Мы уже не раз отмечали, какое значение имеют системы централизованного управления идентификацией и доступом корпоративных пользователей для современных компаний, а также приводили мнения разработчиков и корпоративных пользователей по поводу эффективности и места этих систем в общей ИТ-инфраструктуре компаний (см. PC Week/RE, № 24-25/2007).
К необходимости внедрения такой системы пришли и в компании “Аэрофлот — Российские авиалинии” — крупнейшем отечественном авиаперевозчике. ИТ-инфраструктура этой компании представляет собой территориально распределенную информационно-технологическую систему с широким спектром прикладных решений и большим парком оборудования и базового ПО. Состав АСУ “Аэрофлота”, взаимосвязи между подсистемами, автоматизирующими отдельные бизнес-процессы, определяются задачами управления бизнесом. Планы развития предусматривают как автоматизацию отдельных бизнес-процессов, так и интеграцию отвечающих за их поддержку систем в единый комплекс автоматизированного управления предприятием. Из интеграции АСУ как раз и вытекает одна из частных, но очень важных в контексте процессов консолидации задач — построение системы централизованного управления идентификацией и доступом.
Прототип системы централизованного управления идентификацией и доступом в “Аэрофлоте”
К началу построения прототипа системы централизованного управления идентификацией и доступом для управления идентификационными данными использовались средства Microsoft Identity Integration Server (MIIS), в которые информация о сотрудниках поступала из кадрового модуля системы “Аккорд” (HR), а права доступа к ресурсам назначались через Microsoft Active Directory. Однако в силу своих особенностей MIIS обслуживал не все системы: было сложно написать для них коннекторы, а логика работы этого сервера на уровне “да/нет” не позволяла задавать политику доступа. Поэтому интеграция процессов идентификации для более широкого круга систем под его “зонтиком” (в частности, ПО, действующего на основе СУБД Oracle) оказалась невозможной. Это затрудняло повышение надежности процесса идентификации и упрощение управления ею. Стало очевидно, что “Аэрофлоту” требуется иной, более универсальный продукт для решения задач управления идентификацией и доступом (УИД).
“Аэрофлот — Российские авиалинии” — один из старейших авиаперевозчиков мира. Компания ежегодно обслуживает более 7 млн. человек, а вместе с “дочками” — около 9 млн., что составляет почти четвертую часть от общего числа пассажиров, пользующихся гражданским российским воздушным транспортом. Сегодня в “Аэрофлоте” работает около 14,5 тыс. служащих.
Компания приступила к разработке прототипа системы централизованного управления идентификацией и доступом, предназначенного для создания единого хранилища учетных записей пользователей, синхронизации этих данных с существующей системой УИД, действующей на основе Microsoft Active Directory, и организации рабочего места администратора, что в результате должно было обеспечить централизованное управление идентификационными данными и предоставлением прав доступа к ресурсам корпоративной сети.
К реализации проекта привлекли компанию R-Style, которой удалось убедить заказчика в преимуществах и хорошем знании особенностей предложенного в качестве платформы новой системы интегрированного набора Oracle Identity & Access Management Suite (Oracle IAMS). Одним из его компонентов является Oracle Identity Manager — продукт, предназначенный для управления идентификационными данными пользователей в LDAP-каталогах, базах данных и т. д.
Выбор интегратора был одобрен, поскольку продукты Oracle применялись в “Аэрофлоте” ещё до старта проекта и хорошо себя зарекомендовали, а функциональность Oracle IAMS, как пояснил Андрей Федоров, заместитель начальника службы эксплуатации прикладного ПО департамента информационных технологий “Аэрофлота”, позволяла решить ключевые задачи проекта:
- автоматизацию управления (предоставление/блокировка/удаление) доступом сотрудников к информационным ресурсам компании с учетом их статуса в кадровом модуле информационной системы “Аккорд” (HR) и бизнес-ролей;
- регистрацию и хранение данных об уровне доступа сотрудников к информационным ресурсам и о наборе доступных ресурсов;
- сбережение инвестиций заказчика за счет интеграционных возможностей этих продуктов, позволяющих максимально использовать уже имеющиеся у него средства контроля и регистрации доступа;
- поддержку масштабируемости, т. е. возможность подключения управляемых прикладных систем и изменения пользовательских Web-интерфейсов с помощью стандартных средств.
Ко времени старта проекта Oracle IAMS был на российском рынке продуктом новым. Но в R-Style уже были специалисты, прошедшие соответствующее обучение за рубежом. На своем демостенде они показали представителям “Аэрофлота” работу IAMS, продемонстрировав при этом понимание проблем заказчика и возможные варианты их решения. Александр Ланин, заместитель начальника управления реализации проектов R-Style, рассказал, что на стартовых этапах проекта в регистрации и управлении доступом к информационным ресурсам “Аэрофлота” были выделены ключевые задачи, подлежащие решению в первую очередь. Так, заявки, поступающие от системы HP OpenView Service Desk на изменение доступа, и составление отчетности об их выполнении обрабатывались вручную, без автоматического учета изменения статуса пользователей в системе кадрового учета, что усложняло процесс управления. Данные, отражающие историю изменений доступа пользователей к ресурсам и уровней доступа, не сохранялись, а это вызывало сложности с регистрацией, заставляя поддерживать бумажный документооборот для учета и хранения историй наборов доступных ресурсов. Всякое появление новых ресурсов и типов ролей пользователей требовало дополнительной разработки ПО в рамках HP OpenView Service Desk, что затрудняло масштабирование системы.
