Проектный опыт: интеграция IDM и Service Desk

В наших заметках и статьях мы не раз писали о том, как people-processполезно интегрировать IDM и Servise Desk.Сегодня расскажу подробнее на примере реального проекта, что собой может представлять такая интеграция, как она работает и какую пользу позволяет получить.

Задача была следующей: автоматизированное исполнение в IDM согласованных в SD заявок на управление учетными записями (добавление/отзыв прав, блокировка, сброс пароля, изменение информации). Основной плюс здесь, конечно же, в автоматизированном добавлении/отзыве прав доступа, что существенно уменьшает количество ручного труда по управлению доступом в системе.

Ролевые модели для управляемых систем уже существовали на момент начала работ, поэтому в IDM системе использовались уже задокументированные роли с определенным набором прав в управляемых системах. Схема именования была такой: Система.ИмяРоли1, Система.ИмяРоли2 и т.д.

После подключения управляемых систем к IDM и настройке ролевой модели необходимо настроить периодический импорт имен ролей в систему SD. Это необходимо для запросов на доступ, которые в SD будут представлять из себя запросы на добавлени/отзыв ролей. Система SD ничего не знает о составе ролей и правах доступа, она знает только имена ролей. После этого можно настраивать правила согласования запросов в SD с привязкой к управляемым системам.

Все взаимодействие между SD и IDM происходит через веб-сервисы. В нашем случае это обмен запросами в XML-формате. На этапе создания запроса на доступ SD получает информацию о текущих ролях пользователя и отображает на форме запроса. Это сделано для исключения дублирования запросов ролей. В дальнейшем эту информацию планируется использовать для создания конфликтных комбинаций ролей на стороне SD, например, нельзя запросить роль "Кассир-контролер", если уже есть роль "Кассир". После согласования запроса на доступ система SD формирует XML и отправляет в IDM. Затем запрос исполняется автоматически, и отправляется ответ в сторону SD о результате исполнения. После этого запрос закрывается.

Помимо исполнения запросов на доступ, еще одной интересной задачей было реализовать передачу в SD информацию о текущих правах пользователей в системах, которые в данный момент не управляются IDM. Такие системы используют единый формат выгрузки текущих пользователей и их прав. Был разработан специальный коннектор к файлам выгрузки. Коннектор позволил получать информацию о пользователях и правах так, как будто это полноценная управляемая система. Пришлось немного поправить логику работы для типовых процессов IDM, но в итоге получилось очень красиво. С помощью коннектора можно получать учетные записи, автоматически привязывать их к сотрудникам. Получать права доступа и группировать их в роли. При этом попытки изменения учетных записей IDM не производит.

Схема системы:

Схема idm

В подобных проектах можно выделить несколько ключевых этапов:

  1. Построение ролевой модели
  2. Синхронизация каталога ролей между IDM и SD
  3. Настройка правил согласования
  4. Разработка интеграции

Такая несложная схема позволяет сэкономить много часов работы администраторам систем, в большинстве случаев им не нужно будет заходить в консоль, достаточно лишь согласовать запрос в SD. Еще один плюс — все роли сотрудника можно увидеть в одном окне, даже для неуправляемых систем.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

CleverIDM CleverIDM: Управление учётными записями и доступом

Новая услуга в партнёрстве с Аванпост.
 

Узнайте больше!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ДЕК
18
Учебный курс:
Основы DevOps
ДЕК
20
Учебный курс:
Основы ITIL (очно)