Cистему учета заявок на предоставление прав доступа для крупной организации?

Question

[Федор Малышкин]

Добрый день!


Есть потребность в автоматизации процесса представления прав в ряде  автоматизированных системы большому количеству пользователей.

Контекст такой: есть крупная организация (1-2 тысячи работников),  в которой используется несколько десятков программных продуктов (редко какой из них может использовать для аутентификации и представления прав Active  Directory, большинство имеют свою базу пользователей со своей системой аутентификации и авторизации),  имеем отдел поддержки пользователей, который по запросам пользователей форирует заявки на изменение прав в одной  или нескольких системах, имеем отдел безопасности, который эти заявки проверяет на допустимость и имеем отдел администрирования,  который эти заявки исполняет — заводит пользователей в системах,  выдает/меняет права. Проблема в том,  что отдел безопасности часто  запрашивает отчеты о том, кому выданы такие-то права в системе (или вообще сводный отчёт по правами в конкретной системе),  а иногда возникает необходимость в просмотре предыдущей версии заявки на конкретного пользователям и так далее.

Задача не в автоматизации выдачи прав,  а в автоматизации учета подобных «заявок» на доступ.


Даже не знаю как называется такая категория продуктов (если таковая имеется). 


Из примерных требований:

возможность работы через веб-клиент;

возможность  формирования печатной формы данной «заявки»,  где были бы отражены все выданные/планируемые к выдаче права конкретного пользователя;

система отчётности (неплохо бы с возможностью составления собственных отчетов ),  где также же отражалась бы информация по выданным на ресурс правам в соответствии с выполненными «заявками»;

версионность для «заявок»;

возможность импорта данных (пользователей, ресурсов на которые предоставляются права и так далее).


P.S.: Пишу с мобильного телефона с 'интеллектуальной'   клавиатурой и прошу прощения за возможные опечатки.

Answer 1

[Николай Турнавиотов]

проще и быстрее всего это любая система ServiceDesk, например, система заявок по тикетам, которые можно создавать из емейл либо вебинтерфейса — RT

Comments

[Федор Малышкин]

А сможет ли это решение делать необходимые отчеты по выданным правам в автоматизированных системах вообще и по конкретному пользователю?

[Федор Малышкин]

И вообще вести базу ресурсов и прав, которые выданы пользователям на них?

[Николай Турнавиотов]

fedor_malyshkin применять группы/шаблоны заявок в тикетках и группировать их никто не мешает.

[Николай Турнавиотов]

fedor_malyshkin а база ресурсов — понятие очень растяжимое и выполнено может быть тоже в большом количестве вариантов

[Федор Малышкин]

База ресурсов, в данном случае, перечень файловых шар с возможными правами на них, а также же роли в автоматизированных системах, которые могут быть присвоены пользователю. Именно значения и данные из них можно использовать для оформления заявки, а после его выполнения автоматически связаться соответствующие данные с пользователем для возможности составления необходимых отчетов (для проверок отделом безопасности и верификации). Известные мне системы Service Desk от того же BMC этого не позволяют — поэтому у меня и возникли эти вопросы. Пока, который сожалению, нужного ответа нет увидел. С системами автоматизации службы поддержки у меня есть опыт — данные вопросы они не автоматизируют, они автоматизируют обработку инцидентов или запросов на обслуживание, но не запросов на предоставление прав.

[Николай Турнавиотов]

Если п/о привязано к AD то обработка запроса на добавление прав заключается в том чтобы внести пользователя в группу и отписать пользователю о том что му надо выйти и зайти в систему для работы с новым ресурсом, который находится там-то и там-то.

Если п/о непривязано — все равно это придётся делать ручками.

[Федор Малышкин]

Задача не в автоматизации выдачи прав, а в автоматизации учета подобных «заявок» на доступ.

[Николай Турнавиотов]

fedor_malyshkin любая тикетная система. привязываться к пользователю она умеет, а дальше групповой щаблон «выдача прав доступа» — если нужно найти — фильтры по поиску.

Answer 2

[Sergey]

Это частный случай того, что называется «электронный документооборот». Это когда заявки и прочие служебки пишутся не на бумажке и потом кто-то бегает собирает подписи, а заранее в некоей системе ЭД создаются электронные заявки, с конкретным содержимым и маршрутами согласования (статическими или динамическими). В случае с заявкой на доступ она будет выглядеть как перечень доступных систем + список возможных «ролей» (админ, только чтение, разработчик, оператор, сам придумай дальше) либо набора прав. Человек тыкает в галочки, наживает кнопочки, пишет обоснование необходимости, запускает на согласование. Первым в маршруте будет, например, его руководитель, далее — в зависимости от того, что он накликал ранее, например сразу «владельцы» того или иного приложения или еще какие безопасники там. Каждый может либо отклонить заявку (вернуть на доработку с комментарием, почему отклонено) либо утвердить и пустить ее далее по маршруту. В конце маршрута либо создается тикет в сервис-деске «дать права „бла-бла“ такому-то юзернему», который выполняет кто-то руками, либо можно автоматизировать предоставление этих прав (как самописными решениями, так и при помощи Identity Management софта).

Точно также можно поступить с любыми другими заявками, вплоть до отпуска или закупки оборудования.

Answer 3

[lomac]

Я в вопросе определил для себя следующих 2 пункта:

1. Инструмент обеспечения жизненного цикла заявок на предоставление доступа
2. Инструмент для получения данных об имеющемся доступе у пользователя для отдела безопасности

В вашем запросе делается акцент именно на 1 пункт. Но есть инструменты на рынке, включающие в себя функционал 1 и 2 пункта. Это категория решений IdM с инструментом workflow, когда вы можете выстраивать процесс согласования как вам надо. На российском рынке есть как большие тяжелые западные решения (Oracle, IBM, Novell), так и более гибкие и менее тяжеловесные наши разработки, которые набирают популярность. Так из россиских решений могу порекомендовать продукт Avanpost (http://www.leta.ru/products/avanpost.html).

Answer 4

[Roy]

Попробуйте посмотреть MS Forefront Identity Manager, вещь достаточно гибкая.
Видео для получения представления — www.techdays.ru/videos/4510.html

Answer 5

[sstupin]

есть такая система — КУБ. То, что вам нужно ;-)

Comments

[Федор Малышкин]

Да верно. Как раз занимаемся внедрением данной системы в организации. Пока не хватает встроенной возможности создания ИР без их фактического существования.

Answer 6

[Илья Мальцев]

Год назад возникла схожая проблема, пришлось написать mini-IDM самому, взяв за основу Redmine.
Lite-версию плагина выложил на github:
https://github.com/iymaltsev/access_tickets
В перспективе планирую добавить возможность предоставления доступа пользователям по завершении согласования задач через ansible/bash или LDAP