Согласование заявок в 1IDM: принцип работы и возможности интеграции

Выбор маршрута согласования 1.png

В современных организациях управление доступом к информационным ресурсам – критически важный процесс. Ошибки в назначении прав могут привести к утечкам данных, нарушению бизнес-процессов или несоблюдению регуляторных требований. Чтобы минимизировать риски, в 1IDM используется механизм согласования заявок.

Этот механизм выступает фильтром: перед тем как право будет выдано, изменено или отозвано, запрос проходит проверку уполномоченными лицами. Так организация гарантирует, что изменения доступа соответствуют политике безопасности и бизнес-правилам.

Когда требуется согласование?

Согласование применяется для широкого спектра операций с учетными записями и правами:

– запрос новых прав;
– отзыв существующих прав;
– блокировка и разблокировка учетных записей;
– изменение логина и пароля;
– переназначение учетной записи;
– пересмотр (аттестация) прав;
– согласование SOD (Segregation of Duties, разделение обязанностей) и др.

Такой контроль особенно важен в крупных компаниях, где сотни и тысячи сотрудников регулярно запрашивают доступ к информационным системам.

Как настраивается согласование?

Настройка согласования состоит из двух ключевых компонентов:

  1. Маршрут согласования – определяет последовательность шагов и конкретных согласующих.

  2. Выбор маршрута согласования – механизм, который вычисляет подходящий маршрут для каждого согласуемого права в заявке на основе заданных правил.

Порядок выбора маршрута согласования

Система определяет маршрут согласования для каждого согласуемого права в заявке по следующему алгоритму:

  1. Отбор активных правил. Система выбирает все активные правила выбора маршрутов.

  2. Сортировка по приоритету. Отобранные правила упорядочиваются по возрастанию приоритета (правило с меньшим номером приоритетнее).

  3. Последовательная проверка условий. Для каждого правила система оценивает вычисляемое условие в контексте согласуемого права. При проверке учитываются:

  • любые сведения о сотруднике (риск, дополнительные сведения, должность, подразделение, компания);

  • запрашиваемое право (тип, уровень доступа, система);

  • реквизиты объектов (название информационной системы, категория данных);

  • кадровая информация (руководитель, тип кадровой реакции, статус занятости);

  • дополнительные атрибуты (обоснование запроса, срочность, срок действия прав).

    4.  Применение первого подходящего маршрута. Как только находится правило с истинным условием, система выбирает соответствующий маршрут согласования и прекращает дальнейшую проверку.

Пример работы алгоритма:

Предположим, сотрудник запрашивает доступ к финансовой системе. Система последовательно проверяет правила:

  1. Правило 1 (приоритет 2): «Если запрашивается доступ к финансовой системе и сотрудник – бухгалтер → маршрут: руководитель → главный бухгалтер». Условие ложное (сотрудник – аналитик).

  2. Правило 2 (приоритет 3): «Если запрашивается доступ к финансовой системе → маршрут: руководитель → безопасник». Условие истинное → маршрут выбран, проверка прекращается.


iam-route-selection-algorithm.png


Ключевые особенности алгоритма:

Эффективность. Проверка останавливается после нахождения первого подходящего правила – это снижает нагрузку на систему.

Гибкость. Приоритеты правил позволяют настраивать бизнес-логику (например, выделить особые маршруты для привилегированных систем).

Предсказуемость. Результат выбора маршрута всегда однозначен и может быть проаудирован.

Автоматизация. На любом этапе заявка может быть автоматически согласована или отклонена, если это задано в правиле.

Этот алгоритм обеспечивает точное соответствие маршрута согласования бизнес-правилам организации и минимизирует ручной труд при обработке заявок.

Автоматическое согласование и отклонение заявок

Система поддерживает автоматическое принятие решений по заявкам – без участия человека. Это происходит при выполнении заранее заданных условий.

Примеры автоматического согласования:

– базовые права для новых сотрудников (если они соответствуют типовой роли подразделения);
– разблокировка учетной записи после кратковременной блокировки (при отсутствии подозрительной активности);
– запросы на доступ к общедоступным ресурсам (интранет, корпоративный чат);
– продление стандартных прав на фиксированный период (если не изменились должность и обязанности).

