Те, кто уже пробовал выбрать для себя подходящее решение IdM, знают, что это не так просто, как кажется на первый взгляд. Если смотреть в целом, все системы IdM имеют примерно одинаковый набор функций – один и тот же «ролевой образец», «модули интеграции» и «одобрение приложений».
Однако при более внимательном рассмотрении решений IdM обнаруживается большое количество деталей, которые, если их не учитывать, могут серьезно испортить жизнь будущим пользователям.
Например, не все решения IdM умеют группировать (склеивать) заявки по утверждающим лицам.
А это чревато возникновением таких ситуаций, когда на 10 сотрудников запрашивается, скажем, 10 ролей, у которых один единственный владелец, а последний вместо одной заявки получает 100 — по одной запрошенной роли на каждого сотрудника.
И его работа, которую, казалось бы, следует упростить с внедрением IdM, превращается в сущий ад. Опыт показывает, что для того, чтобы хорошо разбираться в таких деталях функционирования систем IdM, необходимо реализовать хотя бы одну из них.
Редко когда поставщик скажет, что его продукт чего-то не может. А самостоятельное изучение всех нюансов требует огромного количества времени и сил.
И пилотные проекты не всегда помогают в этом вопросе, поскольку допускают множество упрощений, затрудняющих оценку работы системы в реальных условиях.
Поэтому, стремясь облегчить жизнь тем людям, которые столкнулись с проблемой выбора системы IdM, мы подготовили функциональное сравнение ряда решений IdM. Мы не ставили перед собой задачу охватить всех вендоров, представленных на российском рынке, и рассмотрели только наиболее репрезентативных из них.
А именно: Oracle, IBM и Microsoft — это решения, которые существуют на нашем рынке более 7 лет, имеют свою аудиторию и составляют основную часть всех внедрений.
И чтобы показать, куда движутся технологии IdM, SailPoint — новое решение на нашем рынке, получившее самые высокие оценки западных аналитиков.
Критерии сравнения взяты из реальных проектов.
Мы собрали данные о 20 проектах внедрения IdM в российских компаниях и выявили все основные функциональные требования, которые встречались в этих проектах.
Количество компаний, включенных в выборку, колеблется от 1500 до 70 000 сотрудников.
На нем представлены как местные московские компании, так и компании, географически распределенные по всей России.
Хотелось бы подчеркнуть, что при выборе решения IdM не следует учитывать только его функциональность.
Есть много других критериев, которые будут более или менее важны для конкретной компании.
Например, опыт внедрения, наличие локальной поддержки, возможность построить несколько решений на платформе одного поставщика, доверие к вендору.
Однако я надеюсь, что такое функциональное сравнение решений IdM позволит людям более осознанно подойти к выбору платформы, сформировать адекватные ожидания и, в конечном итоге, получить от выбранного решения именно то, что им нужно.
Для удобства сравнительная таблица представлена несколькими спойлерами: Функции управления правами
| Функции | Диспетчер идентификации Oracle 11R2 | IBM Tivoli Identity Manager 6 | Диспетчер удостоверений Microsoft Forefront 2010 | SailPoint IdentityIQ 6.2 |
|---|---|---|---|---|
| Ручной ввод данных о сотрудниках в IdM | Есть | Есть | Есть | Есть |
| Управление доступом на основе ролей | Есть | Есть | Нет | Есть |
| Поддержка иерархии ролей | Есть | Есть | Нет | Есть |
| Процессы управления ролями (создание, утверждение, изменение, удаление) | Частично (согласование в отдельном продукте) | Есть | Нет | Есть |
| Управление конфликтами SoD | Есть | Есть | Нет | Есть |
| Аттестация (пересмотр прав доступа) | Есть | Есть | Нет | Есть |
| Мониторинг изменений в системе в обход IdM | Да (через отчеты) | Есть | Нет | Есть |
| Мониторинг активности пользователей в целевых системах | Нет | Нет | Нет | Есть |
| Контроль рисков прав доступа пользователей | Есть | Нет | Нет | Есть |
| Поддержка нескольких учетных записей сотрудника в одной системе.
