IAM: единое управление идентификацией и доступом
IAM (Identity and Access Management — управление идентификацией и доступом) — это дисциплина и набор инструментов, которые отвечают на два вопроса для каждой корпоративной системы: «кто этот пользователь» и «что ему разрешено». IAM собирает учётные записи, права и роли в единый управляемый контур.
Зачем это нужно бизнесу
Без IAM доступы в компании живут хаотично. Пользователей заводят вручную в каждой системе, права раздают «как у соседа», при увольнении забывают всё закрыть. Через пару лет никто не может ответить, у кого и к чему есть доступ. Это прямой путь к утечке данных: уволенный сотрудник сохраняет вход в облако, подрядчик годами держит права администратора, бывший бухгалтер открывает банковский кабинет.
IAM наводит порядок. Появляется единый источник учётных записей, понятный жизненный цикл доступа (приём — назначение прав — изменение — отзыв при увольнении) и журнал, кто чем владеет. Это требование и регуляторов, и здравого смысла: доступом нужно управлять, а не просто раздавать.
Из чего состоит IAM
Идентификация (Identity) — единый каталог пользователей и их атрибутов: ФИО, подразделение, должность, статус. Часто источником служит доменная служба каталога.
Аутентификация — проверка, что пользователь именно тот, за кого себя выдаёт: пароль, второй фактор, единый вход (SSO). Здесь IAM опирается на протоколы вроде SAML, OAuth и OIDC.
Авторизация — какие действия и ресурсы разрешены. Чаще всего права назначают не пользователю напрямую, а через роли — это ролевая модель доступа RBAC.
Жизненный цикл — автоматическое создание учётной записи при приёме, изменение прав при переводе, гарантированный отзыв всех доступов при увольнении.
Аудит — журнал входов и изменений прав, регулярная ревизия «кому что доступно».
Когда нужно компании
- Сотрудников и сервисов стало много, и доступы перестали быть прозрачными
- Приходят проверки или требования регуляторов по контролю доступа к данным
- Были или возможны инциденты с доступом уволенных сотрудников и подрядчиков
- Внедряется единый вход и многофакторная аутентификация — их нужно встроить в общий контур
- Компания движется к модели нулевого доверия, где каждый доступ проверяется явно
Что включает наша услуга
- Инвентаризация учётных записей и прав по всем системам — кто, где, с какими правами
- Проектирование ролевой модели (RBAC) под структуру компании
- Развёртывание единого каталога и провайдера идентификации, настройка SSO и многофакторной аутентификации
- Настройка процессов жизненного цикла: приём, перевод, увольнение с автоматическим отзывом доступа
- Внедрение журналирования и регулярной ревизии прав
- Сопровождение и контроль из нашего NOC
Как контроль доступа снижает риск утечек — разобрали в статье «Как защитить компанию от утечек данных».
Связанные термины
- RBAC — ролевая модель доступа — способ назначать права через роли, ядро авторизации в IAM
- Keycloak — сервер единого входа (SSO) — инструмент, который часто становится центром IAM
- PAM — управление привилегированным доступом — отдельный контроль для администраторских учётных записей
Хотите навести порядок в доступах сотрудников?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП