Ankey idm что это
Ankey IDM
Программный продукт для централизованного управления учетными записями пользователей и их полномочиями в корпоративных информационных системах, включающий лучшие решения IGA (Identity Governance and Administration).
Заполните форму обратной связи для запроса демонстрации
Заполните форму обратной связи для запроса демонстрации
Если в организации:
То при отсутствии механизмов централизованного автоматизированного управления правами доступа пользователей возникает ряд предпосылок:
В дальнейшем эти предпосылки могут привести к проблемам:
Несанкционированный доступ к данным
Утечка конфиденциальной информации
Рост объема рутинных работ
Вынужденные простои сотрудников
Привлечение дополнительного персонала
Выгоды при использовании Ankey IDM
Для руководства компании:
Схема работы
Основные функции Ankey IDM
Управление жизненным циклом учетной записи:
Электронная заявка на управление доступом:
Отчетность аудита доступа пользователей:
Контроль доступа и управление ролевой моделью:
Главные преимущества Ankey IDM
Если у вас есть вопросы по продукту, пожалуйста, обратитесь к нашим специалистам, заполнив форму ниже.
Программный комплекс функционирует с использованием свободно распространяемого программного обеспечения:
Комплекс состоит из следующих компонентов:
Сервер приложений обеспечивает выполнение бизнес логики приложения, периодических заданий синхронизации данных с целевыми системами, прохождение маршрутов согласования электронной заявки, а также предоставляет конечным пользователям личный кабинет для управления собственными учетными записями. Может устанавливаться вместе или раздельно от СУБД.
Сервер СУБД хранит оперативные данные, связанные с текущим состоянием учетных записей пользователей, данные аудита, данные по бизнес-процессам заявок. Может устанавливаться вместе или раздельно от сервера приложений.
Управление учетными записями (УЗ) в целевых системах сервер приложений выполняет через сервер коннекторов, на котором устанавливаются необходимые программные библиотеки для интеграции (коннекторы). Обеспечивает выполнение функций по интеграции с целевыми системами средствами коннекторов. Может устанавливаться совместно с сервером приложений или на выделенном сервере.
Настройка Ankey IDM выполняется в административной web-консоли сервера приложений и с помощью программного интерфейса RESTful API, который позволяет взаимодействовать со смежными системами ИТ службы (например, Service Desk, СЭД).
Клиент — web-браузер, установленный на рабочей станции пользователя.
Обновления Ankey IDM: акцент на безопасность и удобство использования
В первом полугодии 2018 года компания «Газинформсервис» представила обновленный программный комплекс Ankey IDM 1.0.
В первом полугодии 2018 года компания «Газинформсервис» представила обновленный программный комплекс Ankey IDM 1.0. Это решение класса Identity Governance для управления жизненным циклом учетных записей и правами доступа в режиме контроля на «360 градусов» в корпоративных системах.
По информации с сайта «Газинформсервис», Ankey IDM обеспечивает:
Централизацию управления пользователями и их полномочиями за счет интеграции с различными бизнес-приложениями.
Возможность согласования предоставления доступа в личном кабинете с использованием электронной формы заявки.
Возможность пользователю самостоятельно управлять своими учетными записями и ролями.
Разработчики сообщают, что новая версия выпущена с акцентом на информационную безопасность, как важную составляющую для предотвращения несанкционированного доступа к корпоративным системам. Ниже рассмотрены обновления программного комплекса за полугодие.
Усиление безопасности данных
Для каждой информационной системы в Ankey IDM можно настроить отдельную парольную политику. Из личного кабинета пользователь может управлять паролями от каждой из систем. Ввод пароля сопровождается подсказкой на то, каким параметрам удовлетворяет текущий пароль.
Помимо стандартных политик, устанавливающих минимальное число букв, символов и цифр, возможна настройка более сложных условий:
минимальное количество измененных символов при создании новых паролей пользователей;
минимальное количество измененных символов при создании новых паролей учетной записи;
минимальный срок действия пароля учетной записи;
максимальный срок действия пароля учетной записи.
В новой версии предусмотрена блокировка неактивных учетных записей целевых систем и блокировка учетных записей пользователя на определённый настройками период в случае нескольких неуспешных попыток входа в систему.
Обновление типов заявок
Список стандартных заявок пополнился новыми типами. Теперь сотрудник может создавать заявки на самостоятельную разблокировку учетной записи.
