Звоните: +7 (495) 517-57-25

Рассмотрим подсистему управления безопасностью OMNITRACKER.

На подсистему безопасности системы автоматизации мы обычно возлагаем следующие задачи:

  • Аутентификация пользователя
  • Авторизация для получения доступа к объектам, включая возможность группировки пользователей
  • Аудит (ведение журналов работы с системой)

Аутентификация пользователя

Как я уже писал ранее, пользователь может войти в систему при помощи учетной записи OMNITRACKER и данного ему пароля, либо воспользоваться учетной записью домена Active Directory. При входе в систему с использованием учетной записи Active Directory не требуется ввод пароля. Кроме того, в отличие от некоторых современных систем автоматизации, OMNITRACKER поддерживает мультидоменную аутентификацию.

Управление учётной записью выглядит предельно просто и в этом похоже на то, что мы видели в HP OpenView Service Desk.

OMNITRACKER
(нажмите на изображении для увеличения)

Обратите внимание, что пользователю можно задать персональный календарь, который потом может использоваться при расчёте временных показателей в рамках процессов. Например, при расчете срока решения инцидента.

Пользователь может быть включен в произвольное количество групп. При этом группы, в отличие от Service Desk, могут использоваться не только для раздачи прав, но и для назначения объектов. Напомню, что в Service desk права раздаются через «Роли» (Role), а назначение осуществляется через «Рабочие группы» (Workgroup).

Авторизация пользователя

Предоставление прав в OMNITRACKER устроено принципиально иным образом, нежели в HP OV SD 4.5. На первый взгляд всё гораздо сложнее, чем в HP OpenView Service Desk, но, во-первых, это дело привычки, а во-вторых, гибкость, которая доступна с OMNITRACKER, недосягаема для HP OV SD.

Правами в OMNITRACKER можно управлять в отношении практически любого действия с объектом в рамках системы: отображение/редактирование поля, отображение формы, переход между статусами и так далее. Достигается такая гибкость тем, что пользователь и его участие в тех или иных группах могут быть проанализированы в различных разделах конфигурации системы.

Начнём с того, что для любого объекта в свойствах его папки можно задать «Привилегии», которые определяют уровень доступа к объект на высоком уровне:

  • Нет доступа
  • Только чтение
  • Чтение и запись
  • Администратор

Ниже приведен список «Привилегий» на папку CMDB.

OMNITRACKER
(нажмите на изображении для увеличения)

Но для того, чтобы пользователь мог начать работать, просто раздать привилегии мало — необходимо настроить разрешения, которые позволят детально описать какие именно действия разрешено совершать пользователю.

OMNITRACKER
(нажмите на изображении для увеличения)

При этом вы можете управлять доступом:

  • к объекту
  • к группам объектов
  • к полям (видимость поля, редактирование значений поля)
  • к видам и их частям (макет, отображение, фильтр)
  • к возможностям импорта данных
  • к выполнению действий над объектом (например, построение отчета)

Теперь самое интересное. В HP OpenView Service Desk права можно было раздать только в привязке к роли, то есть если есть человек в роли — значит, может выполнить действие.

В OMNITRACKER вы получаете возможность определять доступ не только в зависимости от принадлежности к группе, но и в зависимости от других условий:

  • значения полей объекта
  • тип клиента (win32 или web)
  • наличия привязанных объектов и их количества и так далее

Настройка осуществляется в стандартном для OMNITRACKER окне определения условий (такое же используется, например, при определении фильтров).

OMNITRACKER
(нажмите на изображении для увеличения)

Обратите внимание на то, что можно условие накладывать на свойство «Текущий пользователь или прокси». Система позволяет определить для пользователя его заместителя. Тогда вдобавок к своим собственным правам, заместитель получает права замещаемого.

Такой подход к управлению правами даёт вам массу возможностей. Вы можете ограничить доступ к объекту не только в зависимости от статуса или папки, как это было в HP OpenView Service Desk (status entitlement, folder entitlement), но и от значений других полей. Например, в объекте инцидент поле «Назначение» может изменять только руководитель группы, на которую он назначен и только если инцидент не находится в статусе «Решен» или «Закрыт». Другой хорошо известный пример: срок и приоритет обработки задания может устанавливать только автор задания.

Кроме того, следует отметить, что некоторые поля имеют специальные разрешения, так например:

  • поля типа Dropdown имеют разрешения на повышение, понижение значений справочников. Например, можно разрешить повышать приоритет, но запретить его понижать
  • поле «Memo Timestamped» имеет разрешения на добавление/удаление/редактирование комментариев своих и чужих

Еще одним интересным механизмом разграничения доступа являются «Базовые фильтры» (base filters). Механизм позволяет ограничивать доступ к группам объектов, соответствующих фильтру. Например, ИТ-специалисты центрального офиса видят все обращения, а ИТ-специалисты из регионов видят только обращения, связанные с пользователями их региона.

Ведение журналов работы с системой

Как и многие другие системы, OMNITRACKER позволяет вести журнал изменения объектов. При этом вы вправе настраивать список полей, изменения которых попадают в журнал (в свойствах поля есть галочка «Log changes in history»).

OMNITRACKER
(нажмите на изображении для увеличения)

Журнал объекта обычно можно просмотреть на его форме:

OMNITRACKER
(нажмите на изображении для увеличения)

Записи журнала хранятся структурированно, имеется возможность экспорта в табличном виде, возможен поиск по отдельным полям записей журнала. Например, в штатном шаблоне OMNITRACKER ITSM Center через анализ журналов реализовано формирование статистики по времени обработки по группам/статусам.

Ещё одной интересной особенностью системы является ведение журнала удаления объектов и возможность удаления объектов в корзину. Удаленные объекты при необходимости могут быть восстановлены.

Итоги

Таким образом, OMNITRACKER позволяет выйти за рамки обычного предоставления прав за счёт включения в группы. Возможности продукта позволяют обеспечить более жёсткий контроль и за счёт этого повысить качество данных, обрабатываемых в процессах, обеспечить более единообразное исполнение процессов, гарантировать безопасность данных.

Автор: Евгений Шилов.

Евгений Шилов