Первое, с чего стоит начать, – это критерии оценки решений. За свою практику мы сталкивались с множеством разных подходов к сравнению продуктов. Для нашего обзора мы выбрали наиболее объективные из них: это оценка аналитических компаний, уровень доверия к вендору, функциональная зрелость, опыт использования, стоимость вхождения. Поскольку показатели либо не измеряются численно, либо сильно зависят от конкретной компании, их оценка приводится в сравнительных величинах.
Ниже мы подробнее расскажем о выбранных нами критериях (в чём их суть, как их можно оценить, почему мы считаем их важными), а также о некоторых популярных подходах к сравнению IdM, которые не попали в нашу оценку.
Оценки аналитических компаний – это мнение западных экспертов, таких как Gartner и Forrester. Они дают хорошее представление об общем состоянии и тенденциях развития современных IdM-решений, особенно полезны в том случае, когда выбор необходимо сделать в короткие сроки, а также для его обоснования бизнес-руководству, особенно зарубежному.
Уровень доверия к вендору учитывает риски, связанные с банкротством, с приобретением вендора другой компанией, с его уходом с рынка IdM, с ресурсными возможностями. Этот уровень измеряется финансовыми показателями компании, известностью на российском и мировом рынке, составом продуктового портфеля, возможностями локальной поддержки. Есть важная составляющая, которую мы учесть не можем, – это опыт взаимоотношений с вендорами. Дело в том, что его нужно оценивать отдельно для каждого клиента.
Уровень доверия является фундаментальным показателем: он определяет риски вложения инвестиций в определённую систему и срок её жизни в компании. В качестве примера можно упомянуть один из российских банков, который приобрел IdM-решение у небольшого российского вендора и оказался в ситуации, когда в систему уже вложено много денег и времени, за новые доработки вендор просит непомерно много, а заменить его другим подрядчиком невозможно – можно только перейти на другую платформу. В конце концов банк сделал именно это.
Отдельно хочется отметить тот факт, что отраслевая принадлежность компании на выбор системы IdM напрямую не влияет. В той или иной степени задачи по управлению доступом являются общим местом для организаций из самых разных секторов экономики, есть различия только в акцентах. Так, компании финансовой сферы больше внимания уделяют требованиям регуляторов, нефтегазовой отрасли – контролю прав доступа к информационным активам, представители ритейла – операционной эффективности управления правами доступа, а страховые компании – контролю прав доступа агентов и подрядчиков. Всё это – неотъемлемые функции любой зрелой системы IdM.
Функциональная зрелость – это оценка удобства пользовательского интерфейса, объёма функций системы IdM, соответствующих её назначению, и гибкости их настройки. Данный показатель у решений мы оценивали на основании своего опыта внедрения IdM и ожиданий наших клиентов от продуктов. Удобство графического интерфейса очень важно, поскольку пользователями системы является подавляющее большинство сотрудников компании. Если интерфейс будет недостаточно удобным, начнутся проблемы на стадии промышленной эксплуатации IdM.
Рис. 1. Магический квадрант Gartner – вендоры IdM-решений
Объём функций напрямую влияет на число задач, которые может решить система. Чем большим их количеством она обладает, тем более значительные результаты можно получить от внедрения. Гибкость – едва ли не более важный показатель. Поскольку от системы IdM требуется адаптация под инфраструктуру и бизнес-процессы компании, само по себе наличие некоторого функционала даёт не так много, как возможность реализовать его в соответствии с нуждами организации. Функциональная зрелость напрямую влияет на результативность внедрения IdM, на то, насколько компания сможет повысить эффективность своих процессов и снизить издержки, а также на стоимость проектных работ.