Добавлена заявка на самостоятельное редактирование атрибутов пользователя. Предоставление такой возможности необходимо в случаях, когда нет возможности получить данные из доверенного источника, например, номер офиса, договор КТ. Для каждого типа заявки по-прежнему можно настроить свой процесс.
Удобство работы с комплексом
Теперь в пользовательском интерфейсе для каждой предоставленной сотруднику роли видно, каким образом она была назначена. Эта информация отображается на вкладке «Роли» для всех групп пользователей комплекса (администраторы, сотрудники). Предусмотрены статусы:
прямое назначение с указанием имени пользователя, который произвел назначение роли;
назначение по заявке.
Заявитель может видеть статус исполнения заявки после ее согласования. Возможны четыре статуса:
«На согласовании» – заявка не прошла все этапы согласования;
«Ожидает исполнения» – заявка согласована, но полномочия в целевой системе еще не предоставлены;
«Частично исполнена» – заявка согласована частично, полномочия в целевых системах предоставлены;
«Исполнена» – заявка полностью согласована, полномочия в целевых системах предоставлены.
Для удобства администраторов разработана возможность привязки учетных записей без владельца из целевых систем к сотруднику. Чтобы выбрать все записи, администратор может применить фильтр «без владельца». В списке отобразятся все удовлетворяющие этому условию учетные записи.
Дальше уже вручную производится сопоставление учетной записи и сотрудника в системе.
Кроме того, добавлена возможность редактирования периодического задания. Администратор может менять расписание, включать и выключать задачу.
Получить актуальную информацию о продукте Ankey IDM можно на сайте компании «Газинформсервис».
Ankey IDM. Новое в продукте: тенденции, функциональность, совместимость
В этой статье мы расскажем об основных изменения, произошедших в продукте, за прошедшее время.
Разработанная компанией «Газинформсервис» платформа Ankey IDM (ранее мы уже о ней писали) появилась на рынке в 2015 году. В этой статье мы расскажем об основных изменения, произошедших в продукте, за прошедшее время.
Платформа Ankey IDM предназначена для централизованного управления учетными записями пользователей и политиками доступа к информационным ресурсам компании. Ее применение обеспечивает соответствие требованиям стандартов и нормативных документов (149-ФЗ, 152-ФЗ, 239-ФЗ, PCI-DSS, ISO 27001, приказам ФСТЭК 17, 21, 31), а наличие сертификата ФСТЭК, позволяет использовать Ankey IDM в составе программного обеспечения для защиты от несанкционированного доступа к информационным ресурсам, содержащим персональные данные и коммерческую тайну.
Продукт существенно изменился, став по-настоящему зрелым решением. Ключевым направлением развития Ankey IDM является внедрение функций IGA (Identity Governance and Administration). Существенно расширен список поддерживаемых информационных систем, ядро и коннекторы системы разделены для увеличения производительности при масштабировании. Появился импорт-экспорт настроек и данных. Введена многоуровневая ролевая модель, которая может собираться платформой в автоматическом режиме (role mining). Благодаря этим функциям существенно упрощено внедрение платформы.
Импорт-экспорт настроек, ролей или списка пользователей
Совместимость продукта
На сегодняшний день Ankey IDM совместим и эффективно работает со следующими системами:
Это позволяет управлять даже специфичными решениями вроде Git-систем, а также инфраструктурными решениями, управляемыми Ansible.
Источником кадровых событий для Ankey IDM служат популярные на территории России решения:
Новая функциональность
Помимо ставшей уже «золотым стандартом» отрасли функции управления учетными записями в соответствии с кадровыми событиями (прием на работу, перевод, карьерные эскалации, временные права доступа для подрядчиков, или на случай замещения сотрудника), в 2021 году в Ankey IDM реализованы функции, повышающие удобство управления, наглядность и гибкость системы при адаптации под различные бизнес-процессы компании. Представим ключевые функции:
Реализация функции помогает избежать накопления у сотрудников избыточных прав доступа, включая проверку на этапе согласования заявки и регулярную ресертификацию политик доступа.
Отображение критических прав доступа на этапе согласования заявки
Как показывает практика, ролевая модель может включать в себя десятки, а то и сотни тысяч строк, что усложняет ее сбор и анализ при внедрении IDM-системы. Платформа Ankey IDM способна проанализировать используемые системы самостоятельно и создать базовую ролевую модель, что существенно экономит время и ресурсы заказчиков.
