Как выбрать IAM/IdM-систему: критерии и архитектура
IAM/IdM-система (управление идентификацией и доступом) — это центр, через который сотрудник получает учётные записи и права при приёме на работу, меняет их при переводах и теряет доступ при увольнении. Когда этот контур ручной, копятся «забытые» учётки, избыточные права и теневой доступ — а это прямой путь к инциденту и претензиям аудитора. **Если коротко:** выбор IAM/IdM сводится не к бренду, а к тому, насколько система ложится на ваш ландшафт — каталоги, кадровый источник, целевые приложения и российские ОС. Смотрите на архитектуру, набор коннекторов для провижининга, зрелость ролевой модели (RBAC/ABAC), SSO и MFA, полноту аудита и реальную поддержку со стороны вендора. Ниже — критерии, по которым стоит сравнивать, редакционная оценка их значимости и план внедрения. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге IAM, IdM, SSO и MFA](/rating/iam-idm-sso-mfa).
Доступы нужно проверять как отдельный контур риска
В IAM и MFA важны сценарии входа, роли, исключения и контроль того, кто получает доступ к критичным системам.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
IAM, IdM, SSO и MFA: что есть что
Термины часто смешивают, хотя они закрывают разные задачи. Понимание границ помогает не переплачивать за функции, которые вам не нужны, и не упустить критичные.
- **IdM (Identity Management).** Управление жизненным циклом учётной записи: создание, изменение, блокировка и удаление прав по событиям кадрового источника. Сердце — провижининг и ролевая модель. - **IAM (Identity and Access Management).** Более широкий зонтик: к управлению идентификацией добавляются аутентификация, авторизация, SSO и контроль доступа в целевые системы. - **SSO (Single Sign-On).** Единый вход: одна аутентификация открывает доступ к множеству приложений по SAML, OIDC, Kerberos. - **MFA (многофакторная аутентификация).** Дополнительный фактор (OTP, push, токен, биометрия), который снижает риск компрометации пароля.
На практике зрелое решение совмещает IdM-ядро с IAM-функциями, SSO и встроенной либо интегрируемой MFA. Какой набор нужен именно вам — зависит от размера компании и требований регуляторов.
Архитектура и провижининг: с чего начинать выбор
Главная ценность IdM — автоматический провижининг: система сама заводит и снимает доступы по данным кадрового источника (чаще всего «1С:ЗУП» или иной HR-системы) и синхронизирует их с целевыми системами. Качество этого контура определяет, окупится внедрение или превратится в дорогой справочник.
- **Кадровый источник как триггер.** Приём, перевод, отпуск, увольнение в HR должны автоматически менять права. Проверьте готовый коннектор к вашей HR-системе. - **Коннекторы к целевым системам.** Домен (каталог), почта, «1С», СЭД, бизнес-приложения, базы данных. Чем больше готовых коннекторов из коробки, тем меньше кастома и дольше живёт интеграция. - **Каталог как точка интеграции.** Совместимость с Microsoft AD и российскими каталогами (ALD Pro, «Альт Домен», Avanpost DS и др.) критична при импортозамещении. - **Согласование доступа (workflow).** Заявки, маршруты согласования, делегирование — чтобы выдача прав была управляемой, а не «по письму руководителю».
Значимость критериев выбора IAM/IdM
Редакционная оценка веса критериев для типового корпоративного внедрения по открытым данным. Это ориентир для приоритизации требований, а не вендорский бенчмарк и не замена пилоту.
Ролевая модель, SSO и MFA: на что смотреть детальнее
Провижининг наполняет систему данными, а порядок наводит ролевая модель. Без неё IdM быстро превращается в свалку точечных прав, которую невозможно проверить аудитом.
- **RBAC и ABAC.** Ролевая модель (по должностям, подразделениям) плюс атрибутивные правила для гибких случаев. Важна возможность строить роли из кадровой структуры полуавтоматически (role mining), а не вручную. - **SSO и федерация.** Поддержка SAML 2.0, OIDC/OAuth 2.0, Kerberos для бесшовного входа в облачные и локальные приложения; каталог совместимых коннекторов SSO. - **MFA.** Набор факторов (TOTP, push, аппаратные токены, в т.ч. отечественные), адаптивные политики по риску и контексту, поведение при недоступности фактора. - **Аудит и пересмотр доступа.** Журналирование «кто, что, когда и на каком основании», кампании ресертификации (периодический пересмотр прав), выгрузки под требования регулятора и внутренний контроль.
