Présentation des architectures de référence Microsoft Cloud for Financial Services
Microsoft Cloud for Financial Services est construit sur des modèles de données verticaux et centraux spécialisés, facilitant une interopérabilité et une unification transparentes des données pour accélérer à la fois les informations et les flux de travail commerciaux. Avec ce cadre de base en place, un ensemble d’applications propriétaires pour démarrer et de blocs élémentaires basés sur le cloud qui permettent d’améliorer la collaboration, l’automatisation et les informations. Il a permis de rationaliser les processus, de personnaliser les interactions avec les clients et d’améliorer l’expérience client globale. Cette solution complète garantit également que des mesures robustes de sécurité, de conformité et d’interopérabilité sont en place pour protéger les opérations critiques.
Pour acquérir une compréhension approfondie du déploiement, de la configuration et de l’extension de ces composants de solution verticaux et de ces modèles de données, et de leur intégration en tant qu’éléments centraux d’une solution globale, les architectures de référence offrent des lignes directrices précises que les architectes de solutions et les développeurs doivent suivre. Ces architectures de référence constituent des outils précieux pour minimiser la probabilité d’erreurs et d’omissions tout au long des phases de conception et de développement, garantissant ainsi une mise en œuvre plus efficace et plus fiable.
Architecture
Microsoft Cloud for Financial Services utilise une combinaison de produits Microsoft pour répondre aux scénarios prioritaires du secteur axés sur la banque de détail et étendre les secteurs d’activité de l’assurance sur la propriété et les risques divers (version préliminaire) et des petites et moyennes entreprises (version préliminaire) avec des modèles de données. L’illustration suivante présente les fonctionnalités requises et recommandées ainsi que les extensions externes pilotées par les fournisseurs de logiciels indépendants et les intégrateurs de systèmes.
Télécharger un PDF imprimable de ce diagramme.
Concepts communs
Sécurité
Authentification
Les utilisateurs s’authentifient à PowerApps via Microsoft Entra ID comme dans n’importe quelle autre application Power Apps. Microsoft Entra ID exécute les méthodes d’authentification activés dans le client et applique toutes les stratégies d’accès conditionnel telles que l’authentification multifacteur, pour les utilisateurs accédant à l’application.
l’autorisation,
Le profil client unifié utilise le modèle de sécurité basé sur les rôles dans Dataverse pour autoriser les utilisateurs à accéder aux éléments de donnée. Des rôles de sécurité intégrés sont disponibles, ou vous pouvez configurer les vôtres pour mettre en œuvre le modèle de sécurité basé sur les rôles. Le niveau d’accès tient compte de la hiérarchie de la division dont l’utilisateur est membre.
Premièrement, vous devez modéliser et configurer la hiérarchie de la division. Puis, vous pouvez copier ces rôles de sécurité intégrés et les appliquer à vos divisions pour créer votre segmentation de sécurité. Dans le cadre de la gestion des utilisateurs, vous attribuez ces rôles de sécurité à l’utilisateur final, aux équipes ou aux divisions. Pour plus d’informations sur l’utilisation des groupes de sécurité Microsoft Entra ID, accédez à Concepts de sécurité dans Microsoft Dataverse.
Après l’attribution de la licence pour les composants de solution dépendants et l’accès à l’environnement à chaque utilisateur, vous devez attribuer des rôles de sécurité intégrés supplémentaires aux utilisateurs, aux équipes de propriétaires ou aux équipes du groupe Microsoft Entra ID pour qu’ils puissent accéder à l’application ou l’utiliser.
Extension de sécurité
Les institutions financières ont généralement des politiques de sécurité complexes et doivent être surveillées de près pour des besoins d’audit et de conformité. Voici quelques scénarios courants pouvant nécessiter une extension :
Règles d’habilitation pour accéder aux données client
Étant donné que le profil client/client unifié est conçu pour fournir une perspective à 360 degrés, il doit accéder à de nombreux éléments et objets de données client. Les institutions financières ont généralement des règles spécifiques à prendre en compte avant que les utilisateurs puissent accéder ou opérer sur des objets spécifiques tels que les données client. Ces règles peuvent inclure de nombreux critères, notamment la branche de l’utilisateur, le rôle de l’utilisateur, les équipes dont l’utilisateur est membre, la catégorie de produits à laquelle il accède, le secteur d’activité, le segment de client, etc. La solution doit appliquer ces règles pendant que l’utilisateur effectue une recherche, une liste, accéder et exploiter le dossier client.