Анализ ролевой модели
Такой подход позволяет существенно экономить время при управлении заявками пользователей и избегать проблем в случаях, когда единственное согласующее лицо находится в отпуске или на больничном. В таких ситуациях проводится эскалация заявки на вышестоящее ответственное лицо.
Возможность использования и подтверждения групповых заявок, в том числе с разделением ролей. Также реализована опция частичного согласования заявки.
.jpg "Ankey idm что это. Смотреть фото Ankey idm что это. Смотреть картинку Ankey idm что это. Картинка про Ankey idm что это. Фото Ankey idm что это")
Работа с заявками и частичное согласование
Функция позволяет задавать время действия пароля, его сложность. Появляется возможность менять пароль как по инициативе сотрудников ИТ/ИБ-подразделений, так и по запросу владельцев учетных записей.
Позволяет просто и наглядно выстроить процесс управления цепочкой согласования заявок и настройкой уведомлений.
Интерфейс работы с конструктором бизнес-процессов
Этот конструктор позволяет службе информационной безопасности в несколько кликов получать данные аудита или формировать детальный отчет по сотруднику, роли или группе, которая использует системы предприятия.
Вместо заключения
По данным компании «Газинформсервис», благодаря внедрению Ankey IDM время, затрачиваемое на администрирование информационных систем, может сократиться на 40%. При этом требования к квалификации администратора системы существенно снижаются, ведь система на начальном этапе настраивается специалистами компании «Газинформсервис», а впоследствии администраторы работают в режиме единого окна, без необходимости углубленных знаний информационных систем предприятия. Более того, специалисты «Газинформсервис» оказывают постоянную техническую поддержку продукта, благодаря обширной филиальной сети (компания представлена более чем в 20 регионах России).
Использование Ankey IDM позволяет проводить оперативные аудиты, так как вся информация, связанная с историей назначений ролей доступа, хранится централизованно и позволяет передавать такие данные в SIEM-системы и SOC-центры.
Интерфейс аудита прав доступа для каждой роли
В компании отмечают, что за шесть лет реализации Ankey IDM его пользователями стали крупные компании и муниципальные предприятия. Подробнее о продукте можно узнать на сайте компании «Газинформсервис». Также вы можете заказать демоверсию продукта или совершить референс-визит для ознакомления с функционалом Ankey IDM.
Обзор новых возможностей Ankey IDM, средства управления учётными записями
Платформа Ankey IDM версии 1.6, являясь IGA-решением (Identity Governance and Administration), предназначена для централизованного управления жизненным циклом учётных записей пользователей и их полномочиями в информационных системах предприятия. Ankey IDM позволяет создать ролевую модель доступа и регулярно её пересматривать (Role Mining), проводить аудиты и ресертификацию прав, контролировать кумулятивные накопления прав доступа (Segregation of Duties).
Сертификат AM Test Lab
Номер сертификата: 350
Дата выдачи: 30.08.2021
Срок действия: 30.08.2026
Введение
По данным из открытых источников, в 2020 году около 80 % утечек персональных данных и платёжной информации произошли из-за внутренних нарушений, а не хакерских атак. Так называемые «умышленные» утечки часто провоцируются действующими или увольняющимися сотрудниками и связаны с несовершенством предоставления доступа к информации в компаниях.
В последнее время случаи умышленных утечек стали учащаться, ведь в результате активной цифровизации, вызванной в том числе и пандемией, количество администраторов систем и общая нагрузка на информационные отделы начали расти в геометрической прогрессии. Разрозненные средства управления данными и доступами не позволяют быстро реагировать на изменения кадрового состава и функциональных обязанностей. Если же количество систем и баз данных, с которыми должны взаимодействовать специалисты, начинает превышать пять единиц, то необходимо применять специализированные решения, например IGA- / IDM-платформы, которые позволяют автоматизировать и существенно упростить работу специалистов.
Сегодня IDM-решения не являются универсальными, поэтому мы говорим о наделении IDM-систем компонентами класса Identity Governance and Administration (IGA). В рамках последнего система предоставления доступов и контроля учётных записей становится более гибкой и эффективной, ведь задачи таких систем значительно шире, чем у классических средств управления учётными данными. В этом обзоре рассмотрим отечественную платформу Ankey IDM версии 1.6 — решение вобравшее в себя большое число функций класса IGA.
Функциональные возможности Ankey IDM
Представим перечень наиболее важной функциональности.