Опыт использования системы – это показатель ее работоспособности для решения реальных задач различных организаций. Он отражает готовность системы к enterprise-внедрениям, её способность интегрироваться и функционировать в информационной инфраструктуре предприятия, обеспечивать необходимые характеристики, в том числе отказоустойчивость и масштабируемость. Работоспособность системы можно оценить только по реальным внедрениям. При этом при анализе опыта внедрения важно принимать во внимание такие особенности, как сектор экономики и величина компании, территориальное распределение и количество пользователей системы, место IdM в инфраструктуре.
Опыт использования – один из ключевых показателей, поскольку только на его основании можно говорить о работоспособности системы в целом, о её применимости для решения бизнес-задач. Здесь можно привести интересный пример: у одного из вендоров вышла новая версия системы IdM. Судя по документации, ее переработали достаточно серьезно, добавили много новых функций. Но когда мы начали ее внедрение в одной из компаний, столкнулись со следующим: если что-то работало не так, как описано в документации, вендор не дорабатывал продукт надлежащим образом, а вносил изменения в документацию, подгоняя ее под реальное положение дел. И даже в такой ситуации мы обеспечили необходимый компании функционал.
Табл. 1. Сравнение функционала IdM-решений
Стоимость вхождения – это оценка стоимости «входа», затрат на первый этап внедрения системы. Другими словами, этот показатель отображает объём финансовых вложений в создание фундамента IdM. После этого, как правило, идут этапы развития и поддержки. Стоимость по каждому решению мы оценивали исходя из нашего опыта их внедрения. Отметим, что компании гораздо сложнее пойти на риск внедрения новой системы, если объём инвестиций в неё превышает ожидаемые рамки. Этот показатель необходимо рассматривать в тесной связи с другими, такими как функциональная зрелость. Если продукт обладает низкими стоимостью и функциональной зрелостью, основные расходы на него придутся на этапы развития и поддержки.
Приведем пример: крупный российский банк выбирал систему IdM и остановился на решении западной компании, которая согласилась предоставить лицензии практически даром. Выбранная платформа не обладала необходимой функциональностью, мы пытались убедить в этом банк, но безуспешно. В результате после нескольких лет внедрения, смены исполнителей, подключения вендора, когда система так и не запустилась в необходимом объёме, банк сам пришел к такому выводу. Компания вложила в создание системы большое количество денег, потратила массу времени, а ожидаемого эффекта так и не получила.
Теперь поговорим о распространённых критериях, которые периодически встречаются в сравнениях IdM-решений, но не вошли в нижеследующий обзор. Их множество, но мы остановимся только на самых заметных.
Первый – это количество адаптеров к информационным системам. У большинства развитых IdM-решений их перечень более или менее одинаков. Для крупных промышленных систем, например, ERP, польза от штатных модулей интеграции есть не всегда: при внедрении их зачастую все равно необходимо адаптировать, так что они не решают поставленных задач. Поскольку определённая часть адаптеров разрабатывается при внедрении, этот показатель на выбор платформы значительно не влияет.
Второй – наличие сертификатов ФСТЭК или ФСБ. Система IdM, по сути, является средством автоматизации деятельности по управлению учётными записями и заявками на доступ. Хранить в ней конфиденциальные либо персональные данные высокой степени критичности нет необходимости, поэтому требования к наличию соответствующих сертификатов редко применяются в коммерческом секторе.
«Герои IdM и магии»
Какие же решения будут представлены в нашем обзоре? Прежде всего это традиционные представители российского рынка IdM: Oracle Identity Manager, IBM Security Identity Manager и Microsoft Forefront Identity Manager. Также рассмотрим несколько новых для нашего рынка решений, которые мы уже успели апробировать: это решения SailPoint IdentityIQ, Avanpost IDM и КУБ.
Предлагаем ознакомиться с результатами сравнения IdM-решений из аналитического отчёта компании Gartner «Identity Governance and Administration», составленного в конце 2013 г. (см. рис. 1 – магический квадрант). Мы использовали их для оценки первого критерия. Отметим, что в отчёте Gartner рассматривается большое количество вендоров IdM, их основная часть на российском рынке не представлена, нас же интересует оценка только выбранных нами продуктов.