Microsoft Cloud for Financial Services utilise les fonctionnalités de sécurité natives de Dataverse détaillées ici. Microsoft recommande d’adopter une approche de configuration d’abord, comme illustré, pour concevoir le modèle de sécurité avec ces composants de sécurité natifs afin d’appliquer ces règles d’autorisation.
Vous pouvez suivre les bonnes pratiques de sécurité partagées dans le guide de mise en œuvre de Dynamics 365 et les pratiques suivantes.
- La sécurité Dataverse est conçue avec la propriété, pensez à ne pas attribuer et partager des enregistrements avec des utilisateurs individuels. Envisagez plutôt d’attribuer et de partager des enregistrements aux équipes.
- S’il existe un système d’enregistrement qui héberge ces règles d’accès, envisagez d’effectuer un processus de synchronisation par lots pour transformer le modèle de propriété en modèle de sécurité dans Dataverse.
- Pour rendre les performances de votre modèle de sécurité efficaces, envisagez d’utiliser des équipes détenues plutôt que des équipes d’accès et éliminez ou au moins optimisez le partage d’enregistrements avec différentes équipes.
Besoins en matière de masquage des données et de sécurité au niveau du champ
Les institutions financières emploient fréquemment des mesures de sécurité supplémentaires pour protéger les données sensibles telles que les numéros de sécurité sociale (SSN), les détails des cartes de crédit et, occasionnellement, les informations personnelles telles que les numéros de téléphone portable et les adresses e-mail. Ces mesures de sécurité impliquent souvent de restreindre l’accès à des personnes spécifiques et même de masquer des informations sensibles lors de leur affichage.
Pour mettre en œuvre ces exigences de sécurité, vous pouvez créer de nouveaux profils de sécurité au niveau des champs, qui spécifient des autorisations de lecture, de mise à jour et de création pour des champs spécifiques. Ces profils peuvent ensuite être attribués à des utilisateurs ou à des équipes, leur accordant un accès contrôlé aux données sensibles.
De plus, s’il existe d’autres exigences de conformité nécessitant le masquage des données, vous pouvez y parvenir en créant une nouvelle colonne PowerFX (version préliminaire) ou une colonne calculée. Cette nouvelle colonne génère une version masquée des données d’origine, offrant une couche supplémentaire de protection des données. La colonne d’origine précédente peut être sécurisée avec une sécurité au niveau du champ et cette nouvelle colonne masquée par les données peut être ajoutée au profil client unifié via la configuration rapide des formulaires.
Besoins de connexion privée ou restreinte
Le profil client unifié et les solutions de profil client unifié s’exécutent sur Power Platform, qui fonctionnent sur une architecture d’infrastructure partagée à l’échelle d’un groupe.
Un groupe d’échelle héberge plusieurs organisations clientes, chacune avec sa propre base de données mais avec une infrastructure de services partagée. Ces groupes d’échelles sont définis par paires pour chaque région sélectionnée par le client. Vous pouvez configurer ExpressRoute pour fournir une connexion privée entre votre réseau local et l’entrée du service cloud, comme indiqué dans l’image suivante. Toutefois, l’infrastructure étant partagée, vous ne pouvez pas configurer de connexion privée entre Azure et Power Platform.
