Согласование заявок в 1IDM: принцип работы и возможности интеграции
В современных организациях управление доступом к информационным ресурсам – критически важный процесс. Ошибки в назначении прав могут привести к утечкам данных, нарушению бизнес-процессов или несоблюдению регуляторных требований. Чтобы минимизировать риски, в 1IDM используется механизм согласования заявок.
Этот механизм выступает фильтром: перед тем как право будет выдано, изменено или отозвано, запрос проходит проверку уполномоченными лицами. Так организация гарантирует, что изменения доступа соответствуют политике безопасности и бизнес-правилам.
Когда требуется согласование?
Согласование применяется для широкого спектра операций с учетными записями и правами:
– запрос новых прав;
– отзыв существующих прав;
– блокировка и разблокировка учетных записей;
– изменение логина и пароля;
– переназначение учетной записи;
– пересмотр (аттестация) прав;
– согласование SOD (Segregation of Duties, разделение обязанностей) и др.
Такой контроль особенно важен в крупных компаниях, где сотни и тысячи сотрудников регулярно запрашивают доступ к информационным системам.
Как настраивается согласование?
Настройка согласования состоит из двух ключевых компонентов:
Маршрут согласования – определяет последовательность шагов и конкретных согласующих.
Выбор маршрута согласования – механизм, который вычисляет подходящий маршрут для каждого согласуемого права в заявке на основе заданных правил.
Порядок выбора маршрута согласования
Система определяет маршрут согласования для каждого согласуемого права в заявке по следующему алгоритму:
Отбор активных правил. Система выбирает все активные правила выбора маршрутов.
Сортировка по приоритету. Отобранные правила упорядочиваются по возрастанию приоритета (правило с меньшим номером приоритетнее).
Последовательная проверка условий. Для каждого правила система оценивает вычисляемое условие в контексте согласуемого права. При проверке учитываются:
любые сведения о сотруднике (риск, дополнительные сведения, должность, подразделение, компания);
запрашиваемое право (тип, уровень доступа, система);
реквизиты объектов (название информационной системы, категория данных);
кадровая информация (руководитель, тип кадровой реакции, статус занятости);
дополнительные атрибуты (обоснование запроса, срочность, срок действия прав).
4. Применение первого подходящего маршрута. Как только находится правило с истинным условием, система выбирает соответствующий маршрут согласования и прекращает дальнейшую проверку.
Пример работы алгоритма:
Предположим, сотрудник запрашивает доступ к финансовой системе. Система последовательно проверяет правила:
Правило 1 (приоритет 2): «Если запрашивается доступ к финансовой системе и сотрудник – бухгалтер → маршрут: руководитель → главный бухгалтер». Условие ложное (сотрудник – аналитик).
Правило 2 (приоритет 3): «Если запрашивается доступ к финансовой системе → маршрут: руководитель → безопасник». Условие истинное → маршрут выбран, проверка прекращается.
Ключевые особенности алгоритма:
– Эффективность. Проверка останавливается после нахождения первого подходящего правила – это снижает нагрузку на систему.
– Гибкость. Приоритеты правил позволяют настраивать бизнес-логику (например, выделить особые маршруты для привилегированных систем).
– Предсказуемость. Результат выбора маршрута всегда однозначен и может быть проаудирован.
– Автоматизация. На любом этапе заявка может быть автоматически согласована или отклонена, если это задано в правиле.
Этот алгоритм обеспечивает точное соответствие маршрута согласования бизнес-правилам организации и минимизирует ручной труд при обработке заявок.
Автоматическое согласование и отклонение заявокСистема поддерживает автоматическое принятие решений по заявкам – без участия человека. Это происходит при выполнении заранее заданных условий.
Примеры автоматического согласования:
– базовые права для новых сотрудников (если они соответствуют типовой роли подразделения);
– разблокировка учетной записи после кратковременной блокировки (при отсутствии подозрительной активности);
– запросы на доступ к общедоступным ресурсам (интранет, корпоративный чат);
– продление стандартных прав на фиксированный период (если не изменились должность и обязанности).