Управление жизненным циклом учётной записи:
Электронная заявка на управление доступом:
Ролевая модель и аудит прав доступа пользователей:
Архитектура платформы Ankey IDM
Ankey IDM — это ядро платформы и сервер(-ы) коннекторов для гибкого масштабирования. Схема работы платформы выглядит следующим образом (рис. 1).
Рисунок 1. Схема работы Ankey IDM
Системные требования Ankey IDM
Платформа устанавливается и на популярные Windows-решения, и на Linux, включая отечественные дистрибутивы, такие как Astra Linux, который имеет сертификат ФСТЭК России 1-го класса защиты и может применяться в системах предприятий работающих с государственной тайной.
Минимальный набор системных требований для установки ядра и сервера коннекторов на одну систему предусматривает:
Рекомендуемые требования зависят от количества пользователей, целевых информационных систем, объёма обрабатываемых событий и периодичности регламентного расписания.
При этом платформа работает как в облачных системах, так и на собственных серверах предприятия (on-premise).
Новое в Ankey IDM
За 2021 год выпущено 3 релиза платформы Ankey IDM и ещё один, по данным компании-разработчика — ООО «Газинформсервис», — выйдет в свет до конца года.
На момент выпуска статьи актуальной является версия 1.6. Рассмотрим её возможности и функциональность.
Сбор и анализ ролевой модели (Role Mining)
При внедрении IDM одна из существенных статей трудозатрат — сбор и создание ролевой модели, которая может включать в себя десятки и сотни тысяч строк. Ankey IDM даже при первом внедрении позволяет создать ролевую модель встроенными средствами, благодаря чему достигается колоссальная экономия ресурсов на внедрении.
Рисунок 2. Анализ ролевой модели в Ankey IDM
При этом ролевая модель является процессной частью современной динамичной компании. Поэтому регулярная сертификация прав доступа и анализ текущей ролевой модели являются необходимыми средствами, которые базируются на состоянии назначенных сотрудникам прав доступа и на политиках безопасности SoD.
Также при регулярности Role Mining роли доступа корректируются и изменяются согласно текущим потребностям предприятия без накопления утративших актуальность данных, которое встречается в бизнесе любой степени зрелости.
Вариативность утверждения заявок
Для экономии времени управления заявками пользователей предусмотрена возможность их различного сопровождения и подтверждения: руководителем, администратором системы, сотрудником службы ИБ, автоматически (к примеру, при вводе нового пользователя или наличии сертифицированной роли согласно указанной должности). Присутствует настраиваемая эскалация заявок.
Платформа Ankey IDM работает с групповыми заявками, в том числе с разделением ролей. При этом любые заявки могут согласовываться и утверждаться частично.
Рисунок 3. Оформление групповой заявки в Ankey IDM
Рисунок 4. Согласование заявки в Ankey IDM
При частичном согласовании заявки кнопка интерфейса «Проверить выбранные» позволяет обнаруживать наличие критических, принудительно настроенных или кумулятивных прав доступа (SoD).
Разделение критических прав доступа (Segregation of Duties, SoD)
Инструмент позволяет превентивно избегать накопления избыточных прав доступа, настраиваясь как обращение к ролевой модели. Также можно корректировать вручную по мере необходимости или по результатам аудитов.
Рисунок 5. Проверка заявки на наличие SoD-конфликтов в Ankey IDM
Рисунок 6. Конструктор правил SoD в Ankey IDM
Конструктор правил SoD поддерживает любое количество условий, которые привязаны к данным ролей и любым параметрам карточек пользователей. Простой пример: если сотрудник филиала имеет почту содержащую поддомен «@spb.company.ru» или относится к отделу аналитики, то у него не будет доступа к информации, которая содержится в системе (системах) отдела продаж города Москвы. При этом гибкость настроек ограничивается потребностями администраторов системы и политиками безопасности.
Конструктор бизнес-процессов согласований и уведомлений
Рисунок 7. Конструктор Ankey IDM
Конструктор имеет стандарт BPMN 2.0 и позволяет в графическом интерфейсе настроить необходимые цепочки согласований, уведомления, эскалации заявок, дополнительные проверки на критическую значимость прав и прочие связанные с этим процессы.
