133.66
Rating
Инфосистемы Джет
Системный интегратор

Что скрывает IdM: функциональное сравнение IdM-решений

Инфосистемы Джет corporate blogInformation Security
Те, кто уже пробовал выбрать для себя подходящее IdM-решение, знают, что это не такое простое дело, как кажется на первый взгляд. При общем рассмотрении у всех IdM-систем примерно одинаковый набор функций – одни и те же «ролевая модель», «модули интеграции» и «согласование заявок». Однако при более подробном рассмотрении IdM-решений выясняется большое количество деталей, которые, будучи не принятыми во внимание, могут серьезно испортить жизнь будущим пользователям. Например, не все IdM-решения «умеют» группировать (склеивать) заявки по согласующим лицам. И это чревато возникновением таких ситуаций, когда, скажем, для 10 сотрудников запрашиваются 10 ролей, у которых один единственный владелец, и последний при этом вместо одной заявки получает 100 – по одной на каждую запрошенную роль для каждого сотрудника. И его работа, которая, казалось бы, с внедрением IdM должна упроститься, превращается в сущий ад.

Опыт показывает, что для того, чтобы хорошо разобраться в подобных деталях функционирования систем IdM, нужно внедрить хотя бы одну из них. Редкий вендор скажет, что его продукт чего-то не умеет. А самостоятельное изучение всех нюансов требует огромного количества времени и сил. И пилотные проекты далеко не всегда помогают в этом деле, поскольку в них допускается множество упрощений, мешающих оценить работу системы в реальных условиях. Поэтому, стремясь упростить жизнь тем людям, которые столкнулись с проблемой выбора системы IdM, мы подготовили функциональное сравнение ряда IdM-решений.

Мы не ставили себе целью охватить всех вендоров, представленных на российском рынке, и рассматривали только тех из них, которые являются наиболее показательными. А именно: Oracle, IBM и Microsoft – решения, которые существуют на нашем рынке уже более 7 лет, имеют свою аудиторию, и на чью долю приходится основная часть всех внедрений. И, чтобы показать, куда движутся технологии IdM, SailPoint – новое на нашем рынке решение, получившее наивысшие оценки западных аналитиков.

Критерии сравнения взяты из реальных проектов. Мы собрали данные по 20 проектам внедрения IdM в российских компаниях и выделили все основные функциональные требования, которые в этих проектах встречались. Численность компаний, попавших в выборку, составляет от 1500 до 70 000 сотрудников. В ней представлены как локальные московские компании, так и компании, географически распределенные по территории России.

Хочется подчеркнуть, что при выборе IdM-решения не стоит принимать во внимание только его функциональные возможности. Есть множество других критериев, которые будут в большей или меньшей степени важны для конкретной компании. Например, опыт внедрения, наличие локальной поддержки, возможность построения нескольких решений на платформе одного поставщика, доверие к вендору.

Тем не менее, я надеюсь, что приведенное функциональное сравнение IdM-решений позволит людям более осознанно подойти к выбору платформы, сформировать адекватные ожидания, и, в конечном счете, получить от выбранного решения именно то, что нужно.

Для удобства таблица сравнения представлена несколькими спойлерами:

Функции управления правами
Функции Oracle Identity Manager 11R2 IBM Tivoli Identity Manager 6 Microsoft Forefront Identity Manager 2010 SailPoint IdentityIQ 6.2
Ручной ввод данных о сотрудниках в IdM Есть Есть Есть Есть
Ролевое управление доступом Есть Есть Нет Есть
Поддержка иерархии ролей Есть Есть Нет Есть
Процессы управления ролями (создание, согласование, изменение, удаление) Частично (согласование в отдельном продукте) Есть Нет Есть
Контроль SoD-конфликтов Есть Есть Нет Есть
Аттестация (пересмотр прав доступа) Есть Есть Нет Есть
Контроль изменений в системе, выполненных в обход IdM Есть (через отчёты) Есть Нет Есть
Контроль активности пользователей в целевых системах Нет Нет Нет Есть
Контроль рисков прав доступа пользователей Есть Нет Нет Есть
Поддержка нескольких учетных записей для сотрудника в одной системе Есть Есть Есть Есть
Управление сервисными учетными записями Есть Есть Нет Есть
Разграничение доступа к функциям IdM (настройка функциональных ролей) Есть Есть Есть Есть
Разграничение областей видимости прав/ролей (кто и что может запрашивать) Есть Есть Нет Есть
Разграничение видимости форм интерфейса и их полей Есть Есть Нет Есть
Динамическое вычисление значений полей в формах интерфейса Есть Нет Нет Есть
Сброс пароля по контрольным вопросам Есть Есть Есть Есть
Сброс пароля при входе в ОС Windows Нет (в отдельном продукте) Нет Есть Есть



