Рольове розмежування доступу
Інформація в базі даних системи IT-Enterprise являє найбільшу цінність для компаній, що експлуатують систему. Тому питання безпечного поводження з інформацією - одне з найважливіших місць в системі IT-Enterprise.
IT-Enterprise інтегровано з системою безпеки Windows. Користувачеві досить один раз ввести свій логін і пароль у домені. Права роботи в IT-Enterprise він отримає на підставі свого облікового запису Windows.
В системі IT-Enterprise підтримується двофакторна аутентифікація. Двофакторна аутентифікація - це додатковий рівень безпеки, який гарантує, що доступ до облікового запису користувача зможе отримати тільки його власник, навіть якщо його пароль став відомий комусь ще.
В якості другого фактора аутентифікації може використовуватися один з наступних варіантів:
- Підтвердження номера мобільного телефону.
- Підтвердження адреси електронної пошти.
- Підтвердження секретного ключа Google Authenticator.
Коли користувач входить в систему, то крім аутентифікації за логіном і паролем система попросить його ввести код (одноразовий пароль), який буде доставлений йому по SMS, E-mail або з Google Authenticator.
В системі ведеться безліч журналів. Наступні журнали забезпечують фіксацію всіх дій користувачів з системою IT-Enterprise:
- Журнал роботи користувачів. Фіксується, хто, коли зареєструвався в системі, яку функцію і коли запустив, скільки пропрацював і т.д .;
- Журнал коригувань довідників. Фіксуються каскадні видалення і заміни в таблицях зі зміни глобальних довідників;
- Журнал аудиту змін таблиць бази даних;
- Журнал подій системи. При настанні заданих подій виконується запис в журналі. Наповнення журналу залежить від типу події. Є можливість при настанні певних подій розсилки повідомлень на e-mail і на мобільний телефон адміністратора;
- Журнали реєстрації всіх збоїв і некоректних завершень робіт.
На рівні системи IT-Enterprise доступ до даних і функцій маніпулювання даними надається користувачам на основі ролей. Для кожної групи користувачів (для кожної ролі) налаштовується перелік доступних для роботи модулів, а також функцій кожного модуля: тільки перегляд або модифікація, фільтрація даних, обмеження розрахункових режимів і т.д. Якщо модуль та/або функція недоступна для користувача, модуль/функція не відображається в його головному меню.
Для користувачів і груп доступ до функцій і розрахунків надається за заданим розкладом. Для груп передбачена можливість створення спеціалізованих модулів, довільних меню, коригування існуючих меню, додавання і закриття функцій в меню.
Робота окремого користувача в системі також може бути параметризрвана: для різних користувачів задаються різні правила роботи, налаштовується доступ до тих чи інших можливостей системи, а також доступ до тих або інших даних (по підрозділах, по групах ресурсів, по рахунках і т.д.). Для різних груп (ролей) налаштовується доступ і правила роботи.
Крім того, окремі правила роботи можуть бути задані в залежності від комп'ютера - робочого місця, з якого користувач працює з системою.