Definieren der Identitätsverwaltung
Identitätsverwaltung ist, wie Identitätsobjekte während der Lebensdauer des Vorhandenseins der Identität verwaltet werden. Diese Verwaltung kann manuell oder automatisiert werden. Es muss jedoch getan werden. Hier ist ein einfaches Beispiel dafür, was ohne Governance und Verwaltung Ihrer Identitäten geschieht.
Geschichte - das Leben einer Identität
Sie haben einen Benutzer mit dem Namen Juan. Juan erhält ein Konto in Ihrem Unternehmen und arbeitet mehrere Jahre lang. Im Laufe dieser Zeit erhält der Benutzer Administratorzugriff auf die Bereitstellung einer Anwendung. Später verlässt Juan das Unternehmen in guter Hinsicht; Das Konto wird jedoch nie aus dem System entfernt. Ein Manager hat vergessen, die Unterlagen einzureichen, um das Konto zu schließen. Es gibt kein Governance-System, um zu bemerken, dass das Konto nicht verwendet wird und dass Juan nicht mehr in den HR-Systemen aufgeführt ist. Ein Jahr später fällt Juan Opfer einer Phishing-E-Mail und hat seinen persönlichen Benutzernamen und sein Kennwort gestohlen. Als viele Menschen verwendete Juan ein ähnliches Kennwort für sein Privatleben und seine Geschäftskonten. Wissen Sie was? Jetzt haben Sie ein Szenario, in dem in Ihre Systeme eingebrochen werden könnte. Und der Angriff kommt von einem Konto, das offenbar gültig ist!
Identitätsverwaltung bietet
- Ein System, das in bezug auf Geschäftsprozesse hochgradig konfigurierbar ist
- Die Flexibilität, Ressourcen nach Bedarf zu skalieren
- Kosteneinsparungen durch die Verteilung und Automatisierung des Managements
- Flexibilität bei Synchronisierung, Verbreitung und Änderungskontrolle
Allgemeine Aufgaben für die Identitätsverwaltung
Es gibt viele häufige Aufgaben, die während der Identitätsverwaltung ausgeführt werden.
Identitätsverbreitung – befasst sich mit der Speicherung von Identitätsobjekten innerhalb der Umgebung. Organisationen verfügen häufig über Identitäten an Orten wie Active Directory, anderen Verzeichnisdiensten und anwendungsspezifischen Identitätsspeichern.
Provision und Deprovision - sind tatsächlich zwei separate Funktionen. Die Bereitstellung bezieht sich darauf, wie Identitätsobjekte innerhalb eines Systems erstellt werden. Die Deprovision konzentriert sich auf das Entfernen einer Identität aus dem Zugriff (Löschung, Deaktivierung des Sicherheitsprinzips oder Entfernen des Zugriffs).
Identitätsupdates – beschreibt, wie Identitätsinformationen in der gesamten Systemumgebung aktualisiert werden. Die Idee besteht darin, von einem manuellen Aufwand zu einem automatisierteren und optimierteren Ansatz zu wechseln.
Synchronisierung – stellt sicher, dass Identitätssysteme in einer Umgebung mit den neuesten Identitätsinformationen auf dem neuesten Stand sind. Diese Informationen sind häufig entscheidend für die Ermittlung des Zugriffs. Die wichtigsten Punkte, die diese Funktion beeinflussen, sind die Ausführung der Synchronisierung, ob sie manuell, zeitbasiert oder ereignisgesteuert ist.
Kennwortverwaltung – konzentriert sich darauf, wo und wie Kennwörter in der gesamten Identitätsinfrastruktur festgelegt werden. In den meisten Organisationen ist der Service Desk immer noch der Mittelpunkt für vergessene Kennwörter.
Gruppenverwaltung – konzentriert sich darauf, wie eine Organisation Gruppen (z. B. Active Directory und/oder LDAP) innerhalb ihrer Umgebung verwaltet. Gruppen sind eines der am häufigsten verwendeten Formulare zum Ermitteln von Zugriffsberechtigungen für Ressourcen und sind teuer für die Verwaltung und Bedienung.
Anwendungsberechtigungsverwaltung – definiert, wie Identitäten Zugriff auf Anwendungen gewährt werden. Sie konzentriert sich auf die Bereitstellung grobkörniger Anwendungsberechtigungen, die als in der Autorisierungssäule enthaltene Funktion durchgesetzt werden. Andererseits werden feingranulare Berechtigungen als Attribute, die sich auf eine Identität beziehen, verwaltet.