Примеры автоматического отклонения:
– запрос на привилегированный доступ от рядового сотрудника без обоснования;
– конфликт прав (SOD-нарушение): например, запрос на права бухгалтера и аудитора одновременно;
– заявка от уволенного или находящегося в длительном отпуске сотрудника;
– превышение лимитов: запрос на доступ к большему числу систем, чем разрешено политикой безопасности.
Преимущества автоматизации:
– сокращение времени обработки типовых заявок до нескольких секунд;
– снижение нагрузки на согласующих;
– минимизация человеческого фактора (ошибок, субъективных решений);
– соблюдение единых правил для всех пользователей.
В продукте реализовано исключительно последовательное согласование – заявка проходит этапы строго один за другим. Такой подход выбран по следующим причинам:
– Четкое распределение ответственности. На каждом этапе решение принимает один конкретный согласующий (или представитель бизнес-роли), что исключает размывание ответственности.
– Оптимизация нагрузки. Согласующие, стоящие дальше по цепочке, не получают заявку, если она отклонена или автоматически обработана на более раннем этапе.
– Сокращение времени обработки. Минимизируются задержки из-за ожидания ответов от множества участников.
– Упрощение логики обработки. Исключаются конфликты решений (когда одни согласующие одобряют, а другие отклоняют).
– Прозрачность аудита. Легко отследить, кто и на каком этапе принял решение по заявке (или почему она была обработана автоматически).
Эти факторы особенно важны в крупных организациях, где эффективность и прозрачность процессов критически значимы.
Особенности последовательного согласованияПоследовательность согласующих выстраивается по принципу убывания релевантности:
Наиболее релевантный согласующий или согласующий с узкой зоной ответственности (например, непосредственный руководитель) – лучше всего понимает контекст запроса.
Владелец права (например, владелец информационной системы) – оценивает соответствие запроса бизнес-целям.
Контролирующий согласующий (например, специалист по безопасности) – проверяет соблюдение политик безопасности и SOD.
Пример маршрута:
Руководитель сотрудника.
Владелец права.
Специалист по безопасности.
Хотя в системе отсутствует встроенное параллельное согласование, продукт предоставляет инструменты для реализации сложных бизнес-процессов через интеграцию:
- Механизм внешнего согласования:
позволяет проводить согласование во внешней системе (например, документооборот);
результат (одобрение/отклонение) передается обратно в 1IDM;
дает возможность организовать параллельное согласование на уровне корпоративной СЭД, сохранив последовательную логику внутри 1IDM.
предоставляет программный интерфейс для встраивания процессов согласования в корпоративные порталы, чат-боты или другие пользовательские интерфейсы;
позволяет реализовать любую логику согласования (в т. ч. параллельную) на стороне внешнего приложения;
обеспечивает синхронизацию статусов заявок между внешним интерфейсом и 1IDM.
При построении условий выбора маршрута можно использовать:
– язык 1С (для сложных бизнес-правил, включая логику автоматического согласования/отклонения);
– специализированный конструктор (для быстрой настройки типовых сценариев).
Это позволяет гибко адаптировать систему под нужды организации без привлечения разработчиков.
Механизм согласования заявок в 1IDM – это ключевой элемент управления доступом, обеспечивающий баланс между безопасностью и эффективностью. Грамотно настроенный маршрут согласования минимизирует риски ошибок и злоупотреблений и распределяет нагрузку между согласующими, обеспечивая персональную ответственность за решения.
Последовательный подход с учетом релевантности согласующих и возможность интеграции с внешними инструментами делают процесс прозрачным и адаптируемым под реальные бизнес-процессы организации.
В этой части мы рассмотрели механизм выбора маршрута согласования, в следующей рассмотрим сами маршруты.