Información general sobre la API de revisiones de acceso

Las revisiones de acceso de Azure Active Directory (Azure AD) son una característica de La gobernanza de identidades de Azure AD que ayuda a garantizar que las identidades correctas (o entidades de seguridad) tengan el acceso adecuado a los recursos adecuados de la organización. Esta revisión se puede implementar mediante programación mediante la API de revisiones de acceso en Microsoft Graph.

Participantes en una revisión de acceso

Las revisiones de acceso tratan de atestiguar o volver a certificar el acceso continuo de una entidad de seguridad a un recurso. Las entidades de seguridad pueden ser usuarios, grupos o aplicaciones individuales.

Entre los recursos para los que se puede revisar el acceso se incluyen grupos, roles con privilegios (incluidos roles de Azure AD y roles de recursos de Azure), paquetes de acceso y aplicaciones.

Los revisores o atestiguadores de la revisión de acceso pueden incluir los siguientes usuarios o grupos de usuarios:

  • Un usuario (usuario invitado o miembro) que revisa su propio acceso y atestigua su necesidad de acceso continuo.
  • Otro usuario, por ejemplo, un administrador en un rol administrador de seguridad, revisando el acceso a otras entidades de seguridad.
  • El administrador de un usuario que atestigua la necesidad de acceso continuado de sus informes directos.
  • Miembros de un grupo.
  • Propietarios de grupos, incluidos los propietarios que podrían cumplir criterios específicos.
  • Propietarios de aplicaciones.

Bloques de creación de la API de revisión de acceso

La API de revisiones de acceso está estructurada lógicamente y se compone de los siguientes bloques de creación.

1. Definición de programación de revisiones de acceso

Este es el plano técnico lógico que contiene la configuración de una revisión de acceso y sus instancias. Entre estas opciones se incluyen:

  • Los recursos a los que se accede.
  • Las entidades de seguridad que acceden al recurso.
  • Los revisores que atestiguan la necesidad de que las entidades de seguridad mantengan el acceso a los recursos.
  • Frecuencia de la revisión de acceso.
  • Las fases de la revisión de acceso (para una revisión de acceso de varias fases).
  • Decisiones predeterminadas que se aplicarán si no se registran las decisiones.

2. Instancia de revisión de acceso

Representa una única actividad de revisión, o repetición, en la que los revisores toman decisiones. Una definición de revisión de acceso puede tener varias instancias, como sucede en las revisiones periódicas. Las revisiones puntuales tienen exactamente una instancia. Para una revisión de acceso de varias fases, cada instancia contiene hasta tres fases.

3. Elemento de decisión registrado para una revisión

Representa una decisión que un revisor tomó en una instancia, incluida la marca de tiempo y la justificación de la decisión. Cada instancia de revisión tiene tantas decisiones como el número de entidades de seguridad que se están revisando. Si no se toman decisiones, es decir, los revisores no han respondido a la revisión, no habrá objetos de decisión para la instancia.

Se pueden proporcionar decisiones recomendadas generadas por el sistema para cada elemento de decisión. Se basan en la última fecha de inicio de sesión de la entidad de seguridad cuyo acceso está en revisión. Esta característica proporciona a los revisores visibilidad sobre las cuentas inactivas de la organización y recomienda las decisiones que se deben aplicar sobre el acceso continuo de la entidad de seguridad.

Las revisiones de acceso también admiten la auditoría de las decisiones que se tomaron en cada instancia de revisión de acceso, con las decisiones también descargables para la auditoría sin conexión.

Ámbito de la llamada a la API de revisiones de acceso

La API de revisiones de acceso admite contextos de aplicación y delegados.

En un contexto delegado (usuario), una aplicación llama a la API de revisiones de acceso en nombre de un usuario. Entre los escenarios típicos se incluyen:

  • Un administrador usa un script para crear, leer o actualizar una revisión de acceso.
  • Un propietario de recursos usa una aplicación o un script para crear una revisión de acceso para un recurso de su propiedad.
  • Un administrador recopila automáticamente todas las decisiones de una o varias revisiones de acceso.

En un contexto de aplicación, una aplicación llama a la API de revisiones de acceso sin que haya un usuario que haya iniciado sesión. Un escenario típico es un script en segundo plano programado que recopila periódicamente decisiones para todas las revisiones de acceso.

Pasos siguientes