Benutzeroberfläche – ermöglicht es dem Endbenutzer, Aktualisierungen seiner Identitätsinformationen anzufordern oder vorzunehmen. In vielen Umgebungen wenden sich Benutzer weiterhin an service Desk, um Aktualisierungen ihrer Identitätsinformationen zu erhalten.
Change Control – Die Funktion konzentriert sich darauf, wie Änderungen entweder automatisch oder manuell von einem Service Desk-Experten durch die Umgebung geleitet werden. Es kann eine Automatisierung mit oder ohne Workflow geben, die den Änderungsprozess steuert. Einige Organisationen senden weiterhin E-Mails, um Anfragen abzuschließen, während andere über umfangreiche und ausgereifte Prozesse zur Ausführung der Veränderung verfügen.
Identitätsverwaltungsautomatisierung
| PowerShell | CLI (Befehlszeilenschnittstelle) |
|---|---|
| Plattformübergreifende PowerShell wird unter Windows, macOS, Linux ausgeführt | Plattformübergreifende Befehlszeilenschnittstelle, installierbar unter Windows, macOS, Linux |
| Erfordert Windows PowerShell oder PowerShell | Wird in Windows PowerShell, der Eingabeaufforderung, Bash und anderen Unix-Shells ausgeführt. |
| Skriptsprache | Handlung | Befehl |
|---|---|---|
| Azure CLI | Benutzer erstellen | az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com |
| Microsoft Graph | Benutzer erstellen | New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“ |
Berücksichtigen Sie bei der Auswahl des richtigen Tools Ihre bisherige Erfahrung und aktuelle Arbeitsumgebung. Die Azure CLI-Syntax ähnelt der der Bash-Skripterstellung. Wenn Sie in erster Linie mit Linux-Systemen arbeiten, fühlt sich Azure CLI natürlicher an. PowerShell ist das Microsoft-Skriptmodul. Wenn Sie in erster Linie mit Windows-Systemen arbeiten, ist PowerShell eine natürliche Passform. Befehle folgen einem Verben-Nomenbenennungsschema, und Daten werden als Objekte zurückgegeben.
Microsoft Graph
Microsoft Graph macht REST-APIs und Clientbibliotheken verfügbar, um auf Daten in den folgenden Microsoft-Clouddiensten wie Microsoft Entra ID, Microsoft 365, Geräten und vielen anderen zuzugreifen.
Die Microsoft Graph-API bietet einen einzelnen Endpunkt,
https://graph.microsoft.com, um Zugriff auf umfangreiche, personenorientierte Daten und Einblicke in die Microsoft-Cloud zu ermöglichen, einschließlich Microsoft 365, Windows 10 und Enterprise Mobility + Security. Sie können REST-APIs oder SDKs verwenden, um auf den Endpunkt zuzugreifen und Apps zu erstellen, die Microsoft 365-Szenarien unterstützen. Der Zugriff kann sich von Produktivität, Zusammenarbeit bis hin zu Bildung erstrecken. Microsoft Graph enthält auch einen leistungsstarken Satz von Diensten, die Benutzer- und Geräteidentität verwalten. Sie können Zugriff, Compliance, Sicherheit und Schutz von Organisationen vor Datenlecks oder Verlusten ermitteln und konfigurieren.Microsoft Graph-Connectors funktionieren für eingehenden Datenfluss und liefern externe Daten in Microsoft Graph-Dienste und -Anwendungen, zur Verbesserung von Microsoft 365-Erlebnissen wie Microsoft Search. Connectors sind für viele häufig verwendete Datenquellen wie Box, Google Drive, Jira und Salesforce vorhanden.
Microsoft Graph Data Connect bietet eine Reihe von Tools zum Optimieren der sicheren und skalierbaren Bereitstellung von Microsoft Graph-Daten an beliebte Azure-Datenspeicher. Die zwischengespeicherten Daten dienen als Datenquellen für Azure-Entwicklungstools, mit denen Sie intelligente Anwendungen erstellen können.
Gemeinsam nutzen die Microsoft Graph-API, Connectors und Data Connect die Microsoft Cloud Services-Plattform. Mit der Möglichkeit, auf Microsoft Graph-Daten und andere Datasets zuzugreifen, können Sie Erkenntnisse und Analysen ableiten, Azure und Microsoft 365 erweitern, indem Sie einzigartige, intelligente Anwendungen erstellen.