|
Есть | Есть | Есть | Есть |
| Управление учетными записями служб | Есть | Есть | Нет | Есть |
| Ограничение доступа к функциям IdM (настройка функциональных ролей) | Есть | Есть | Есть | Есть |
| Определение объема прав/ролей (кто и что может запрашивать) | Есть | Есть | Нет | Есть |
| Разграничение видимости форм интерфейса и их полей | Есть | Есть | Нет | Есть |
| Динамический расчет значений полей в формах интерфейса | Есть | Нет | Нет | Есть |
| Сброс пароля для секретных вопросов | Есть | Есть | Есть | Есть |
| Сброс пароля при входе в Windows | Нет (в отдельном продукте) | Нет | Есть | Есть |
| Функции | Диспетчер идентификации Oracle 11R2 | IBM Tivoli Identity Manager 6 | Диспетчер удостоверений Microsoft Forefront 2010 | SailPoint IdentityIQ 6.2 |
|---|---|---|---|---|
| Создание запросов на дополнительные права | Есть | Есть | Нет | Есть |
| Запросить права на время | Нет | Нет | Нет | Есть |
| Запрос прав «как у другого сотрудника» | Нет | Нет | Нет | Есть |
| Запрос прав с использованием заранее настроенного шаблона приложения | Есть | Нет | Нет | Нет |
| Запросите несколько сотрудников на несколько ролей в одном запросе | Есть | Нет | Нет | Есть |
| Согласование заявок | Есть | Есть | Есть | Есть |
| Утверждение некоторых ролей, запрошенных в заявке | Нет | Нет | Нет | Есть |
| Массовое одобрение заявок | Есть | Нет | Нет | Нет |
| Возможность разбить заявку на составные части для отдельного согласования и собрать их в одно приложение.
|
Нет | Нет | Нет | Есть |
| Ээлектронная цифровая подпись заявок | Нет | Нет | Нет | Есть |
| Делегирование полномочий по утверждению заявок на отпуск | Есть | Есть | Нет | Есть |
| Уведомления по электронной почте | Есть | Есть | Есть | Есть |
| Назначение ордеров на исполнение вручную | Есть | Есть | Нет | Есть |
| Функции | Диспетчер идентификации Oracle 11R2 | IBM Tivoli Identity Manager 6 | Диспетчер удостоверений Microsoft Forefront 2010 | SailPoint IdentityIQ 6.2 |
|---|---|---|---|---|
| Создание отчетов | Есть | Есть | Нет | Есть |
| Отчет о состоянии прав на конкретную дату в прошлом | Есть | Нет | Нет | Есть |
| Использование гистограмм и графиков в отчетах | Есть | Есть | Нет | Есть |
| Функции | Диспетчер идентификации Oracle 11R2 | IBM Tivoli Identity Manager 6 | Диспетчер удостоверений Microsoft Forefront 2010 | SailPoint IdentityIQ 6.2 |
|---|---|---|---|---|
| Дизайнер отчетов | Есть | Есть | Нет | Есть |
| Изменение формы карточки сотрудника | Есть | Есть | Есть | Есть |
| Изменение формы заявления | Есть | Нет | Нет | Нет |
| Добавление собственных сущностей и форм | Есть | Есть | Нет | Есть |
| Пользовательский макет интерфейса | Есть | Нет | Нет | Есть |
| Ролевые инструменты майнинга | Нет (в отдельном продукте) | Есть | Нет | Есть |
Отсутствие определенного функционала не означает, что его нельзя улучшить.
Практически любую систему IdM можно модифицировать для реализации необходимого функционала, но надо понимать, что в этом случае почти всегда теряется возможность установки обновлений продукта (без потери развитого функционала).
В опросе могут участвовать только зарегистрированные пользователи.
Войти , Пожалуйста.
Знаете ли вы, для чего предназначены системы IdM? 70,37% да 38 29,63% нет 16 Проголосовали 54 пользователя.
8 пользователей воздержались.
В опросе могут участвовать только зарегистрированные пользователи.
Войти , Пожалуйста.
Понимаете ли вы потенциальные преимущества использования IdM? 63,27% да 31 36,73% нет 18 Проголосовали 49 пользователей.
12 пользователей воздержались.
В опросе могут участвовать только зарегистрированные пользователи.
Войти , Пожалуйста.
Сталкивались ли вы когда-нибудь с проблемой выбора решения IdM? 33,93% да 19 66,07% нет 37 Проголосовали 56 пользователей.
7 пользователей воздержались.
Теги: #информационная безопасность #управление идентификацией #idm #управление правами доступа
-
Экшн-Флэш-Игры, Похоже, Делают Детей Умнее
19 Oct, 24 -
Любительское Кв Радио, Часть 1 - Наблюдатель
19 Oct, 24 -
Еженедельный Геймдев: #61 — 13 Марта 2022 Г.
19 Oct, 24 -
6 Функций, Которые Нужны Интернет-Аптеке
19 Oct, 24 -
Автотест Для Php
19 Oct, 24