Функции управления заявками
Функции Oracle Identity Manager 11R2 IBM Tivoli Identity Manager 6 Microsoft Forefront Identity Manager 2010 SailPoint IdentityIQ 6.2
Создание заявок на предоставление дополнительных прав Есть Есть Нет Есть
Запрос прав на время Нет Нет Нет Есть
Запрос прав «как у другого сотрудника» Нет Нет Нет Есть
Запрос прав по преднастроенному шаблону заявки Есть Нет Нет Нет
Запрос нескольким сотрудникам нескольких ролей в одной заявке Есть Нет Нет Есть
Согласование заявок Есть Есть Есть Есть
Согласование части запрошенных в заявке ролей Нет Нет Нет Есть
Массовое согласование заявок Есть Нет Нет Нет
Возможность разбивать заявку на составные части для отдельного согласования и собирать их в единую заявку Нет Нет Нет Есть
Электронно-цифровая подпись заявок Нет Нет Нет Есть
Делегирование полномочий по согласованию заявок на период отпуска Есть Есть Нет Есть
Уведомления по электронной почте Есть Есть Есть Есть
Назначение заявок на исполнение вручную Есть Есть Нет Есть



Функции построения отчётов
Функции Oracle Identity Manager 11R2 IBM Tivoli Identity Manager 6 Microsoft Forefront Identity Manager 2010 SailPoint IdentityIQ 6.2
Построение отчётов Есть Есть Нет Есть
Отчетность о состоянии прав на определенную дату в прошлом Есть Нет Нет Есть
Использование гистограмм и графиков в отчетах Есть Есть Нет Есть



Инструменты конфигурирования
Функции Oracle Identity Manager 11R2 IBM Tivoli Identity Manager 6 Microsoft Forefront Identity Manager 2010 SailPoint IdentityIQ 6.2
Конструктор отчетов Есть Есть Нет Есть
Изменение формы карточки сотрудника Есть Есть Есть Есть
Изменение формы заявки Есть Нет Нет Нет
Добавление собственных сущностей и форм Есть Есть Нет Есть
Индивидуальная компоновка интерфейса Есть Нет Нет Есть
Инструменты построения ролевой модели (Role Mining) Нет (в отдельном продукте) Есть Нет Есть



В сравнении представлены наиболее востребованные клиентами функции IdM, и оценка возможности их реализации штатными средствами каждого отдельного продукта. Отсутствие определенного функционала не означает невозможности его доработки. Практически любую систему IdM можно доработать, чтобы реализовать необходимый функционал, но надо понимать, что в этом случае практически всегда теряется возможность установки обновлений продукта (без потери разработанного функционала).
Only registered users can participate in poll. Log in, please.
Знаетели ли Вы, для чего предназначены системы IdM?
70.37% да 38
29.63% нет 16
54 users voted. 8 users abstained.
Only registered users can participate in poll. Log in, please.
Понимаете ли Вы потенциальные выгоды использования IdM?
63.27% да 31
36.73% нет 18
49 users voted. 12 users abstained.
Only registered users can participate in poll. Log in, please.
Сталкивались ли Вы с вопросом выбора IdM решения?
33.93% да 19
66.07% нет 37
56 users voted. 7 users abstained.
Tags:idmidentity managementуправление правами доступа
Hubs: Инфосистемы Джет corporate blog Information Security
-2
7.8k 12
Comments 5

Top of the last 24 hours

Information

Founded
1991
Location
Россия
Website
jet.su
Employees
1,001–5,000 employees
Registered