Организация доступа в АССОИ

Существующее положение

Физически доступ в АССОИ осуществляется по логину и паролю по https. Используются 2 вида паролей:

  1. доменные логины и пароли предприятий по схеме доверенных доменов с доменом ugmk;

  2. локальные логины и пароли в домене ugmk

Логины предприятий создаются асушниками на местах, они же прекращают действие логинов при увольнении сотрудников.

Локальные логины создаются централизованно в управляющей компании главным администратором АССОИ и высылаются в одном зашифрованном архивном файле по всем пользователям администратору АССОИ на предприятие. Пароли генерятся в экселе на превдослучайных числах, затем батником создаются для каждого пользователя отдельные файлы с логином и паролем, после чего созданные файлы запаковываются в архив. Пароль на открытие архивного файла сообщается по телефону.

Вне зависимости от вида пароля, настройка доступа в АССОИ по текущему предприятию выполняется администратором АССОИ по предприятию, который назначается приказом директора.

Администратор АССОИ по предприятию заносит основные реквизиты пользователя в систему (фио, логин, должность, телефон, почта), а также устанавливает пользователю доступ к предметной области (финансы, экономика, налоги, инвестиции и т.п.) и допустимые действия с каждый разделом предметной области (просмотр, правка, изменения статуса документа).

Также администратор устанавливает активность пользователя в системе (может временно деактивировать учетные записи).

Каждому разделу сопоставлен набор документов. Каждый документ входит только в одну предметную область. Отдельные предметные области могут быть сопоставлены произвольным ролям, которые могут объединять в себе несколько предметных областей (комплексные роли). Настройка производится руками на сервере в файле xml.

Дополнительные права доступа пользователям предприятий устанавливаются по заявке администратора АССОИ по предприятию главным администратором АССОИ (обычно это сообщение по почте в произвольном виде). К таким правам относятся:

  1. доступ к другим организациям

  2. доступ к специфическим отчетам (презентации и протоколы)

  3. возможность правки документации

  4. доступ к тестовым документам

  5. возможность конструирования новых документов

  6. различные административные полномочия

  7. доступ к комплексным ролям доступа

В системе предусмотрено прикрепление к учетной записи администратора АССОИ по предприятию скана приказа директора о назначении работника администратором. Также разработана типовая форма заявки на подключение к АССОИ (для каждого нового работника определяются доступ к предметным областям и собираются визы непосредственного руководителя, безопасника и директора по направлению), но она по факту носит необязательных характер.

Проблемы существующей системы

Проблемы для локальных логинов:

  1. недостаточный контроль за выбывшими пользователями

  2. неизменность паролей доступа

  3. возможность входа администратора под чужими логинами (для локальных учеток)

Общие проблемы:

  1. работа под одной учеткой нескольких пользователей, когда не хватает своих прав

  2. недостаточная гибкость в настройке доступа к предметным областям отдельно для разных групп предприятий (решается путем создания двух логинов с одним паролем, с разными настройками прав доступа)

  3. неудобный интерфейс настройки прав доступа

  4. отсутствие гибкой системы поиска и формирования отчетов

  5. отсутствие контроля по обеспечению единой политики в предоставлении доступа к предметным областям

  6. сложность сопоставления доступа к предметной области и доступа к конкретному документу (решается путем звонка в службу поддержки; другой вариант решения - установления доступа к всем разделам)

Ожидаемые решения

Система доступа в АССОИ должна обеспечивать решение следующих задач:

  1. регистрация новых пользователей с выдачей логина и пароля (формы заявки, маршруты согласования, генерация паролей, подтверждение подлинности заявителя)

  2. регистрация и изменение администратора АССОИ по предприятию (наряду со стандартными процедурами также удостоверение личности)

  3. предоставление зарегистрированным пользователям прав доступа (удобная консоль администратора АССОИ по предприятию)

  4. проверка пользователей при входе в систему (в качестве варианта рассмотреть ввода 4-6 значного цифрового кода с подтверждением разовым паролем, высылаемым на телефон или почту по выбору пользователя; контроль числа неправильных попыток входа)

  5. периодическая проверка пользователей на право доступа (прохождение администратором АССОИ по предприятию периодической процедуры проверки пользователей с составлением письменного документа; внешний api, позволяющий интегрировать его в системы учета кадров для оперативного отключения пользователей при их увольнении; возможны другие варианты)

  6. ведение лога всех изменений прав доступа для каждого пользователя, включая изменение основных реквизитов (фио, должность, телефон, почта), неудачных попыток входа в систему, а также, если получится, подозрительной активности в системе (нетиповое поведение пользователей)

  7. хранение фото и скана заявки с подписями для каждого пользователя (можно и с цифровой подписью, но это на перспективу)

  8. добавление в модель безопасности понятия "пропуск", для которого с одной стороны назначаются предметные права доступа, а с другой стороны определяется перечень предприятий, для которых действителен данный пропуск; при этом отдельным пользователям (логину) может быть выписано произвольное число пропусков; также желательно предусмотреть возможность создания типовых (шаблонных) пропусков, комбинация прав которых формирует пропуск для конкретного пользователя

  9. удобная консоль администрирования комплексных ролей

Вариант внешнего API для контроля уволенных сотрудников может быть реализовать с помощью xml файлов по следующей схеме:

  1. Для каждого сотрудника в справочнике пользователей указывается табельный номер, уникальный в пределах одного предприятия.