Les organisations financières ont généralement une politique d’accès stricte lorsque les systèmes accèdent aux données clients et financières. Vous pouvez envisager les options de mise en œuvre suivantes pour répondre aux problèmes de sécurité Power Platform fonctionnant sur un cloud public et accédant aux données des clients.
| Options techniques | Description | Considération | Contexte d’utilisation |
|---|---|---|---|
| Activez le trafic de serveur à serveur avec de nouvelles règles de pare-feu | Les pare-feu existants peuvent être configurés pour ajouter les plages IP et URL Power Platform pour autoriser le trafic en provenance des passerelles API Power Platform et des réseaux virtuels (qui ont des points de terminaison privés pour accéder aux sources de données) | Les plages IP peuvent changer et il est important de surveiller ces changements pour les refléter dans le pare-feu | Besoins d’intégration de serveur à serveur entre Power Platform et les passerelles et les réseaux virtuels. Une fois la connectivité établie, vous pouvez utiliser des connecteurs personnalisés, un plug-in ou un webhook et les technologies d’intégration Azure pour accéder directement à ces sources de données. |
| Utiliser des scripts basés sur le client pour accéder aux données API | Création de contrôles personnalisés PCF pour accéder aux données de l’API. | Les appareils n’utilisant pas de réseau d’entreprise ne peuvent pas accéder aux données. Cela nécessite un travail de personnalisation et les données doivent encore être synchronisées pour le modèle de données FSI. | Lorsque tous les appareils sont communs au domaine et utilisent le réseau d’entreprise tout en accédant aux contrôles PCF dans le profil client unifié. |
| Réplication de données dans le modèle de données FSI | Intégrations asynchrones/par lots à développer pour extraire, transformer et charger des éléments de données (ETL) dans le modèle de données FSI | Les données vivent dans le modèle FSI en tant que réplique des systèmes existants. | Lorsqu’il n’y a pas de besoin d’intégration en temps réel. |
Besoins d’automatisation de la sécurité
L’automatisation de la sécurité est un aspect essentiel des organisations modernes, en particulier lorsqu’elles doivent gérer une multitude d’utilisateurs et des scénarios complexes. À mesure que la base d’utilisateurs s’élargit et que la dynamique organisationnelle évolue, il devient de plus en plus difficile de garantir des mesures de sécurité robustes. De l’ajout de nouveaux utilisateurs à la gestion des changements de rôles, d’équipes et d’unités commerciales, en passant par la mise en service de nouveaux environnements et l’identification des administrateurs système, chaque scénario nécessite une attention méticuleuse pour protéger les données sensibles et les systèmes critiques. Dans ce contexte, la mise en œuvre de protocoles de sécurité automatisés s’avère indispensable, rationalisant les processus, atténuant les risques et renforçant les défenses de l’organisation contre les menaces potentielles. En adoptant l’automatisation de la sécurité, les entreprises peuvent s’adapter efficacement aux environnements d’utilisateurs dynamiques et maintenir un environnement agile et sécurisé qui protège à la fois les actifs précieux et la confidentialité des utilisateurs.
Voici quelques scénarios et comment vous pouvez aborder la mise en œuvre de l’autorisation et automatiser les tâches lorsque cela est possible.
| Scénario | Approches d’implémentation de la sécurité |
|---|---|
| Quand de nouveaux personnages sont introduits dans le modèle de sécurité | Dans Dynamics, un rôle de sécurité avec les droits fonctionnels requis représente chaque personnage. Configurez des équipes de groupe dans Dataverse pour chaque personnage et attribuez le rôle de sécurité au personnage. Configurez des équipes de groupe dans Active Directory pour les personnages et utilisez l’intégration prête à l’emploi pour gérer l’adhésion des utilisateurs aux équipes de groupe Dataverse. Éliminez ou minimisez l’attribution de rôles de sécurité aux individus. Modifiez le paramètre d’héritage des privilèges du membre des rôles de sécurité uniquement en privilèges Teams afin que les enregistrements que les utilisateurs créent avec l’équipe sont en tant que propriétaire et non des individus. |
| Lorsque de nouveaux environnements sont provisionnés | Un nouveau groupe de sécurité doit être créé pour chaque environnement Dataverse afin de contrôler et de limiter l’accès des utilisateurs à des environnements spécifiques. Dans le cas contraire, celui qui possède une licence Dataverse est créé en tant qu’utilisateur dans l’environnement. |
| De nouveaux utilisateurs sont ajoutés à l’application ou certains utilisateurs doivent être supprimés de l’application | Plutôt que d’ajouter/supprimer à chaque fois des utilisateurs à l’environnement, vous pouvez adopter une approche de groupe imbriqué et ajouter les équipes du groupe (c’est-à-dire le groupe de gestion des relations) en tant qu’enfant au groupe de sécurité de l’environnement (ucp-production). Avec cette approche, lorsque des utilisateurs sont ajoutés à l’équipe du groupe pour un rôle spécifique, ils sont automatiquement ajoutés à l’environnement en tant qu’utilisateur et un rôle leur est attribué. De même, lorsque des utilisateurs sont supprimés de l’équipe du groupe, ils sont également supprimés de l’environnement s’ils ne font partie d’aucune autre équipe du groupe. |
| Lorsque les utilisateurs existants modifient leur titre, leur rôle ou leur emplacement, cela peut modifier leur personnalité. | Le type d’adhésion dynamique dans Entra ID utilise des règles métier pour gérer l’adhésion au groupe de manière dynamique. Vous pouvez utiliser ce type d’adhésion dynamique pour configurer les règles métier afin de définir quels utilisateurs sont ajoutés ou supprimés de l’équipe de groupe créée pour un personnage donné. Comme Dataverse maintenant prend en charge le type d’adhésion dynamique, ces membres nouveaux ou supprimés sont automatiquement synchronisés avec les équipes du groupe dans Dataverse, et l’utilisateur obtient le dernier rôle de sécurité attribué pour l’accès. |
| Lors de la suppression d’utilisateurs | Identique à la ligne précédente. Utilisez le type d’adhésion dynamique pour ajouter des utilisateurs actifs aux groupes. Tous les utilisateurs inactifs sont automatiquement supprimés. Vous pouvez utiliser les workflows du cycle de vie pour la désintégration qui peuvent être mis à jour et déclenchés à partir du portail Azure ou de l’API Microsoft Graph. |
| Modification des structures de l’organisation | Tous les changements dans la structure organisationnelle n’affectent pas la sécurité des applications. Considérez comment la propriété des données change en fonction de la hiérarchie de propriété des division et reflétez ces modifications dans un environnement avec la configuration des divisions mise à jour. |
| Lorsque les utilisateurs changent d’équipe ou la division avec laquelle ils travaillent | Microsoft recommande d’utiliser le type d’adhésion dynamique et les équipes de groupe lors de l’attribution de rôles de sécurité aux équipes et de ne pas attribuer directement de rôles de sécurité aux utilisateurs. Avec ce modèle de sécurité, les équipes qui changent d’utilisateur ne nécessitent aucune automatisation pour refléter le changement, car l’autorisation est basée sur l’appartenance aux équipes du groupe. Si une division doit changer dans le profil utilisateur, vous pouvez créer un flux Power Automate avec déclencheur lorsqu’une division change dans les systèmes principaux et utiliser l’action SetBusinessSystemUser pour déplacer l’utilisateur vers une autre division. |
| Lorsque les utilisateurs changent de poste ou de manager | Le modèle de sécurité de hiérarchie est une extension des modèles de sécurité existants qui utilisent des divisions, des rôles de sécurité, le partage et des équipes. Si vous configurez ces éléments dans le modèle de sécurité, assurez-vous que les informations sur le poste et le responsable dans l’enregistrement utilisateur sont mises à jour. |
Collaboration
Les applications Cloud pour services financiers utilisent l’intégration Microsoft Teams native pour collaborer de manière transparente avec Power Apps/les membres de l’équipe Dynamics 365. La solution utilise les fonctionnalités de collaboration et de conversation instantanée de Microsoft Teams.
Analyses
Si vous avez besoin de créer une vue globale des clients en utilisant les données des modèles de données Microsoft Cloud for Financial Services, vous pouvez étendre les analyses en créant des tableaux de bord d’application pilotée par les données et des tableaux de bord Power BI intégrés. Vous pouvez également ajouter un rapport Power BI dans l’application basée sur un modèle à l’aide du contrôle de rapport Power BI (version préliminaire).
Vous trouverez des conseils plus détaillés sur la manière d’étendre les capacités d’analyse dans l’article Paysage de données pour l’analyse.
Voir aussi
Étapes suivantes
Well-Architected pour Microsoft Cloud for Financial Services présente les architectures de référence suivantes :