В простейшем случае IDMможно использовать для автоматизации операций с учетными записями. При серьезном подходе, система не только делает то, что ей скажут, но еще и следит за тем, чтобы полномочия назначались только «как надо», а также вовремя поднимает шум, если вдруг где-то реальность разошлась с требованиями безопасности.
Чтоб донести свои требования до ISIM, администратор безопасности описывает их в виде набора «политик предоставления доступа». Каждая политика устроена довольно просто и содержит ответы на 3 важных вопроса:
- Область действия политики – для сервисов каких подразделений она применяется;
- На каких пользователей распространяется политика – на всех или только назначенных на определенные бизнес-роли;
- Какие правила должны выполняться для учетных записей сервисов;
Политики предоставления доступа позволяют, например, указать, что у всех сотрудников организации …
- должна быть учетная запись в корпоративной ActiveDirectory,
- должен быть корпоративный почтовый ящик, причем адрес должен совпадать с именем учетной записи в AD,
- может быть учетная запись в системе документооборота,
а у внештатных сотрудников …
- может быть учетная запись в ActiveDirectory,
- но она не может входить в группы, предоставляющие доступ к бухгалтерии и финансовой информации.
Правила могут быть простыми, а могут быть и довольно сложными, с использованием регулярных выражений, скриптов и т.п.
Есть несколько режимов применения политик. В самом жестком режиме ISIMне допускает отклонений от указанных требований, автоматически приводя учетные записи в соответствие с политиками и не позволяя пользователям даже запросить полномочия сверх допустимого. В более мягких режимах ISIMможет уведомлять администратора о возникающих нарушениях или только отмечать учетные записи, несоответствующие требованиям безопасности.
В жестком режиме система работает полностью автоматически. Любые отклонения от требований устраняются без участия человека. Мягкие режимы позволяют, например, обнаруживать факты нарушения требований ИБ, сделанные во внешних системах в обход ISIM, и уже потом принимать решение о том, что с ними делать.