  2. АССОИ по запросу выдает xml файл, содержащий табельные номера сотрудников, у которых есть активные учетные записи в АССОИ.

  3. Внешняя система загружает полученный файл, проверяет, числятся ли указанные сотрудники в штате предприятия.

  4. После проверки внешняя система отправляет в АССОИ xml файл, в котором указываются табельные номера сотрудников, не числящихся в штате предприятия, имеющих активные учетные записи в АССОИ.

  5. После получения xml файла с выбывшими работниками для них автоматически деактивируется учетная запись с одновременным уведомлением администратора АССОИ по предприятию по электронной почте.

Предприятия могут интегрировать данный API в локальные кадровые системы, либо администратор АССОИ по предприятию согласно действующему регламенту должен ежедневно (еженедельно) вручную (по телефону) проверять числящихся в штате пользователей АССОИ и своевременно деактивировать учетные записи выбывших сотрудников.

Первоначальную регистрацию пользователей, существующих в старой версии АССОИ, предлагается реализовать по следующей схеме:

  1. Добавить на страницу входа кнопку "Перерегистрация существующих пользователей".

  2. При выборе режима перерегистрации выходит предложение ввести действующий логин, новый логин, зарегистрированную в АССОИ электронную почту, номер рабочего сотового телефона, 4-х символьный числовой пин-код.

  3. Новый логин формируется по следующей схеме: "код предприятия" + ”.” + ”новый логин”.

  4. Связка пин-код + логин + "буквенно-цифровой код" образуют пароль, который преобразуется в хеш-код, который передается в базу данных. Для повышения секретности буквенно-цифровой код можно устанавливать индивидуально для каждого пользователя при регистрации нового пользователя, сохраняя его в открытом виде в базе данных.

  5. После ввода данных и подтверждения ввода сервер при получении сверяет действующий логин и зарегистрированную почту с полученными данными, а также определяет привязку пользователя к предприятию.

  6. Прошедшие проверку пользователи получают на сотовый телефон и электронную почту разные разовые 6-и значные цифровые пароли, которые нужно ввести в соответствующие поля ввода и нажать кнопку подтверждения.

  7. В случае правильно введенных данных новый пользователь регистрируется в системе, после чего он может входить в систему по логину и пин-коду. При этом пользователь может выбрать способ получения разового пароля - на телефон или электронную почту. Телефонный номер или адрес электронной почты при этом не отображаются.

  8. Между вводом пин-кода устанавливается пауза не менее 10 секунд.

  9. При неправильном 3-х кратном вводе пин-кода учетная запись блокируется, а на адрес администратора АССОИ по предприятию и главного администратора АССОИ (список может быть расширен) высылается уведомление

  10. Пин-код может быть изменен пользователем в любое время. Кроме того, можно реализовать ограничение на предельный срок действия пин-кода (например, 6 месяцев или 1 год).

Для регистрации нового пользователя исключительно в новой системе процедура в целом аналогична, за исключением следующих моментов:

  1. Вместо старого логина в виде простого текста вводится полное наименование предприятия с указанием организационно-правовой формы, пользователь которого хочет получить доступ в систему. Кроме того, новый пользователь указывает свои фио полностью и должность, а также в произвольной форме любой комментарий.

  2. Служба технической поддержки управляющей компании получает сообщение о заявке на регистрацию и выбирает для полученной заявки из справочника код предприятия, зарегистрированного в системе. Если предприятие не зарегистрировано в системе, то на указанную в заявке электронную почту отправляется ответ типового содержания об отказе в регистрации.

  3. После установления в заявке кода предприятия заявка поступает на рассмотрение администратору АССОИ по предприятию (либо главному администратору для управляющей компании), код которого был проставлен в заявке, после чего тот проверяет введенные данные и регистрирует нового пользователя, либо отправляет на электронную почту типовой мотивированный отказ.

  4. При регистрации нового пользователя на его телефон и электронную почту высылаются разовые пароли, и далее следует процедура регистрации, аналогичная перерегистрации существующих пользователей.