Решения Microsoft: Управление идентификацией и доступом

Решения Microsoft: Управление идентификацией и доступом
Автор:

Ситуация

Заказчик имеет большую территориально-распределенную информационную систему. В каждом региональном подразделении установлен локальный экземпляр кадровой БД. Служба теряла массу времени на создание новых учетных записей в АД и других подсистемах необходимых для работы сотрудников. Отсутствие единого системного каталога влекло за собой невозможность централизованного управления и повышало риски информационной безопасности. Также отсутствовала необходимая информация по сотрудникам, работающим в соседних регионах. Помимо этого, вследствие несвоевременного блокирования учетных записей уволившихся сотрудников и отсутствия процедур удаления, соответствующих прав при смене сотрудником должности или переходе в другое подразделение, существовали угрозы безопасности.

Решение

В первую очередь, было принято решение о создании единого системного каталога на базе Active Directory. Active Directory представляет собой службу каталогов, хранящую сведения об объектах сети и предоставляющую эти данные пользователям и администраторам. Active Directory обеспечивает безопасную среду каталога организации, используя встроенную проверку подлинности и авторизацию пользователя при входе в систему, а также основные возможности локального администратора безопасности. За счет включенных по умолчанию проверок подлинности и авторизации при входе в систему и возможности недопущения использования слабых паролей администраторы центрального аппарата и региональных отделов смогли обеспечить непосредственную защиту доступа к сети и сетевых ресурсов. Вместе с этим, используя инструменты делегирования администрирования, стало возможным построение централизованного безопасного управления всей информационной системой. Процесс управления жизненным циклом учетной записи пользователя должен использоваться организацией для повышения безопасности ее системы. Внедерение Identity Lifecycle Management, предназначенного для автоматизации процессов управления учетными записями пользователей и цифровыми сертификатами, значительно сократило временные издержки администраторов организации на заведение пользователей в различных подсистемах и улучшило безопасность за счет решения вышеперечисленных проблем.

Организация воспользовалась функционалом ILM, в части автоматизации процессов создания учетных записей в различных подсистемах и реализовала следующую схему: при зачислении нового сотрудника на работу, запись об этом в первую очередь вносится кадровиками в кадровую базу данных, после чего, ориентируясь на должность нового сотрудника и соответствующей этой должности роли, ILM осуществляет создание учетной записи пользователя в подсистемах, которые необходимы сотруднику для работы, вместе с этим автоматически назначаются права. Синхронизация осуществляется и в случае перехода сотрудника на новую должность – в этом случае все действия по блокированию учетной записи в одной подсистеме, созданию ее в другой и смене прав происходят автоматически. Ну и конечно же при увольнении сотрудника доступ ко всем подсистемам с которыми он работал блокируется.

Преимущества

Используя перечисленные технологии, организация получает централизованную систему управления объектами сети, и в первую очередь учетными записями. Сервер управления учетными записями и цифровыми сертификатами расширяет степень автоматизации процессов создания пользовательских учетных записей, управления правами и синхронизацией информации по разным подсистемам. Помимо управления учетными записями ILM 2007 делает возможным управление жизненным циклом цифровых сертификатов и смарткарт. В функциональность продукта входит автоматизация следующих распространенных процессов: выпуск и обновление сертификатов, отзыв сертификатов, восстановление и замена смарт-карт, выпуск временной смарткарты, предоставление сервисов самообслуживания.
Использованные продукты и технологии

В данном решении были использованы продукты и технологии корпорации Microsoft:
Active Directory – служба каталогов семейства серверных операционных системIdentity Lifecycle Management (ILM) — диспетчер жизненного цикла удостоверений.

share