Решение Microsoft как таковое не включено в актуальный аналитический отчёт Gartner, а в отчёте за прошлый год получило весьма посредственную оценку. Уровень доверия к компании Microsoft достаточно высокий, компания имеет безупречную репутацию в инфраструктурных решениях, но в некоторых других продуктовых сегментах всё не так однозначно.
Функционально продукт ближе к платформе для синхронизации атрибутов учётных записей, чем к IdM. Из преимуществ можно отметить возможность сбрасывать пароли прямо в окне входа в ОС Windows и согласовывать заявки непосредственно в письмах в Outlook. При этом в продукте нет большого количества функций, привычных для IdM-систем. Например, нет отчётности, нет ролей, нет возможности создать заявку на доступ из интерфейса самообслуживания. Соответственно, нет вытекающего из этого функционала: запроса ролей на время, исторической отчётности, контроля конфликтов полномочий и т.д. Система согласования заявок очень проста, она не позволяет выполнять делегирование и эскалацию заявок.
Отдельно хочется отметить работу решения с полномочиями в управляемых системах: она не допускает несогласованных полномочий и не может не управлять отдельными правами. Например, если управлять через IdM группами доступа пользователей, а группой Administrators управлять вручную, то IdM при очередном цикле синхронизации просто выкинет всех пользователей из группы Administrators. Гибкость продукта на среднем уровне, множество вещей можно реализовать путём самостоятельной разработки, но есть ограничения среды её функционирования. Графический интерфейс воспринимается нормально, но не хватает динамических компонентов и возможности настройки форм. Есть определённый опыт внедрения решения и в мире, и в России. В нашей стране это несколько внедрений в финансовом, ритейл- и транспортном сегментах, без серьезного географического распределения, с тысячами пользователей. Стоимость вхождения для решения Microsoft довольно невелика.
SailPoint IdentityIQ
Продукт SailPoint получил наивысшие оценки зарубежных экспертов. SailPoint – это крупная американская компания, не очень известная в России, основное решение в ее портфеле – система IdM. Существенным недостатком является отсутствие локального офиса в нашей стране.
Функционально это одно из самых зрелых решений. Из преимуществ: наиболее полный набор функций для IdM, включая запрос ролей на время, создание заявки на предоставление прав «как у другого сотрудника», многодоменная ролевая модель, функционал динамического анализа рисков доступа. Из недостатков можно отметить отсутствие возможности массового согласования заявок и изменения их формы. Гибкость продукта на высоком уровне, можно отметить, что большая часть функционала настраивается непосредственно через графический интерфейс, без необходимости стороннего программирования. Пользовательский интерфейс довольно удобный, с возможностью индивидуальной настройки, хорошо воспринимается, однако у вендора нет его перевода на русский язык.
Рис. 4. Запрос полномочий в SailPoint IdentityIQ
Опыт использования решения в мире достаточно большой, в компаниях различных секторов, насчитывающих десятки тысяч пользователей. Опыт внедрения в России ограничен несколькими текущими проектами. Стоимость вхождения для решения SailPoint на среднем уровне.
Avanpost IdM
В аналитическом отчёте Gartner решение Avanpost не представлено. Уровень доверия к вендору невысокий. Из преимуществ – разработка и поддержка продуктов осуществляется в России. Из недостатков – это небольшая и относительно молодая компания с высокими рисками ухода с рынка.
У вендора своё видение функционала IdM, которое отличается от концепции западных решений. Система ориентирована на управление ЭЦП и генерацию служебных записок. Функционал IdM в продукте представлен в минимальном виде: функции автоматического создания учётных записей по кадровым данным, запроса и согласования прав, а также проверки их соответствия между IdM и целевой системой. Примерно такого же результата можно достичь путем разработки скриптов к системе документооборота. То есть назвать это решение полноценным IdM довольно трудно. Функционал представлен «как есть» и практически не настраивается. Система не имеет специализированных средств настройки, а её доработка и поддержка осуществляются силами самого вендора. Графический интерфейс системы очень сдержанный, не содержит большого количества функций. Кроме того, интерфейс не единый, есть несколько «толстых» клиентов для определённых групп пользователей, например, администраторов безопасности.
Решение на рынке IdM совсем недавно, опыт его использования ограничен несколькими небольшими инсталляциями в России. Практически все внедрения – в государственном секторе. Стоимость вхождения маленькая.
КУБ
В аналитическом отчёте Gartner решение КУБ не представлено. Доверие к вендору мы оцениваем как невысокое. Из положительных моментов – разработка и поддержка продукта в России. Из отрицательных – вендор небольшой, относительно молодой, на рынок IdM переориентировался недавно.
Рис. 5. Запрос полномочий в Avanpost IdM
У этого вендора также своё особое видение функционала IdM. Изначально продукт позиционировался как система документооборота, поэтому его концепция сформировалась вокруг заявок и инструкций. Вследствие этого решение «управляет» доступом к половине систем путём отправки инструкции администратору. Функционал IdM представлен в базовом виде: автоматическая обработка кадровых событий, создание и согласование заявок. Из плюсов можно отметить функционал непрерывного контроля изменений на стороне целевых систем. Тем не менее с функциональной точки зрения это решение представляет собой систему документооборота для специалистов информационной безопасности. Продукт не имеет промышленных средств конфигурации, его доработка осуществляется силами вендора. Графический интерфейс системы весьма примитивен и не очень удобен для пользователей.
На рынок IdM решение вышло недавно. Опыт его применения представлен несколькими небольшими инсталляциями в российских государственных учреждениях. Стоимость вхождения небольшая.
Рис. 6. Запрос полномочий в КУБ
Заключение
Подводя итоги, можно отметить, что традиционные для России IdM-решения от Oracle и IBM остаются на высоком уровне. Это хорошие проверенные решения, выбор между которыми лежит, скорее, в идеологической плоскости.
IdM-решение от Microsoft серьёзно отстало от конкурентов. Несмотря на низкую стоимость, для построения на её базе полноценной системы IdM потребуется несколько лет, что в совокупности может нивелировать потенциальную выгоду.
IdM от SailPoint – это новый интересный продукт, который предлагает большое количество инноваций в области функционала и usability, обладает приемлемой стоимостью, но пока крупные российские компании не ставили себе целью его внедрение.
Отечественные разработчики IdM в силу своей молодости и весьма ограниченного опыта внедрения ещё не могут предложить рынку полноценный продукт. Их решения не обладают необходимым набором функций и, что важнее, нужной степенью гибкости. Помимо высокой стоимости развития системы, это приводит к высокой степени зависимости от производителей и их ресурсов, к невозможности отказаться от единого поставщика. Они смогут догнать западные решения по уровню зрелости через 3–5 лет при условии, что заказчики будут готовы внедрять эти продукты и, соответственно, косвенно вкладываться в их совершенствование.