IAM / IGA Engineer

SMALL - крупнейший фуд-ритейл Казахстана с более чем 150 магазинами, собственными ЦОДами и облачной платформой. Мы строим современную платформу управления идентификацией и доступами для сотрудников, внутренних систем и сервисов компании.

Мы ищем опытного IAM / IGA инженера, который поможет развивать платформу управления учётными записями, ролями, группами, доступами и жизненным циклом сотрудников.

Ключевая часть роли - экспертиза в MidPoint и построение модели, при которой MidPoint полноценно управляет пользователями и группами в Active Directory.

Нам нужен не просто инженер, который “поднимал Keycloak” или “видел IDM”, а человек, который понимает, как работает полноценный контур управления идентификациями: HR-интеграция, жизненный цикл сотрудника, роли, назначения, провижининг, сверка, целевые системы и контроль консистентности.

• Развитие и эксплуатация IAM/IGA-платформы на базе MidPoint, Keycloak и open source-компонентов.
• Проектирование и настройка модели идентификаций: сотрудники, учётные записи, роли, группы, назначения, связи с целевыми системами.
• Настройка процессов жизненного цикла сотрудников и доступов: приём, перевод, увольнение, декрет/отпуск, повторный найм, блокировка и восстановление доступа.
• Настройка полноценного управления Active Directory через MidPoint:
  - создание, изменение, блокировка и деактивация пользователей в AD;
  - управление группами AD;
  - управление членством пользователей в группах;
  - настройка OU, target containers, правил именования и атрибутов учётных записей;
  - настройка провижининга и депровижининга пользователей и групп;
  - настройка сверки между MidPoint и AD;
  - обработка конфликтов, дублей, orphaned accounts и расхождений между системами.
• Интеграция MidPoint с Active Directory, Keycloak, HR-системами и внутренними приложениями. - Разработка и сопровождение коннекторов, маппингов, шаблонов объектов, правил синхронизации и задач сверки.
• Развитие ролевой модели: бизнес-роли, прикладные роли, технические права, группы, согласования и ограничения несовместимости доступов.
• Участие в проектировании модели авторизации для внутренних приложений: роли, права, разрешения, политики доступа.
• Разбор ошибок синхронизации, провижининга, рассинхронизации данных и проблем с жизненным циклом доступов.
• Подготовка эксплуатационных процедур, мониторинга, алертов, инструкций по восстановлению и сопровождению IAM-компонентов.
• Участие в обеспечении безопасности IAM-платформы: аудит, минимальные привилегии, сервисные учётные записи, резервное копирование, восстановление, контроль изменений.

• Практический опыт работы с MidPoint или сопоставимой IDM/IGA-системой.
• Понимание процессов управления идентификациями и доступами: Joiner / Mover / Leaver, роли, назначения, согласования, провижининг, сверка.
• Опыт настройки MidPoint как управляющей системы для Active Directory.
• Опыт провижининга и депровижининга пользователей и групп в AD через IDM/IGA-систему.
• Опыт управления членством в AD-группах через IDM/IGA.
• Понимание модели Active Directory: OU, группы, member/memberOf, UPN, sAMAccountName, DN, objectGUID, блокировка учётных записей, политики паролей.
• Опыт настройки коннекторов, маппингов, правил синхронизации и задач сверки.
• Понимание различий между физическим лицом, сотрудником, учётной записью, ролью, группой, назначением и правом доступа.
• Понимание SSO/OIDC/SAML и роли Keycloak или аналогичных Identity Provider в IAM-архитектуре.
• Умение разбираться в сложных интеграционных ошибках и восстанавливать консистентность данных между системами.
• Готовность работать hands-on: настраивать, тестировать, документировать, чинить и сопровождать.
  
  Будет плюсом:
• Опыт работы с несколькими доменами Active Directory, forest trust и multi-domain сценариями.
• Опыт миграции ручного управления AD-группами на IDM-driven model.
• Опыт построения ролевой модели, где AD-группы являются целевыми техническими правами, а не источником бизнес-ролей.
• Опыт работы с OPA, Ory Keto, OpenFGA или другими решениями для fine-grained authorization / policy-based access control.
• Опыт проектирования permission model для внутренних приложений и микросервисов.
• Опыт с SCIM, REST-коннекторами, кастомными коннекторами.
• Опыт работы с Kafka или event-driven интеграциями в HR/IAM-контуре.
• Опыт эксплуатации IAM-компонентов в Kubernetes или VM-based окружении.
• Опыт с Vault, управлением секретами, жизненным циклом сервисных учётных записей.
• Опыт с PostgreSQL, Prometheus/Grafana, ELK/OpenSearch.
• Опыт построения IAM-платформы с нуля или миграции с ручных процессов на автоматизированное управление доступами.

• Возможность работать удалённо или в офисе в Алматы
• Участие в создании современной IAM-платформы для крупного ритейлера.
• Возможность влиять на архитектуру управления доступами, жизненный цикл учётных записей и ролевую модель компании.
• Работу с современным open source-стеком: MidPoint, Keycloak, Vault, Kafka, PostgreSQL, Kubernetes, GitLab CI/CD, Prometheus/Grafana.
• Сильную кросс-функциональную команду: backend/frontend-разработчики, DevOps, DevSecOps, архитекторы, ИБ и владельцы бизнес-систем.
• Возможность заниматься не только эксплуатацией, но и построением зрелой IAM/IGA-функции: от HR-интеграции и управления AD до self-service и централизованной авторизации.