Также представляем вам составленную нашими экспертами таблицу, демонстрирующую функциональные возможности систем (см. табл. 1).
В таблице представлены все наиболее востребованные функции, которые встречаются в проектах внедрения IdM, и оценка их наличия в каждом отдельном продукте. Отсутствие определённого функционала не означает невозможности его доработки, но в этом случае имеет смысл учитывать показатели гибкости системы, чтобы оценить необходимые ресурсы для её реализации.
Oracle Identity Manager
Продукт Oracle получил одну из самых высоких оценок аналитиков. Oracle – транснациональная компания с высоким уровнем доверия в мире и в России. Из особенностей можно отметить то, что сегодня у Oracle очень широкий стек программно-аппаратных решений, что снижает ТСО и упрощает поддержку. Вместе с тем IdM – возможно, не самая заметная часть стека Oracle, поэтому это направление заслуживает дополнительного продвижения и привлечения внимания.
Рис. 2. Запрос полномочий в Oracle Identity Manager
Функционально продукт зрелый, функционал Role Management представлен в отдельном продукте Oracle Identity Analytics, который поставляется только в составе пакета Oracle Governance Suite. Из преимуществ можно отметить возможность создания массовых заявок, наличие исторической отчётности, гибкую систему разграничения прав. Из функциональных недостатков: как и практически у всех рассматриваемых нами решений, отсутствует возможность запроса доступа на время (обходной путь – это настройка сертификации доступа), Oracle Identity Manager также обладает нетривиальной системой журналирования событий, на основании данных которой иногда непросто узнать причины тех или иных действий с правами. Отдельные недостатки есть у системы согласования заявок: они проходят согласование либо целиком, либо по каждой роли отдельно. В первом случае, если пользователю запросили сто ролей, каждому владельцу роли придёт на согласование вся заявка целиком, даже если он отвечает только за одну роль из ста. Во втором: заявка распадётся на отдельные роли, и если владелец роли отвечает за пятьдесят из ста запрошенных, ему придёт пятьдесят заявок – отдельно по каждой роли.
Продукт имеет очень высокую степень гибкости, особенно в части изменения пользовательского интерфейса, самостоятельной разработки коннекторов к нестандартным системам (например, можно настроить согласование заявки из письма), но при этом требует высокой квалификации персонала. Внешний вид интерфейса на уровне, но зачастую компании хотят доработать его под себя. Здесь оказываются весьма полезными широкие возможности настройки. Также есть некоторые неудобства, связанные со скоростью работы интерфейса пользователя.
Опыт использования решения в мире и в России очень большой, на нашем рынке более половины внедрений IdM приходится на продукты Oracle. Российский опыт их использования включает компании с несколькими десятками тысяч человек, из различных секторов, территориально распределённые по всей стране. Стоимость вхождения для продуктов Oracle достаточно высока.
IBM Security Identity Manager
Продукт IBM получил среднюю оценку аналитиков. IBM – крупная транснациональная компания, хорошо известная в России, и сомнений в доверии не вызывает. Из особенностей можно отметить широкий портфель продуктов без видимого фокуса на IdM.
Объём функций в системе достаточно большой. Из преимуществ хочется отметить большие возможности разграничения доступа к функциям системы, обработки несогласованных полномочий, просмотра журнала всех действий в системе с отображением причины события, предыдущего и нового значений. Из недостатков: штатно нет отчётности на определённую дату в прошлом, запроса ролей на время, массового запроса доступа, частичного согласования заявок. Из-за одновременного использования двух хранилищ данных – СУБД и LDAP – продукт имеет недостатки, связанные с отчётностью: чтобы информация в отчёте была актуальной, необходимо синхронизировать данные между хранилищами.
