Единый вход без разрывов: зачем в RooX UIDM объединены SSO и IDM в одной системе

Организация единого входа (Single Sign-On, SSO) — одна из самых востребованных задач при внедрении системы управления доступом. Однако на практике оказывается, что в крупных компаниях функций одной только аутентификации недостаточно для стабильной и безопасной реализации SSO. Важную роль здесь играет IDM-компонент, обеспечивающий достоверность и актуальность информации о пользователях.

В классическом SSO нет инструментов, с помощью которых можно было бы автоматизировать выдачу доступов. В большинстве сценариев без IDM-составляющей система SSO «цепляется» к уже существующим хранилищам пользователей (например, AD).

Такая схема в крупной компании имеет два недостатка:

• много ручного труда администраторов: создать УЗ при найме, приписать к группам, следить за изменением прав при переводах, заблокировать при отпуске или увольнении;

• ошибки вследствие человеческого фактора: забыли дать права, дали слишком мало или слишком много, не забрали в нужный момент и прочее.

Каждое из таких отклонений — потенциальная точка утечки, срыва аудита, простоев сотрудников, сверхнагрузки на ИТ-подразделение, недовольства коллектива.

Поняв, что для управления доступами функций SSO недостаточно, компании задумываются об IDM. Но здесь их подстерегает другая проблема: отдельный IDM почти всегда избыточен. Большинство функций запускаются раз в пятилетку или не настраиваются вовсе. А значит — просто увеличивают сложность и стоимость владения.

Также тяжёлый IDM добавляет бюрократии: появляются новые интерфейсы, роли, шаги согласования. Вместо упрощения процессов — ещё одна система на сопровождении.

Финансовый аспект тоже имеет значение: нужно выделить бюджет не только на закупку лицензий и внедрения IDM, но и на его интеграцию с SSO.

И в итоге — вместо лёгкой автоматизации и надёжного SSO компания получает перегруженную систему, в которой самое важное — оперативный и безопасный доступ — тонет в регламентах.

Мы проанализировали практические кейсы и запросы от крупных компаний. Оказалось, что при решении задачи SSO не нужен весь IDM, но и без следующих ключевых функций далеко не уехать.

• Синхронизация с HR-системами. Нужно отрабатывать кадровые события: автоматически создавать или блокировать учетные записи, выдавать или отзывать права доступа.

• Не только сотрудники. Во многих компаниях к системам получают доступ внешние участники: подрядчики, интеграторы, партнёры, аудиторы. Важно управлять их правами в том же контуре, что и у сотрудников: с учётом срока действия контракта, статуса, зоны ответственности.

• Ролевая модель. Она должна поддерживать статичные роли, автоматическое назначение ролей по оргструктуре, контекстные роли (например, для проектов), ручные исключения.

• Возможность передавать изменения в учетных записях и полномочиях в другие системы: защищаемые приложения или каталог пользователей.

Всеми этими возможностями мы дополнили RooX UIDM, создав в нем модуль IDM.

RooX UIDM синхронизируется с HR-системами и обрабатывает кадровые события, которые влияют на управления доступом. Например, событие «приём нового сотрудника» может запустить следующую цепочку действий: создание учетных записей в RooX UIDM, AD, корпоративной почте и других бизнес-приложениях; назначение стартовых ролей в RooX UIDM; включение в соответствующие группы AD; запуск сценария первого входа (генерация временного пароля, задание постоянного пароля при первом входе).

В RooX UIDM внешние пользователи — такие же полноценные субъекты доступа, как и сотрудники. Система позволяет назначать им роли, ограничивать срок действия прав, автоматически блокировать учётные записи по завершении работ или контракта.

Система RooX UIDM поддерживает как RBAC (Role-Based Access Control), так и ABAC (Attribute-Based Access Control). В ней можно:

• задавать организационные роли (например, «Сотрудник отдела снабжения на площадке А»),

• создавать проектные или временные роли с ограниченным сроком действия,

• назначать прямые полномочия, без объединения роли — для исключений или нестандартных сценариев,

• использовать несколько иерархий ролей параллельно — например, одна иерархия отражает оргструктуру, другая — функциональные или географические особенности (например, предприятие ↔ служба ↔ смена).

В рамках ABAC можно настраивать правила на основе таких атрибутов, как должность, подразделение, проект, локация, дата начала работы, стаж и др. Это особенно важно для предприятий с матричной или холдинговой структурой, где доступ зависит сразу от нескольких факторов.

В RooX UIDM есть сервис, который обеспечивает синхронизацию данных между различными системами в рамках управления доступом и идентификацией пользователей.⁠

В процессе анализа требований мы пришли к выводу, что нет необходимости реализовывать внутри RooX UIDM механизм заявок на выдачу прав. В крупных компаниях уже присутствуют системы согласования, которые используются для других заявок. Чтобы не дублировать эти функции RooX UIDM интегрируется в уже существующие у заказчика системы согласования (Naumen SD, Jira Service Management, 1С ITIL, bpmn-платформы и другие).

Таким образом:

• все заявки ведутся централизованно, в привычной для бизнес-пользователей системе,

• нет необходимости обучать пользователей работе с новым интерфейсом,

• RooX UIDM выполняет автоматическую обработку одобренных заявок и контроль исполнения,

• маршруты согласования остаются под управлением бизнес-логики и ИТ-процессов компании.

• Одна точка управления: управляем аутентификацией, учётными записями и правами доступа в одном интерфейсе.

• Управляемый вход: RooX UIDM не просто позволяет авторизоваться по SSO, но и принимает решение, пускать ли пользователя, на основании его текущего статуса в компании.

• Гибкая маршрутизация: доступ к разным системам может требовать разных факторов — например, SSO в ERP возможен только с усиленной MFA.

• Контроль на выходе: при увольнении RooX UIDM не просто блокирует вход, а отзывает сессии и уведомляет ИБ.

• Аудит и соответствие требованиям: каждый вход логируется, можно в любой момент отследить, кто, куда и когда заходил — и был ли к этому допущен.

И главный результат, которого получилось добиться объединением SSO и IDM в одном продукте — это снижение общей стоимости решения задачи для заказчика.