Ролевая модель в IdM системах

Ролевая модель в IdM системах
Так исторически сложилось, что средства управления доступом реализованы в технических терминах, которые не всегда хорошо соответствуют бизнес модели. Системы IdM призваны наладить диалог между бизнесом и IT в части управления доступом. Ролевая модель управления доступом – это одно из средств перевода требований к правам доступа сотрудников с одного языка на другой.
name='more'>
IT роль - это минимальный набор полномочий, необходимый для того, чтобы сотрудник мог выполнять определенную операцию. Например, регистрировать документы, принимать звонки и т.п. Например, IT-роль "Регистрировать документы" включает в себя два полномочия: учетная запись в СЭД и группа «Регистраторы» в СЭД. Часто IT-роли образуют иерархию, в этом случае вложенные роли наследуют все полномочия родительских ролей, и каждая роль связана ровно с одним полномочием.
 
roles1
Пример. Рисунок – иерархия IT-ролей и их связь с полномочиями.
 
Элементарные полномочия в системах определяются физическим способом реализации модели доступа. Способы определения полномочий на стороне систем могут быть самыми разными (группы, списки доступа, мандаты и т.п.). Полномочия объединяются в IT роли с целью упрощения выдачи прав для решения определенных задач. Превращение элементарных полномочий в IT-роли – это первый шаг к управлению доступом на языке бизнеса. Следующий шаг – это использование бизнес-ролей.
Бизнес-роль в IdM системе – это комплексный набор полномочий, необходимый для выполнения определенной бизнес задачи. Часто бизнес роль связывается с должностью или позицией в штатном расписании.
Сформулировать бизнес роль в виде элементарных полномочий прикладных систем может оказаться непростой задачей, поэтому для описания бизнес-ролей обычно используют IT-роли, соответствующие операциям, которые нужно выполнять сотруднику с такой бизнес-ролью.
К примеру, сотруднику бухгалтерии требуется иметь возможность создавать проводки в 1с и формировать отчеты. Сотрудник отдела управления договорами должен иметь возможность регистрировать договора в системе 1с и сэд. Бизнес-роли также часто образуют иерархию.
roles2
Проследить связь от бизнес-ролей до элементарных полномочий, особенно с учетом механизмов наследования, может показаться достаточно сложной задачей. Однако, на самом деле, такая модель управления доступом позволяет весьма прозрачно описать правила назначения прав сотрудникам, не нарушая принципа минимально необходимых полномочий.








Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!