Гибкость продукта на высоком уровне, есть хорошие возможности доработки, но и недостатки, например, невозможность изменения формы заявки. Можно отметить относительно высокую сложность разработки адаптеров к информационным системам: они разрабатываются в универсальном инструменте для интеграции данных и требуют специальной подготовки. Графический интерфейс решения довольно простой и понятный, внешний вид – на высоте.
Опыт использования решения в мире достаточно большой, в России вполне заметный. Российский опыт включает внедрения в нескольких крупных компаниях из финансового, телекоммуникационного и государственного секторов, с десятками тысяч сотрудников, географически распределённых по всей России. Стоимость вхождения для решения IBM невысока.
Рис. 3. Новый интерфейс запроса полномочий IBM Security Identity Manager
Microsoft Forefront Identity Manager
Решение Microsoft как таковое не включено в актуальный аналитический отчёт Gartner, а в отчёте за прошлый год получило весьма посредственную оценку. Уровень доверия к компании Microsoft достаточно высокий, компания имеет безупречную репутацию в инфраструктурных решениях, но в некоторых других продуктовых сегментах всё не так однозначно.
Функционально продукт ближе к платформе для синхронизации атрибутов учётных записей, чем к IdM. Из преимуществ можно отметить возможность сбрасывать пароли прямо в окне входа в ОС Windows и согласовывать заявки непосредственно в письмах в Outlook. При этом в продукте нет большого количества функций, привычных для IdM-систем. Например, нет отчётности, нет ролей, нет возможности создать заявку на доступ из интерфейса самообслуживания. Соответственно, нет вытекающего из этого функционала: запроса ролей на время, исторической отчётности, контроля конфликтов полномочий и т.д. Система согласования заявок очень проста, она не позволяет выполнять делегирование и эскалацию заявок.
Отдельно хочется отметить работу решения с полномочиями в управляемых системах: она не допускает несогласованных полномочий и не может не управлять отдельными правами. Например, если управлять через IdM группами доступа пользователей, а группой Administrators управлять вручную, то IdM при очередном цикле синхронизации просто выкинет всех пользователей из группы Administrators. Гибкость продукта на среднем уровне, множество вещей можно реализовать путём самостоятельной разработки, но есть ограничения среды её функционирования. Графический интерфейс воспринимается нормально, но не хватает динамических компонентов и возможности настройки форм. Есть определённый опыт внедрения решения и в мире, и в России. В нашей стране это несколько внедрений в финансовом, ритейл- и транспортном сегментах, без серьезного географического распределения, с тысячами пользователей. Стоимость вхождения для решения Microsoft довольно невелика.
SailPoint IdentityIQ
Продукт SailPoint получил наивысшие оценки зарубежных экспертов. SailPoint – это крупная американская компания, не очень известная в России, основное решение в ее портфеле – система IdM. Существенным недостатком является отсутствие локального офиса в нашей стране.
Функционально это одно из самых зрелых решений. Из преимуществ: наиболее полный набор функций для IdM, включая запрос ролей на время, создание заявки на предоставление прав «как у другого сотрудника», многодоменная ролевая модель, функционал динамического анализа рисков доступа. Из недостатков можно отметить отсутствие возможности массового согласования заявок и изменения их формы. Гибкость продукта на высоком уровне, можно отметить, что большая часть функционала настраивается непосредственно через графический интерфейс, без необходимости стороннего программирования. Пользовательский интерфейс довольно удобный, с возможностью индивидуальной настройки, хорошо воспринимается, однако у вендора нет его перевода на русский язык.
Рис. 4. Запрос полномочий в SailPoint IdentityIQ
Опыт использования решения в мире достаточно большой, в компаниях различных секторов, насчитывающих десятки тысяч пользователей. Опыт внедрения в России ограничен несколькими текущими проектами. Стоимость вхождения для решения SailPoint на среднем уровне.
