В Самарском национальном исследовательском университете построили единую систему управления доступом пользователей на базе решения «1С:Документооборот» и модуля АИС «ИМЦ Управление университетом» на базе платформы «1С:Предприятие». Решена задача автоматического управления пользовательским доступом сотрудников вуза к функциональности произвольного набора информационных систем на основании кадровых приказов, политики представления доступа и пула занимаемых пользователем должностей. Решение интегрировано с ActiveDirectory и поддерживает централизованное изменение пароля пользователем в разрешенных информационных системах.
Самарский национальный исследовательский университет имени академика С.П. Королева основан в 1942 г. с целью подготовки инженеров для авиационной промышленности. Университет ведет подготовку специалистов для ракетно-космической, авиационной, радиоэлектронной, металлургической, автомобильной, инфокоммуникационной и других отраслей промышленности по 202 образовательным программам.
Цели проекта:
- уменьшить трудозатраты на ручное управление доступом пользователей к информационным системам вуза,
- освободить наемный персонал оFт обязанностей по настройке прав пользователей, смене пароля.
Задачи проекта:
- построить единую систему управления доступом пользователей;
- обеспечить единую связку логин+пароль у каждого пользователя для доступа к информационным системам вуза (не только 1С);
- обеспечить прозрачную систему разграничения пользовательских прав и доступа к информационным системам, завязанную на штатное расписание вуза.
Порядка 3000 сотрудников используют в своей работе широкий пул информационных систем, включая:
- электронный документооборот;
- систему управления учебным процессом;
- библиотечную систему;
- личный веб-кабинет сотрудника;
- почтовые и прочие сервисы и системы.
Для доступа в каждую из систем у сотрудника имеется своя уникальная связка логин+пароль. Часто встречаются случаи, когда таких связок на одну систему у одного пользователя несколько (совместители или иная ситуация).
Любая попытка к изменению прав пользователя приводит к огромным трудозатратам. Вот некоторые из тех действий, которые необходимо было выполнять до реализации проекта:
- выявить, в какие системы есть доступ;
- уточнить, в каких системах доступ должен остаться ;
- из пула связок логин+пароль изменить только те, которыми реально пользуется пользователь;
- перенастроить права согласно устному описанию пользователем решаемых им задач;
- придумывать новый пароль (и обычно для каждой системы свой);
- уведомлять пользователя о доступных ему связках логин+пароль.
Не лишним будет упомянуть, что при таком большом пуле связок логин+пароль, указанные выше действия инициировались не только кадровыми приказами, но и ситуациями, когда пользователь забывал, какая связка к какой системе у него используется.
Единая система управления доступом пользователей построена на базе решения «1С:Документооборот» и модуля АИС «ИМЦ Управление университетом» на базе платформы «1С:Предприятие».
Модуль умеет забирать информацию о пароле с ИС «ЛК Вуз», также забирает из ИС «Парус» сведения о штатном расписании вуза, текущем состоянии сотрудника.
В «1С:Документооборот» разработаны ключевые характеристики группы доступа. С помощью HTTP сервиса произведен экспорт групп доступа и ключевых характеристик в модуль АИС «ИМЦ Управление университетом». С помощью HTTP сервиса произведен импорт пакета сведений о пользователе в модуль АИС «ИМЦ Управление университетом».
Автоматизирован и настроен процесс сопоставления текущего набора пользователей с физическими лицами из ИС «Парус».
Созданы документы: утверждение организационный структуры, штатное расписание, кадровый призыв и настроен маршрут их согласования.
Решение интегрировано с ActiveDirectory и поддерживает централизованное изменение пароля пользователем в разрешенных информационных системах.
Итоговая система осуществляет автоматическое управление пользователями и их ролями в информационных системах, обеспечивающих управление учебным процессом, библиотечную деятельность и собственно электронный документооборот. Открытый API принимает кадровые приказы из сторонней системы кадрового делопроизводства и логика системы самостоятельно отрабатывает их. При этом персональные права учитывают наличие у пользователя нескольких трудовых договоров и кадровых исполнений. Такой подход позволяет отказаться от выдачи пользователям нескольких связок логин+пароль не только для разных систем, но и внутри одной системы.
Схема архитектуры системы
В рамках проекта удалось построить единую систему управления доступом, сократить затраты времени на ручное управление и обеспечить сотрудников вуза более удобными условиями работы.
Сложность проекта заключалась в связке «1С:Документооборот» c ИС «Парус». Алгоритм импорта будет отслеживать только основное исполнение сотрудника в бинарном варианте «работает/не работает». Данную схему стоит воспринимать временным решением, т.к. оно не способно обеспечить достаточно высокий уровень отслеживания кадровых приказов.
«Парус» является поставщиком сведений для модуля «АИС Управление университетом» о кадровых движениях сотрудников. Для этого в «Парусе» был реализован функционал, по передаче приказов по студенческому контингенту. Основные кадровые события, которые необходимо передавать в модуль «АИС Управление университетом»:
- Прием сотрудника.
- Увольнение сотрудника.
- Кадровое перемещение сотрудника.
- Временное кадровое перемещение сотрудника.
В процессе разработки необходимо определить список дополнительных кадровых событий, передаваемых в «1С:Документооборот» из ИС «Парус». Возможные дополнительные кадровые события:
- Исполнение обязанностей.
- Временное исполнение обязанностей.
- Отпуск (любой).
- Командировка.
- Больничный.
Специалистам на этапе внедрения приходилось проводить работы в вечернее время, чтобы не мешать учебному процессу. Помимо всего, этого необходимо было обучить порядка 50 пользователей, подстраиваясь под их расписание. Важными особенностями проекта являются возможности отработки приказов временного исполнения должностей и передача части прав пользователя на конкретного исполнителя. Это позволило обрабатывать приказы по временным должностям непосредственно в «1С:Документооборот» и сразу назначать права пользователей в «1С:Документооборот» с ограничениями по срокам.
Выросла эффективность работы администраторов
- Сократилось время на решение вопроса пользовательского доступа. Часть вопросов решается в момент обращения (смена пароля), часть в момент проведения кадрового приказа. Это особенно важно в случае делегирования обязанностей и/или временной передачи трудовой функции между сотрудниками (исполнение обязанностей на период отпуска/командировки/болезни и т.п.). Из-за большого количества пользователей ранее вопросы по смене пароля занимали 20-30% (зависело от графика сессий) рабочего времени. Сейчас этот показатель удалось снизить до 3-5%.
- Удалось переключить администраторов на более серьезные задачи, в том числе, не связанные с работой пользователей. Повысилась эффективность работы на 20%.
- У пользователей появилась единая связка логин+пароль, обеспечивающая им доступ к необходимому пулу информационных систем и их функциональных возможностей, согласно занимаемым штатным должностям.
- Появилась прозрачность в определении прав как конкретного пользователя, так и функциональной группы пользователей. Например, теперь с уверенностью в 100% можно говорить, что у всех сотрудников кафедр, отвечающих за готовность рабочих программ дисциплин, всегда будет один и тот же функционал.
