Релиз 2.0.7.1: обновленный интерфейс, SoD-конфликты, привилегированные права

Список изменений в новом релизе IDM.Управление учетными данными — версия 2.0.7.1

1.  Интерфейс и подсистемы

  1. Основные разделы программы переделаны и команды сгруппированы по их логической принадлежности с учетом разделения тематических областей:

  «Главное» — собраны команды по администрированию системы и работе с напоминаниями;

  «Система» — собраны все основные настройки и отчёты по работе системы;

 «Предприятие» — собрана информация по сотрудникам и организационно-штатной структуре компании;

 «Ролевая модель» — раздел предназначен для работы с настройками и анализом ролевой модели предприятия;

  «Учетные данные» — отражены основные функции и отчеты по учетным записям и правам;

  «Администрирование» — в разделе производится настройка работы системы, регламентных заданий, обслуживание и т.д.

Рисунок 1 — Новый раздел «Система»

  1. Для отчетов добавлен новый макет оформления «Оформление IDM». Все отчеты переключены на новый макет.
  2. Некоторые формы объектов изменены с учетом общей стилистики.

2.  Коннектор 1С:Предприятие

Для масштабирования синхронных и асинхронных обменов добавлен переопределяемый модуль«idmОбменПоТипамПодключенийСерверПереопределяемый», который позволяет самостоятельно разрабатывать интеграцию коннектора 1С:Предприятие с целевыми системами или шинами.

Для реализации взаимодействия доступны функции и процедуры модуля:

  «ДополнитьМассивАсинхронныхТиповОбмена» — Используется при необходимости добавить новые элементы массива из перечисления «idmТипыОбменаПоПрофилямПодключений»

  «ДополнитьПараметрыПодключения» — Вызывается перед отправкой сообщений

  «ВыполнитьЗапросКПриложениюАсинхронно» — Реализует логику отправки запроса к приложению в асинхронном режиме

  «ВыполнитьЗапросКПриложениюСинхронно» — Реализует логику отправки запроса к приложению всинхронном режиме. Функция должна вернуть структурированный ответ или «Ложь»

«ПолучитьДанныеСообщенияПоВходящемуИдентификатору» — Функция должна возвращать данные сообщения по идентификатору системы

  «ОбновитьДанныеСообщения» — Обновляет данные отправленного/полученного сообщения

  «ОбработатьОтветОтПриложенияНаАсинхронныйЗапрос» — Реализует логику обработки ответа от приложения на запрос в асинхронном режиме

  «ВыполнитьЗапросОжидаемыхСообщений» — Функция должна вернуть «Неопределено» или результат запроса.

3.  Первичная загрузка данных из приложений

Для всех коннекторов функции первичной загрузки данных перенесены в конфигурацию и вызываются непосредственно из интерфейса через команду «Загруженные данные приложений» на вкладке «Первичная загрузка».

Рисунок 2 — Первичная загрузка данных

Далее шаги загрузки происходят согласно инструкции — для каждого коннектора свои.

4.  Настройка ролевой модели

В раздел «Ролевая модель» добавлен новый документ «Настройка ролевой модели». Документ предназначен для отражения изменений в ролевой модели как на добавление новых правил, так и на исключение. В дальнейшем каждый документ может проходить согласование до фактического применения.

Рисунок 3 — Список документов «Настройки ролевой модели»

В форме документа необходимо отразить изменения в ролевой модели на вкладке «Изменения прав», где каждая строка является операцией с видом «Добавить право» или «Отменить право».

Измерениями ролевой модели являются:

  • «Подразделение»
  • «Должность»
  • «Организация» 
  • «Тип сотрудника» (Внешний / Внутренний) 
  • «Вид занятости».

Дополнительными измерениями могут быть «Ключ ролевой модели», «Должность в приложении» и«Подразделение в приложении». Для отражения нового права в ролевой модели измерения заполняются опционально, либо могут быть не заполнены вовсе.

Рисунок 4 — Форма документа «Настройки ролевой модели»

Команда «Подбор» в табличной части «Изменения прав» позволяет заполнить таблицу по введенным ранееданным для последующей корректировки. В форме подбора можно отфильтровать права ролевой модели по всем измерениям, затем перенести их в документ.

Рисунок 5 — Заполнение табличной части «Изменение прав» с помощью подбора


Команда «Заполнить по текущим правам» позволяет заполнить таблицу «Изменения прав» по данным действующих прав сотрудников предприятия. По кнопке «Заполнить» происходит анализ текущих выданныхправ сотрудникам в разрезе организаций, подразделений, должностей и заполнение дерева прав.

Рисунок 6 — Заполнение ролевой модели по текущим выданным правам

После заполнения дерева автоматически устанавливаются флажки по совпадению найденных прав сколичеством сотрудников (это означает, что у всех сотрудников с одинаковой должностью есть данное право), дляостальных случаев ставится флажок «Дополнительное полномочие».

На вкладе «Настройки» появились возможности не учитывать в анализе организации и подразделения, а также заполнять только по определенным приложениям.

Рисунок 7 — Настройки анализа текущих прав сотрудника для заполнения

По кнопке «Перенести в документ» будут переноситься только отмеченные флажками строки из дерева прав.

5.  Привилегированные права и учетные записи

Для справочников «Учетные записи» и всех групп доступа приложений добавлены признакипривилегированности.

  1. Для справочников групп доступа приложений признак устанавливается и снимается вручную. Это возможно сделать как из загруженных данных приложения на соответствующих вкладках, так и через команду «Ролевая модель» → «Управление привилегированными правами».

Рисунок 8 — Управление привилегированными правами

  1. Для справочника «Учетные записи» признак привилегированности рассчитывается автоматически исходя из наличия привилегированных прав у учетной записи или может быть установлен вручную непосредственно в форме учетной записи справочника. При этом факт ручной установки фиксируется и отображается отдельно.

Рисунок 9 — Привилегированность учетной записи

6.  Документ «Настройка SoD-рисков»

Добавлен новый документ, который предназначен для учета рисков, возникающих при присвоении одному сотруднику полномочий в одной или нескольких системах, позволяющих ему совершать критические действия. Документ доступен из раздела «Ролевая модель» → «Настройка SoD-рисков».

Рисунок 10 — Список документов «Настройка SoD-рисков»

На вкладке «Правила» нужно добавить строки, выбрать «Вид операции» и в колонках «Право» и «Конфликтующие право» установить конфликтующие права, после чего можно провести документ.

Рисунок 11 — Форма документа «Настройка SoD-рисков»

7.  Отчет «Матрица SoD-рисков»

Добавлен новый отчет, который отражает список конфликтных ролей на указанную дату в матричном виде. Также возможны отборы по приложению и по праву. Отчет доступен из подсистемы «Ролевая модель» → «Матрица SoD-рисков».

  •   Группировками в отчете выступают приложения.
  •  В строке или колонке группировки выводятся итоги по количеству рисков с правами в других приложениях.
  •  Ячейки с серым фоном — это пересечение одинаковых прав, конфликт которых невозможен.
  •  Ячейки с красным фоном — это конфликтные права.

Рисунок 12 — Отчет «Матрица SoD-рисков»

8.  Отчет «Матрица SoD-конфликтов»

Добавлен новый отчет, который отражает список нарушений правил по конфликтным правам сотрудниками на текущую дату в матричном виде. Также возможны отборы по приложению и праву. Отчет доступен из раздела «Учетные данные» → «Матрица SoD- конфликтов».

  • Группировками в отчете выступают приложения.
  • В строке или колонке группировки выводятся итоги по количеству обнаруженных конфликтов у сотрудников по пересекающимся правам.
  • Ячейки с серым фоном — это пересечение одинаковых прав, конфликт которых невозможен.
  • Ячейки с красным фоном — это конфликтные права. Вместе с цифрой в ячейке отражает количествосотрудников, у которых обнаружен конфликт.
  • Ячейки с количеством конфликтов можно расшифровать двойным нажатием, при этом выведется список сотрудников.

Рисунок 13 — Отчет «Матрица SoD-конфликтов»

9.  Отчет «Матрица доступа»

Отчёт переоформлен: группировка колонок теперь вертикальная, а статусы на пересечениях отображаются не в текстовом формате.

Рисунок 14 — Отчет «Матрица доступа»

10.   Отчет «Права сотрудников»

Изменено оформление отчета, а также структура колонок и отображение статусов учетных записей. Учтены привилегированные учетные записи и права.

Рисунок 15 — Отчет «Права сотрудников»

11.  Отчет «Анализ прав сотрудников по ролевой модели»

Добавлен новый отчет, который предназначен для выявления расхождений между действующими правамисотрудников по учетным записям с ролевой моделью в IDM. Отчет доступен из раздела «Учетные данные» →«Анализ прав сотрудников по ролевой модели».

Фильтр и колонка «Статус права» отвечает за характер соответствия ролевой модели на дату отчета и имеетследующие значения:

  • «Легальное» — право для указанного сотрудника соответствует ролевой модели.
  • «Непредусмотренное» — право отсутствует в ролевой модели для указанных измерений.
  • «Недостающее» — право должно быть у сотрудника согласно ролевой модели.

Рисунок 16 — Отчет «Анализ прав сотрудников по ролевой модели»

12.   Вариант отчета «Сотрудники с привилегированными правами»

Для отчета «Права сотрудников» добавлен новый предопределенный вариант отчета

«Сотрудники с привилегированными правами» отражающий в существующей иерархии учетные записи с признаком «Привилегированная» и права учетных записей, которые имеют признак «Привилегированное право».

Рисунок 17 — Вариант отчета «Сотрудники с привилегированными правами»

13.   Исправление ранее выявленных ошибок и прочие доработки

  1. Исправлены ошибки в модулях обмена с 1С:Предприятие.
  2. Добавлена поддержка атрибута «OpenID connect» для новых версий платформ и совместимости со старыми.
  3. Исправлена ошибка с коннектором IDM для управления ролями.
  4. Добавлены исправления с кадровыми событиями для случаев, когда ролевая модель отсутствует в IDM.