Avanpost IdM
В аналитическом отчёте Gartner решение Avanpost не представлено. Уровень доверия к вендору невысокий. Из преимуществ – разработка и поддержка продуктов осуществляется в России. Из недостатков – это небольшая и относительно молодая компания с высокими рисками ухода с рынка.
У вендора своё видение функционала IdM, которое отличается от концепции западных решений. Система ориентирована на управление ЭЦП и генерацию служебных записок. Функционал IdM в продукте представлен в минимальном виде: функции автоматического создания учётных записей по кадровым данным, запроса и согласования прав, а также проверки их соответствия между IdM и целевой системой. Примерно такого же результата можно достичь путем разработки скриптов к системе документооборота. То есть назвать это решение полноценным IdM довольно трудно. Функционал представлен «как есть» и практически не настраивается. Система не имеет специализированных средств настройки, а её доработка и поддержка осуществляются силами самого вендора. Графический интерфейс системы очень сдержанный, не содержит большого количества функций. Кроме того, интерфейс не единый, есть несколько «толстых» клиентов для определённых групп пользователей, например, администраторов безопасности.
Решение на рынке IdM совсем недавно, опыт его использования ограничен несколькими небольшими инсталляциями в России. Практически все внедрения – в государственном секторе. Стоимость вхождения маленькая.
КУБ
В аналитическом отчёте Gartner решение КУБ не представлено. Доверие к вендору мы оцениваем как невысокое. Из положительных моментов – разработка и поддержка продукта в России. Из отрицательных – вендор небольшой, относительно молодой, на рынок IdM переориентировался недавно.
Рис. 5. Запрос полномочий в Avanpost IdM
У этого вендора также своё особое видение функционала IdM. Изначально продукт позиционировался как система документооборота, поэтому его концепция сформировалась вокруг заявок и инструкций. Вследствие этого решение «управляет» доступом к половине систем путём отправки инструкции администратору. Функционал IdM представлен в базовом виде: автоматическая обработка кадровых событий, создание и согласование заявок. Из плюсов можно отметить функционал непрерывного контроля изменений на стороне целевых систем. Тем не менее с функциональной точки зрения это решение представляет собой систему документооборота для специалистов информационной безопасности. Продукт не имеет промышленных средств конфигурации, его доработка осуществляется силами вендора. Графический интерфейс системы весьма примитивен и не очень удобен для пользователей.
На рынок IdM решение вышло недавно. Опыт его применения представлен несколькими небольшими инсталляциями в российских государственных учреждениях. Стоимость вхождения небольшая.
Рис. 6. Запрос полномочий в КУБ
Заключение
Мы провели обзор основных IdM-решений, представленных на российском рынке, рассмотрели традиционных участников рынка и новых вендоров, у которых есть проекты в нашей стране.
Подводя итоги, можно отметить, что традиционные для России IdM-решения от Oracle и IBM остаются на высоком уровне. Это хорошие проверенные решения, выбор между которыми лежит, скорее, в идеологической плоскости.
IdM-решение от Microsoft серьёзно отстало от конкурентов. Несмотря на низкую стоимость, для построения на её базе полноценной системы IdM потребуется несколько лет, что в совокупности может нивелировать потенциальную выгоду.
IdM от SailPoint – это новый интересный продукт, который предлагает большое количество инноваций в области функционала и usability, обладает приемлемой стоимостью, но пока крупные российские компании не ставили себе целью его внедрение.
Отечественные разработчики IdM в силу своей молодости и весьма ограниченного опыта внедрения ещё не могут предложить рынку полноценный продукт. Их решения не обладают необходимым набором функций и, что важнее, нужной степенью гибкости. Помимо высокой стоимости развития системы, это приводит к высокой степени зависимости от производителей и их ресурсов, к невозможности отказаться от единого поставщика. Они смогут догнать западные решения по уровню зрелости через 3–5 лет при условии, что заказчики будут готовы внедрять эти продукты и, соответственно, косвенно вкладываться в их совершенствование.