Аудит и сертификация ролей доступа
При использовании Ankey IDM легко проводить оперативные аудиты прав и ролей. Вся информация, связанная с историей назначений ролей доступа, инцидентами, SoD-конфликтами и иными событиями изменений доступа, хранится централизованно. Данные доступны для передачи в SIEM-системы и SOC в режиме онлайн, как в случае необходимости расследования инцидентов, так и для предотвращения последних.
Рисунок 8. Панель управления ролями в Ankey IDM
Взаимодействие Ankey IDM с другими системами
Ankey IDM взаимодействует с различными приложениями и ИТ-системами для управления учётными записями и правами доступа. Продукт имеет более 40 готовых коннекторов.
Благодаря Ankey IDM контролируются и координируются учётные записи в широком спектре целевых систем.
С учётом современных требований рынка платформа Ankey IDM позволяет управлять специфическими решениями вроде систем доставки ПО — Git-совместимыми, инфраструктурными — под управлением Ansible.
Отдельно стоит отметить, что Ankey IDM может быть интегрирована и с системами SSO (единая точка входа), если нужно, чтобы большое количество информационных систем использовалось одним сотрудником.
Источником кадровых событий для Ankey IDM служат популярные в РФ решения: 1С ЗУП, SAP HR, «Босс-Кадровик», «Галактика», Microsoft Active Directory и LDAP-каталоги.
На случай необходимости как единичного, так и массового ручного управления учётными записями предусмотрена возможность импорта пользователей из CSV- и XLS-файлов, а также гибко настраиваемая система заявок.
Сами коннекторы в своей основе имеют известный язык программирования Java и весьма простой протокол OpenICF, что будет удобно, если понадобится сделать коннектор для действующей системы своими силами. Также специалисты компании «Газинформсервис» могут произвести разработку коннектора под потребности предприятия.
Сценарии использования Ankey IDM
Консоль администратора
В основном управление системой происходит из консоли администратора Ankey IDM. Общий вид консоли владельца платформы имеет вид представленный на рисунке 9. Консоль даёт доступ ко всем функциям платформы.
Рисунок 9. Консоль администратора системы в Ankey IDM
Управление профилем
У каждого сотрудника в системе есть свой профиль, в котором ему доступны:
Рисунок 10. Профиль пользователя системы в Ankey IDM
Управление ролями
Роль включает в себя определённый набор прав / правил доступа к информационной системе. Администратор может легко назначать, просматривать и отменять роли пользователей благодаря удобному интерфейсу.
Рисунок 11. Управление ролями в Ankey IDM
Тонкие настройки ролей доступа
При необходимости всегда можно назначить детальные права доступа.
Рисунок 12. Уровни прав доступа к информационной системе в Ankey IDM
Управление учётными записями в целевых системах
Платформа позволяет сотруднику менять пароли в системах самостоятельно, не прибегая к помощи службы поддержки.
Рисунок 13. Создание учётной записи в Ankey IDM
Управление заявками через кабинет самообслуживания
В окне каждого пользователя есть функция «Запросить доступ». Выбор систем будет доступен с учётом подразделения и иерархии пользователей.
Рисунок 14. Управление заявками в Ankey IDM
Заявки, как мы упоминали ранее, имеют множество вариантов утверждения. Для примера — автоматическое подтверждение заявки в рамках указанного бизнес-процесса. Представлен вид из консоли пользователя платформы.
Рисунок 15. Вид заявок от лица пользователя в Ankey IDM
Формирование отчётов
В качестве конструктора отчётов используется Jasper Reports, так как отчёты нередко являются участниками бизнес-процессов в части согласований и контроля инцидентов.
В качестве примера — отчёт по активным заместителям сотрудников.
Рисунок 16. Отчёт на основе Jasper Reports
Ещё один вариант отчёта — по ролям, которые были изменены или заведены на текущую дату.
Рисунок 17. Отчёт на основе Jasper Reports
Выводы
В платформе Ankey IDM версии 1.6 реализовано большое количество функций, которые сегодня требуются как от IDM-систем, так и от систем класса IGA, а возможность сбора и формирования текущей ролевой модели существенно ускоряет и упрощает процесс внедрения Ankey IDM в средних предприятиях и в крупных корпорациях.
Достоинства:
Недостатки:
Платформа Ankey IDM должна быть интересна в госсекторе, с учётом серьёзных планов по цифровизации различных систем госуправления, медицинского сектора, госкорпораций и крупных холдинговых структур. В особенности это актуально в рамках импортозамещения и перехода на ПО российских разработчиков.