• Проекты
• Промышленность

Аэрофлот

Внедрение системы управления учетными записями пользователей в ОАО "Аэрофлот - Российские Авиалинии"

В конце августа 2005 года Компания "Аэрофлот - Российские Авиалинии" совместно с Amphora Group и Microsoft Consulting Services завершила проект по реструктуризации корпоративной ИТ-инфраструктуры и внедрению системы класса Identity Management. Проект предполагал создание и внедрение интеграционного решения класса Identity Management, охватывающего основные компоненты ИТ-инфраструктуры авиакомпании, а также её модернизацию до уровня Active Directory 2003. В рамках проекта все основные работы по анализу, проектированию и внедрению проектных решений осуществлялись компанией Amphora Group. Microsoft Consulting Services проводил авторский надзор и консультации при построении новой инфраструктуры и системы Identity Management.

Цели и задачи проекта

В ОАО "Аэрофлот - Российские Авиалинии" возникла потребность в реорганизации существующей ИТ-инфраструктуры, включая перестроение процесса управления всеми ее элементами. Ситуация была хрестоматийной - наличие большого количества разнородных информационных систем как прикладного, так и системного назначения, большое количество сотрудников, распределенных по различным офисам. Средний пользователь использует в своей работе не менее 5-7 разнородных информационных систем, в число которых попали такие системы как Active Directory, системы на базе Lotus Domino, система доступа в Интернет, прикладные системы производственного и управленческого назначения - на различных платформах (Windows, Linux, Unix) и с использованием различных СУБД (MS SQL Server, Oracle 8/8i/9i, Firebird и т.д.).

Для администрирования каждой из систем существовали отдельные группы администраторов, недостаточно связанные друг с другом даже в процессе решения рутинных вопросов администрирования - прием/увольнение/изменение положения сотрудника в организации. Кроме того, заказчик выразил желание упорядочить свою Windows-инфраструктуру и перейти от множества доменов NT 4.0 Server, Windows 2000 Server, одноранговых сетей и нескольких доменов Windows 2003 Server к единому лесу Windows 2003 Server.

Ход проекта

Для реализации первой фазы проекта по внедрению IM были выбраны следующие системы - кадровый модуль на базе БД Firebird 1.5, новая Active Directory 2003 (развернутая взамен старой инфраструктуры), почтовая система на базе Lotus Notes, внутренняя система на базе Lotus Domino и система доступа в Интернет на базе модифицированных Squid-серверов.
Кроме того, была поставлена задача модернизировать существующую Windows-инфраструктуру до уровня Active Directory 2003 и осуществить миграцию пользователей, рабочих станций и серверов в новую инфраструктуру.

На первом этапе был проведен всесторонний анализ текущей ситуации, а также были обобщены требования к результатам проектных работ. Так как проект включал в себя две задачи, модернизация + миграция и внедрение IM, то на первом этапе работы выполнялись по обоим направлениям. В силу масштабности организации Заказчика и распределения по территориям, отсутствия актуальной информации об инфраструктуре, выполнение работ по этапу растянулось на календарный месяц. Заказчику была представлена вся разработанная документация с описанием его текущей инфраструктуры, а также сформулированные требования к результатам проектных работ, включая требования к аппаратному обеспечению.

На втором этапе выполнялось проектирование новой инфраструктуры, процедуры миграции в новую инфраструктуру и, собственно, проектирование детального дизайна системы IM. На этом этапе было спроектировано расширение схемы Active Directory для установления однозначного соответствия с MetaDirectory и другими информационными системами, были спроектированы и формализованы форматы взаимодействия системы IM и подключаемых информационных систем. В качестве базовой платформы было предложено использование продукта Microsoft Identity Integration Server 2003.

В ходе третьего этапа на тестовом стенде, максимально точно повторяющем конфигурацию новой Windows-инфраструктуры и типичных рабочих станций, была развернута новая инфраструктура и базовая платформа для системы IM, а также установлены тестовые образцы реальных информационных систем. В течение этого же этапа проводились итерации по первоначальному связыванию. По итогам каждой итерации выявлялись не связавшиеся записи по объектам, по таким объектам уточнялась информация. Здесь же была полностью отработана процедура миграции в новую инфраструктуру и реализован механизм по синхронизации структуры Active Directory 2003 и кадровой структуры организации, а также разработана и оттестирована процедура синхронизации паролей между всеми системами, подключенными к MIIS 2003.

Этап внедрения проходил в следующей очередности:
- Построение новой инфраструктуры в продуктивном окружении;
- Миграция в новую инфраструктуру;
- Установка базовой платформы (MIIS 2003 SP1);
- Подключение кадровой системы;
- Создание в MetaDirectory записей по объектам на основании информации из кадровой системы;
- Подключение построенного и полностью смигрированного леса Active Directory 2003 с расширением схемы дополнительным атрибутом для связывания с MetaDirectory и другими системами;
- Заполнение MetaDirectory специфичными атрибутами из Active Directory (AD);
- Подключение систем на базе Lotus и заполнение MetaDirectory атрибутами объектов, специфичных для Lotus;
- Синхронизация имен пользователей в Lotus и AD;
- Подключение системы доступа в Интернет ;
- Синхронизация паролей пользователей во всех системах;
- Включение правил для отслеживания изменений идентификационной информации во всех подключенных системах.

Результаты проекта

Новая инфраструктура отличается высокой степенью централизации, надежности, устойчивостью к попыткам несанкционированного доступа и возможностью масштабирования под нужды "Аэрофлота". По мнению экспертов, новые возможности позволят "Аэрофлоту" заметно увеличить эффективность использования существующих информационных ресурсов, в частности повысить время отклика инфраструктуры на действия конечного пользователя, управляемость инфраструктуры и прозрачность протекающих в ней процессов. Автоматизация рутинных операций позволит высвободить квалифицированные кадры для решения более важных для компании задач в сфере управления ИТ-инфраструктурой и обеспечения необходимого уровня информационной безопасности. Кроме того, внедрение единых продуманных правил управления информацией о пользователях и их правах в эксплуатируемых ИТ-системах позволит уменьшить риск, связанный с получением несанкционированного доступа к информации или завышенных прав доступа к конфиденциальной информации.