Реализация проекта
При выборе систем, подходящих для интеграции с прототипом системы централизованного управления идентификацией и доступом, специалисты “Аэрофлота” исходили из числа зарегистрированных в каждой из них пользователей (чем больше, тем лучше) и применения в системе самых распространенных в ИТ-инфраструктуре “Аэрофлота” программно-аппаратных средств (чем более типичным был набор используемых в системе средств, тем лучше она подходила для пилотного внедрения). В результате были выбраны системы “Контроль обслуживания воздушных судов на перроне” (КОВСНП) и “Система автоматизации службы сборов” (САСС), к которым затем были созданы коннекторы для взаимодействия с OIM (что по заявлению разработчиков из R-Style сделать было гораздо проще, чем запрограммировать коннекторы к другим аналогичным промышленным продуктам).
Большой территориально распределенной компании нужна централизованная система управления идентификацией и доступом.
Проект построения прототипа системы централизованного управления идентификацией и доступом был рассчитан на 10 недель. Фактический срок из-за наложения графика на период отпусков в “Аэрофлоте” на три недели превысил плановый. От заказчика и исполнителя к работам были привлечены четыре человека: куратор и руководитель проекта, инженер, а также специалист, имеющий квалификацию Oracle Certified Professional.
Александр Ланин отметил, что внедрение интегрированного набора продуктов OIM было затруднено из-за его новизны на российском рынке, отечественные корпоративные пользователи не имели достаточно сведений о его возможностях. Поэтому от R-Style потребовались дополнительные усилия, чтобы обеспечить специалистов “Аэрофлота” всей необходимой информацией о нем. В частности, было организовано ознакомительное обучение по этому продукту, позволившее ускорить интеграцию выбранных систем с прототипом системы централизованного управления идентификацией и доступом. Каждую неделю на протяжении всего проекта проводились совещания между специалистами R-Style и “Аэрофлота”, на которых обсуждались итоги проделанной работы, принимались отчеты об исполнении и т. п.
Результаты и выводы
Внедрение интегрированного набора продуктов OIM, по оценкам Александра Ланина, позволило “Аэрофлоту” консолидировать средства контроля доступа и аудита для реализации полномасштабной политики информационной безопасности для всех подсистем компании, а также автоматизировать процесс регистрации учетных записей о приёме, увольнении и перемещениях сотрудников в другие подразделения или об изменении прав их доступа. Таким образом, был создан единый источник унифицированной информации о сотрудниках и уменьшилось количество рутинных операций при сопровождении информационных подсистем.
Как отметил Андрей Федоров, внедрение прототипа системы централизованного управления идентификацией и доступом обеспечило согласованное управление доступом в соответствии с должностными обязанностями на базе интеграции прототипа с HR-системой. В результате время предоставления необходимых полномочий сократилось до нескольких минут, в то время как раньше для этого в каждую целевую систему нужно было входить отдельно, на что уходило не менее часа. Поддержка централизованного управления идентификацией и доступом к используемым платформам и бизнес-приложениям и простота интеграции его функционала с развернутыми у заказчика приложениями на основе специального инструментария Oracle Adapter Factory позволила сократить затраты на интеграцию приложений в единую систему управления безопасностью и сохранить инвестиции в ИТ-инфраструктуру. Контроль соблюдения политики безопасности с использованием гибких средств аудита и отчетности снизил риски и обеспечил слежение за соответствием требованиям руководящих внутренних документов в области информационной защиты.
По отзывам представителей руководства “Аэрофлота”, построение прототипа системы централизованного управления идентификацией и доступом заложило в компании хорошую платформу для управления учетными записями, а развитие системы позволит скоординировать администрирование доступа в едином центре, снизить затраты на управление, повысить эффективность администрирования учетных записей, улучшить безопасность.
План дальнейшего развития проекта
В ходе развития проекта предполагается расширить систему централизованного управления идентификацией и доступом на всю АСУ компании “Аэрофлот”. Для этого предлагаются следующие шаги по организации единой службы управления учетными записями.
Сначала — интегрировать все системы, используя возможности продукта OIM. Учитывая масштаб, распределенность и сложность структуры АСУ “Аэрофлота”, целесообразно связать OIM с автоматизированными системами, предварительно логически объединив их в несколько групп. Критерии объединения могут быть разными — например, по территориальному принципу. Затем в компании намерены объединить на основе OIM новую систему с существующей системой управления учетными записями, использующей Microsoft Active Directory и MIIS.
Такая последовательность действий обеспечит наиболее эффективное построение единой службы управления учетными записями. На первом этапе обе системы, MIIS и система централизованного управления идентификацией и доступом, будут работать параллельно, что позволит независимо друг от друга расширять их, а также минимизировать возможные риски, связанные с потерей работоспособности.
В результате полномасштабного развертывания системы централизованного управления идентификацией и доступом специалисты “Аэрофлота” получат возможность с десятков минут до минут ускорить предоставление сотрудникам доступа к информационным ресурсам в соответствии с их функциональными обязанностями, укрепить централизацию управления ИТ-инфраструктурой, обеспечить базу масштабирования системы управления безопасностью при увеличении масштабов бизнеса.
В дальнейшем также предполагается построение системы управления доступом к ресурсам корпоративной сети и организация единой точки доступа (Single Sign-On, SSO) на основе Oracle Enterprise SSO и входящего в состав Oracle IAMS продукта Oracle Access Manager.