Примеры автоматического отклонения:

– запрос на привилегированный доступ от рядового сотрудника без обоснования;
– конфликт прав (SOD-нарушение): например, запрос на права бухгалтера и аудитора одновременно;
– заявка от уволенного или находящегося в длительном отпуске сотрудника;
– превышение лимитов: запрос на доступ к большему числу систем, чем разрешено политикой безопасности.

Преимущества автоматизации:

– сокращение времени обработки типовых заявок до нескольких секунд;
– снижение нагрузки на согласующих;
– минимизация человеческого фактора (ошибок, субъективных решений);
– соблюдение единых правил для всех пользователей.

Почему в системе нет параллельного согласования?

В продукте реализовано исключительно последовательное согласование – заявка проходит этапы строго один за другим. Такой подход выбран по следующим причинам:

Четкое распределение ответственности. На каждом этапе решение принимает один конкретный согласующий (или представитель бизнес-роли), что исключает размывание ответственности.

Оптимизация нагрузки. Согласующие, стоящие дальше по цепочке, не получают заявку, если она отклонена или автоматически обработана на более раннем этапе.

Сокращение времени обработки. Минимизируются задержки из-за ожидания ответов от множества участников.

Упрощение логики обработки. Исключаются конфликты решений (когда одни согласующие одобряют, а другие отклоняют).

Прозрачность аудита. Легко отследить, кто и на каком этапе принял решение по заявке (или почему она была обработана автоматически).

Эти факторы особенно важны в крупных организациях, где эффективность и прозрачность процессов критически значимы.

Особенности последовательного согласования

Последовательность согласующих выстраивается по принципу убывания релевантности:

  1. Наиболее релевантный согласующий или согласующий с узкой зоной ответственности (например, непосредственный руководитель) – лучше всего понимает контекст запроса.

  2. Владелец права (например, владелец информационной системы) – оценивает соответствие запроса бизнес-целям.

  3. Контролирующий согласующий (например, специалист по безопасности) – проверяет соблюдение политик безопасности и SOD.

Пример маршрута:

  1. Руководитель сотрудника.

  2. Владелец права.

  3. Специалист по безопасности.

Возможности для реализации альтернативных сценариев

Хотя в системе отсутствует встроенное параллельное согласование, продукт предоставляет инструменты для реализации сложных бизнес-процессов через интеграцию:

  1. Механизм внешнего согласования:

  • позволяет проводить согласование во внешней системе (например, документооборот);

  • результат (одобрение/отклонение) передается обратно в 1IDM;

  • дает возможность организовать параллельное согласование на уровне корпоративной СЭД, сохранив последовательную логику внутри 1IDM.

     2.  API Self Service:
  • предоставляет программный интерфейс для встраивания процессов согласования в корпоративные порталы, чат-боты или другие пользовательские интерфейсы;

  • позволяет реализовать любую логику согласования (в т. ч. параллельную) на стороне внешнего приложения;

  • обеспечивает синхронизацию статусов заявок между внешним интерфейсом и 1IDM.

Инструменты настройки условий

При построении условий выбора маршрута можно использовать:

– язык 1С (для сложных бизнес-правил, включая логику автоматического согласования/отклонения);
– специализированный конструктор (для быстрой настройки типовых сценариев).

Это позволяет гибко адаптировать систему под нужды организации без привлечения разработчиков.

Механизм согласования заявок в 1IDM – это ключевой элемент управления доступом, обеспечивающий баланс между безопасностью и эффективностью. Грамотно настроенный маршрут согласования минимизирует риски ошибок и злоупотреблений и распределяет нагрузку между согласующими, обеспечивая персональную ответственность за решения.

Последовательный подход с учетом релевантности согласующих и возможность интеграции с внешними инструментами делают процесс прозрачным и адаптируемым под реальные бизнес-процессы организации.

В этой части мы рассмотрели механизм выбора маршрута согласования, в следующей рассмотрим сами маршруты.

Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Мы используем файлы Cookie для улучшения работы, персонализации и повышения удобства пользования нашим сайтом. Продолжая посещать сайт, вы соглашаетесь на использование нами файлов Cookie. Подробнее о нашей политике в отношении Cookie.
Понятно Подробнее
Cookies