Кто представлен на российском рынке IAM/IdM
Ниже — ориентир по заметным решениям российского рынка. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/iam-idm-sso-mfa). Цель таблицы — показать, чем продукты различаются по позиционированию.
| Решение | Вендор | Позиционирование | Чаще всего подходит для |
|---|---|---|---|
| Avanpost IDM | Avanpost | IdM с собственной экосистемой (каталог, SSO, PKI) | Импортозамещение «под ключ», средний и крупный бизнес |
| Ankey IDM | «Газинформсервис» | IdM с акцентом на интеграции и комплаенс | Госсектор, КИИ, крупные холдинги |
| Solar inRights | «Ростелеком-Солар» | IdM в составе портфеля ИБ и управляемых услуг | Компании, идущие в сторону SOC/MSSP |
Чек-лист выбора IAM/IdM-системы
План внедрения IAM/IdM: 6 шагов
-
01
Инвентаризация
Соберите перечень систем, учётных записей и текущих прав, выявите «забытые» и избыточные доступы.
-
02
Кадровый источник и каталоги
Подключите HR-систему как триггер и каталоги как точку интеграции, согласуйте справочники.
-
03
Ролевая модель
Постройте роли из кадровой структуры (role mining), согласуйте матрицу доступа с владельцами систем.
-
04
Провижининг по приоритету
Подключайте целевые системы волнами — сначала самые массовые и критичные (домен, почта, «1С»).
-
05
SSO, MFA и согласование
Включите единый вход, многофакторную аутентификацию и маршруты заявок на доступ.
-
06
Аудит и ресертификация
Запустите отчётность, кампании пересмотра прав и контроль расхождений «как должно» против «как есть».
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом IAM/IdM](/rating/iam-idm-sso-mfa): здесь — критерии и архитектура, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Определились с критериями — переходите к сравнению поставщиков: **[рейтинг IAM, IdM, SSO и MFA →](/rating/iam-idm-sso-mfa)**. Полезно прочитать рядом: [российские аналоги Okta и Entra ID](/research/rossijskie-analogi-okta-entra-id), [рейтинг систем управления доступом и SSO 2026](/research/rejting-iam-sso-sistem-2026) и [MFA для предприятия](/research/mfa-dlya-predpriyatiya).
Частые вопросы
Чем IdM отличается от IAM?
IdM управляет жизненным циклом учётной записи и прав (создание, изменение, блокировка, удаление) по событиям кадрового источника. IAM — более широкий зонтик, который добавляет к этому аутентификацию, авторизацию, SSO и контроль доступа в целевые системы. На практике зрелые решения совмещают оба контура.
Что важнее при выборе — провижининг или SSO/MFA?
Для большинства проектов фундамент — провижининг и ролевая модель: именно они убирают «забытые» учётки и избыточные права. SSO и MFA повышают удобство и безопасность входа, но без управляемого жизненного цикла доступа дают меньший эффект. Порядок зависит от ваших болевых точек.
Нужна ли IAM/IdM-система малому бизнесу?
При нескольких десятках сотрудников и единичных системах выгоды от полноценного IdM может не быть — управление вручную дешевле. Потребность растёт с числом сотрудников, систем и требований комплаенса: чем больше точек выдачи доступа, тем выше риск ошибки и тем сильнее окупается автоматизация.
Как с импортозамещением и поддержкой российских ОС?
Ключевой критерий — совместимость с российскими ОС (Astra Linux, РЕД ОС) и каталогами, а также наличие в реестре отечественного ПО и сертификата ФСТЭК под вашу задачу. Проверяйте это по первоисточникам — реестрам Минцифры и ФСТЭК, — а не по презентациям вендора.
Где сравнить конкретных вендоров между собой?
В рейтинге IAM, IdM, SSO и MFA — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
IAM/IdM-система (управление идентификацией и доступом) — это центр, через который сотрудник получает учётные записи и права при приёме на работу, меняет их при переводах и теряет доступ при увольнении. Когда этот контур ручной, копятся «забытые» учётки, избыточные права и теневой доступ — а это прямой путь к инциденту и претензиям аудитора. **Если коротко:** выбор IAM/IdM сводится не к бренду, а к тому, насколько система ложится на ваш ландшафт — каталоги, кадровый источник, целевые приложения и российские ОС. Смотрите на архитектуру, набор коннекторов для провижининга, зрелость ролевой модели (RBAC/ABAC), SSO и MFA, полноту аудита и реальную поддержку со стороны вендора. Ниже — критерии, по которым стоит сравнивать, редакционная оценка их значимости и план внедрения. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге IAM, IdM, SSO и MFA](/rating/iam-idm-sso-mfa).