи прав,  а в автоматизации учета подобных «заявок» на доступ.


Даже не знаю как называется такая категория продуктов (если таковая имеется). 


Из примерных требований:

возможность работы через веб-клиент;

возможность  формирования печатной формы данной «заявки»,  где были бы отражены все выданные/планируемые к выдаче права конкретного пользователя;

система отчётности (неплохо бы с возможностью составления собственных отчетов ),  где также же отражалась бы информация по выданным на ресурс правам в соответствии с выполненными «заявками»;

версионность для «заявок»;

возможность импорта данных (пользователей, ресурсов на которые предоставляются права и так далее).


P.S.: Пишу с мобильного телефона с 'интеллектуальной'   клавиатурой и прошу прощения за возможные опечатки.
  • Вопрос задан
  • 6221 просмотр
Подписаться 7 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
проще и быстрее всего это любая система ServiceDesk, например, система заявок по тикетам, которые можно создавать из емейл либо вебинтерфейса — RT
Ответ написан
@bondbig
Это частный случай того, что называется «электронный документооборот». Это когда заявки и прочие служебки пишутся не на бумажке и потом кто-то бегает собирает подписи, а заранее в некоей системе ЭД создаются электронные заявки, с конкретным содержимым и маршрутами согласования (статическими или динамическими). В случае с заявкой на доступ она будет выглядеть как перечень доступных систем + список возможных «ролей» (админ, только чтение, разработчик, оператор, сам придумай дальше) либо набора прав. Человек тыкает в галочки, наживает кнопочки, пишет обоснование необходимости, запускает на согласование. Первым в маршруте будет, например, его руководитель, далее — в зависимости от того, что он накликал ранее, например сразу «владельцы» того или иного приложения или еще какие безопасники там. Каждый может либо отклонить заявку (вернуть на доработку с комментарием, почему отклонено) либо утвердить и пустить ее далее по маршруту. В конце маршрута либо создается тикет в сервис-деске «дать права „бла-бла“ такому-то юзернему», который выполняет кто-то руками, либо можно автоматизировать предоставление этих прав (как самописными решениями, так и при помощи Identity Management софта).

Точно также можно поступить с любыми другими заявками, вплоть до отпуска или закупки оборудования.
Ответ написан
Комментировать
lomac
@lomac
Я в вопросе определил для себя следующих 2 пункта:
  1. Инструмент обеспечения жизненного цикла заявок на предоставление доступа
  2. Инструмент для получения данных об имеющемся доступе у пользователя для отдела безопасности

В вашем запросе делается акцент именно на 1 пункт. Но есть инструменты на рынке, включающие в себя функционал 1 и 2 пункта. Это категория решений IdM с инструментом workflow, когда вы можете выстраивать процесс согласования как вам надо. На российском рынке есть как большие тяжелые западные решения (Oracle, IBM, Novell), так и более гибкие и менее тяжеловесные наши разработки, которые набирают популярность. Так из россиских решений могу порекомендовать продукт Avanpost (http://www.leta.ru/products/avanpost.html).
Ответ написан
Комментировать
@Roy
Попробуйте посмотреть MS Forefront Identity Manager, вещь достаточно гибкая.
Видео для получения представления — www.techdays.ru/videos/4510.html
Ответ написан
Комментировать
@sstupin
есть такая система — КУБ. То, что вам нужно ;-)
Ответ написан
Год назад возникла схожая проблема, пришлось написать mini-IDM самому, взяв за основу Redmine.
Lite-версию плагина выложил на github:
https://github.com/iymaltsev/access_tickets
В перспективе планирую добавить возможность предоставления доступа пользователям по завершении согласования задач через ansible/bash или LDAP
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы