Крупное промышленное
предприятие

Клиент

Крупное промышленное предприятие,
научно-производственный холдинг

Сегмент

Сроки реализации

Отрасль

Продукты

Авиастроение

2021-2023 гг.

Производство

Автоматизация управления доступом и жизненным циклом УЗ

Избавить квалифицированный персонал от рутинных операций по управлению УЗ, при этом
отказаться от устаревшей ИТ-системы, которая использовалась для автоматизации отдельных задач управления УЗ.

В 2021 г. развернуть систему Avanpost IDM, интегрировать кадровый источник и реализовать
процессы управления доступом для основных систем (Active Directory, Exchange и др.) в продуктивном контуре.

В 2022—2023 годах реализовать управление УЗ в прикладных системах Заказчика (Система
автоматизированного проектирования, Электронный архив и др.).

User Administration
and Provisioning

Комплаенс и автоматизация процессов управления рисками

Identity and Access
Governance

Минимизировать риски, связанные
с управлением полномочиями
доступа, исключив влияние
человеческого фактора
и организовав контроль нелегитимно выданных доступов.

Укрепить имидж организации
в составе холдинга как реализующей современные практики в области
информационной безопасности.

Проектная команда Аванпоста

Все работы выполнены командой,
состоящей из 5 человек.

Насыщенный ИТ-ландшафт

Кадровый источник на базе 1С,
значительное количество ИС в контуре
управления, в т. ч.: различные конфигурации 1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика, производственные ИС).

Период 2021 — 2023 г.

Система IDM запущена в эксплуатацию в 2021 г., в 2022—2023 годах выполнено расширение функционала и охвата проекта,
на данный момент внедренная система находится на поддержке Аванпост.

2024 год

Реализуется доработка системы,
направленная на организацию массового управления паролями.

Более 20 000 пользователей

Проектная команда Аванпоста

Насыщенный ИТ-ландшафт

Период 2021 — 2023 г.

2024 год

Более 20 000 пользователей

Насыщенный ИТ-ландшафт

Рост высококвалифицированного и дорогостоящего штата

Все работы выполнены командой,
состоящей из 5 человек.

Кадровый источник на базе 1С,
значительное количество ИС в контуре управления, в т. ч.: различные конфигурации 1С, Active Directory и Exchange, LDAP-каталог,
ИС собственной разработки Заказчика, производственные ИС).

Невозможность делегирования полномочий без нарушения политик ИБ

Делегировать привилегированные
полномочия Операторам службы
сервис-деск без нарушения политик
ИБ не представлялось возможным.

Человеческий фактор и сбои
в работе систем

Пилотный некоммерческий проект

Познакомил Заказчика
с возможностями Avanpost IDM,
убедил, что продукт пригоден к работе в инфраструктуре конкретного предприятия, помог разработать требования к промышленному внедрению.

Насыщенный ИТ-ландшафт

Проектная команда Аванпоста

Насыщенный ИТ-ландшафт

Период 2021 — 2023 г.

2024 год

Более 20 000 пользователей

Доверенный источник данных

Кадровая информация (справочники
сотрудников, должностей,
организационной структуры)
загружается из 1С «Зарплата
и управление персоналом».
Взаимодействие серверных
компонентов IDM с кадровой системой реализовано посредством
интерфейсного модуля (управляющего коннектора).

Интеграция с ИС

Над которыми осуществляется
управляющее взаимодействие:
реализовано централизованное
управление учетными записями
в семи информационных системах Заказчика;

MS Active Direсtory – применен
готовый коннектор, из числа
поставляемых с продуктом;

MS Exchange – стандартные
коннекторы адаптированы под особенности использования данной ИС Заказчиком;

1С «Зарплата и управление
персоналом» - стандартные
коннекторы адаптированы под особенности внедрения данной ИС Заказчиком;

1С «Документооборот» –
стандартные коннекторы
адаптированы под особенности
внедрения данной ИС Заказчиком;

Электронный архив – коннектор
разработан с нуля;

Система автоматизированного
проектирования (САПР) – коннектор разработан с нуля;

Фреймворк, являющийся средой
запуска для нескольких десятков
бизнес - приложений (собственная разработка Заказчиком) – коннектор разработан с нуля, произведена доработка API.

Аутентификация пользователей

Реализована через удобную
административную консоль.

Элементы бизнес-логики

Реализация схем кадровых бизнес-
процессов, заявок, шаблонов почтовых уведомлений, шаблонов учетных записей, исчерпывающих набор
отчетов. Полностью автоматизирован процесс управления полномочиями доступа работников предприятия Заказчика реализована через удобную административную консоль.

Проектные решения

В рамках автоматизации процессов
сокращения рисков:

В интеграции с 1С
«Документооборот» применена
расширенная модель разграничения доступа, позволяющая выдавать
многомерные полномочия.
Например, одному и тому
же пользователю роль «Кладовщик» может быть выдана в сочетании с доступом к данным только основного склада, тогда как роль «Менеджер склада» будет назначена так, чтобы предоставить доступ к данным сразу нескольких локаций. Реализованы делегирование полномочий от одной учетной записи к другой, и автоматическая передача дел на руководителя при увольнениях, переводах, длительных отпусках.

Неординарно реализована
интеграция с Exchange:
в зависимости от грейда
Пользователю предоставляется
«внутренний» (для работы
исключительно в корпоративной
сети) либо «внешний» почтовый
ящик; доступно преобразование
почтового ящика из одного типа
в другой с изменением основного
почтового адреса, при этом
не теряется корреспонденция
со старого почтового адреса.

Каждое бизнес-приложение
в составе фреймворка имеет
собственный набор полномочий.
Полномочия хранятся
в реляционной базе данных,
аутентификационная информация
же размещается в LDAP-каталоге.
В случае подключения нового
бизнес - приложения Заказчик
сможет организовать управление
УЗ в нем без доработки
интеграционной связки.

Система выполняет операции
преимущественно сама

Преобладающая часть операций
по администрированию учетных
записей выполняется системой без привлечения персонала.

Все действия проходят через
новую систему

В системе реализован процесс
автоматического отслеживания
и обработки фактов выдачи
полномочий доступа нелегитимно,
в обход IDM.

Замещение старой системы

Функции старой «квази-IDM» системы полностью замещены.

Автоматизация действий
администрирования

Те действия, полная автоматизация
которых не является алгоритмически возможной (1−2%), теперь выполняются
в административной консоли
Avanpost IDM и переданы
от Администраторов к Операторам
службы сервис-деск. Например, при необходимости выдать доступы
пользователю, не попадающему под действие автоматических алгоритмов, следует
в «административной консоли» указать предоставляемые полномочия, выбрав их из справочника. Система сама определит, нужно ли создавать
учетную запись, вычислит значения
ее атрибутов, по электронной почте
уведомит уполномоченных лиц
и вышлет логин и пароль.