Процессы обеспечения безопасности должны быть комплексными, непрерывными, включать целые наборы аппаратно-программных и организационных решений. Поэтому заблуждаются те ИТ-руководители, которые верят в то, что правильно построенная демилитаризованная защитная зона и антивирусное программное обеспечение на рабочих станциях и серверах обеспечат должный уровень безопасности — это всего лишь базовые составные элементы «правильной» политики безопасности компании, более того, последние исследования говорят о том, что большинство нарушений исходит как раз изнутри инфраструктуры, а не извне. 

Наиболее важными элементами обеспечения внутренней корпоративной безопасности является разграничении доступа к ИТ-ресурсам, управлении идентификационной информацией, включая парольную, контроль работы с периферийными устройствами, комплексный мониторинг событий всей ИТ-инфраструктуры.

Роли решают всё!
Самые лучшие бизнес-процессы, отвечающие современным требованиям, не принесут успеха без контролируемого, точного, своевременного управления идентификационными данными сотрудников и ресурсов, распределенных по всему предприятию. Для компаний с тысячами пользователей, сотнями функциональных обязанностей и множеством профилей доступа управление учётными записями, разрешениями и их взаимосвязями является сложной задачей, которую нереально выполнить небольшой группой администраторов и офицерами безопасности. 

Контроль доступа на основе ролей (RBAC, Role Based Access Control) широко используется для управления пользовательскими привилегиями в пределах единой системы или отдельного приложения и на сегодняшний день является наилучшей практикой построения систем разграничения доступа авторизованных пользователей. 

Novell Identity Manager организует защищенное управление доступом пользователей к корпоративным системам на ролевой основе в соответствии с постоянно меняющимися функциональными обязанностями и рабочими потребностями. Использование Identity Manager предоставляет возможность управления идентификационными данными на протяжении всего жизненного цикла «пользователя» в различных системах и приложениях.

Роли, создаваемые внутри организации для различных рабочих функций, ассоциируются с электронными ролями Novell Identity Manager. Определенным ролям присваиваются полномочия на ресурсы, необходимые для выполнения тех или иных задач или операций. 

Так как привилегии не назначаются пользователям непосредственно, а приобретаются ими только через роли, управление индивидуальными правами пользователя по сути превращается в простое присвоение ему ролей. Это значительно упрощает операции управления доступами, реализует безошибочный процесс администрирования даже с использованием слабо квалифицированного ИТ-персонала.

Штатным сотрудникам могут назначаться фиксированные роли, через которые они получают соответствующие привилегии, необходимые для выполнения базовых функциональных обязанностей. Присвоение таких ролей обеспечивается мгновенной регистрации пользователя и синхронизации необходимых атрибутов его учётной записи в описанных ролью системах. Право назначения дополнительных ролей, потребность в которых может возникнуть, например, при участии сотрудника в дополнительных проектах, временном исполнении обязанностей и др., может быть делегировано ответственным лицам (например, непосредственному руководителю). Таким образом достаточно сложные задачи распределения доступа к ИТ-ресурсам могут быть переданы на уровень бизнеса и исполняться без участия системных администраторов. Привлекательным в Identity Manager является также возможность построения децентрализованного управления с делегированием ряда полномочий, например, на уровень ИТ-отделов филиалов или отделений.

Если по мере выполнения своих функциональных обязанностей сотруднику потребуются дополнительные права доступа к каким-либо системам, то последний сможет самостоятельно оформить электронную заявку на дополнительный доступ к разрешённым ему политикой безопасности ресурсам. После прохождения в Identity Manager заранее сконфигурированных процедур согласования (утверждение возможности доступа ответственными лицами, например, нач. отдела, работником службы безопасности) пользователь автоматически получает доступ к ИТ-ресурсам.

При использовании разветвлённой иерархии ролей существует опасность наследования разрешений от противоречивых (конфликтных) ролей, что может позволить пользователю получить нежелательные привилегии. Во избежание таких ситуаций Provisioning Module поставляет подсистему SoD (ограничения разделения обязанностей), предоставляющую возможность предварительного определения (например, работником отдела безопасности), списка противоречивых назначений привилегий к системам и приложениям. Если даже запрос конфликтных привилегий был утверждёт уполномоченными лицами в процессе согласования, такое назначение будет всегда ограничено по времени и специальным образом помечено в отчётах.

Управление паролями
Identity Manager позволяет определить политику паролей, которая более конкретна и намного действеннее, чем любые инструкции о необходимости соблюдения безопасности в корпоративном руководстве по защите. 

В Identity Manager политика паролей представляет собой совокупность правил создания и замены пользовательских паролей. Эти правила определяют критерии разрешенного пароля. При изменении пароля через портал самообслуживания последний синхронизируется со всеми интегрируемыми системами и приложениями.

При необходимости обеспечения дополнительной функциональности по управлению паролями, развёртывании многофакторной аутентификации рекомендуется использование дополнительного решения — Novell SecureLogin. 

Аннулирование доступа в режиме реального времени
Бывшие сотрудники компании представляют собой всем известную угрозу состоянию дел любой компании, однако Identity Manager восполняет этот пробел в системе защиты. В момент изменения статуса сотрудника на "уволен" в официальных источниках данных (в базе отдела кадров или в службе каталога) Identity Manager прекращает действие учетных записей и прав доступа этого пользователя во всех системах данных. Конфиденциальные ресурсы компании останутся в безопасности, и при этом не придется тратить массу времени на подверженное ошибкам ручное администрирование.

Оперативная отчётность
Работа подсистем Identity Manager фиксируется в базе поставляемого в комплекте ПО Novell Audit. Кроме этого доступны мгновенные отчёты, позволяющие ответить на следующие вопросы:

• Кто ассоциирован с конкретной ролью?
• Какими доступами (ролями) пользуется пользователь?
• Какие у роли подчинённые роли?
• Есть ли у роли конфликтные роли?
• Текущее состояние конфликтов по ролям?
• У кого в ближайшее время заканчивается период использования доступа, предоставляемого ролью с временным ограничением?
• Какой ролевой доступ запрошен конкретным пользователем? 

Инструменты проектирования и управления
Designer for Identity Manager позволяет визуально отобразить всю схему управления электронными персонами, спроектировать процедуры и формы согласования. 

После успешной проверки созданный проект экспортируется в продуктивную среду приложений. Мощные визуальные редакторы, минимум всплывающих окон и хорошо синхронизированные представления, гарантируют максимальную производительность труда при разработке проекта. Мастера делают этот инструмент простым в изучении и использовании при создании решений для управления идентификационными данными. Полезными будут также возможности Identity Designer автоматически генерировать документацию по разработанному проекту, функционировать на рабочих станциях как под управлением ОС Windows*, так и Linux, наличие подробной справочной системы.

Общий для службы каталога Novell eDirectory и Identity Manager Web-инструментарий управления iManager обеспечивает системных администраторов комплексным представлением синхронизируемых при помощи Identity Manager приложений и связей с использованием обычного Web-браузера, а также предоставляет ряд дополнительных инструментов мониторинга, диагностики и управления.

Таким образом развёртывание Novell Identity Manager позволит:

• Реализовать принятую в организации политику безопасности при организации доступа к ИТ-ресурсам.
• Активно вовлекать бизнес в процесс предоставления доступа к критичным ИТ-ресурсам на базе ролевого управления и процедур согласования, исключая единоличное и неконтролируемое предоставление доступа.
• Перевести на электронные формы процедуры согласования доступа к ресурсам, с последующим автоматическим изменением профилей доступа без участия администраторов систем.
• Создавать ограничения разделения обязанностей (SoD) для управления возможными конфликтами между назначениями ролей.
• Автоматизировать создание учётных записей в различных системах и приложениях, устраняя необходимость ручного дублирования данных и ошибки при поддержке их актуальности.
• Динамическое изменение прав доступа при изменении статуса или роли сотрудника в организации.
• Мгновенную ликвидацию прав доступа во всех системах при прекращении взаимоотношений организации с сотрудником.
• Кардинальное уменьшение стоимости и влияния человеческого фактора на процесс управления доступами.