Controlar el ciclo de vida de los empleados y los invitados con la gobernanza de Microsoft Entra ID

La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización) y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral).

Administración del ciclo de vida de la identidad

La administración del ciclo de vida de la identidad es la base de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a gran escala, es preciso modernizar la infraestructura de administración del ciclo de vida de la identidad en las aplicaciones. La administración del ciclo de vida de la identidad tiene como objetivo automatizar y administrar todo el proceso del ciclo de vida de la identidad digital de los individuos afiliados a una organización.

¿Qué es una identidad digital?

Una identidad digital es información sobre una entidad utilizada por uno o más recursos informáticos, como sistemas operativos o aplicaciones. Estas entidades pueden representar personas, organizaciones, aplicaciones o dispositivos. La identidad se describe normalmente mediante los atributos asociados a ella, como el nombre, los identificadores, así como las propiedades, como los roles que se usan para la administración del acceso. Estos atributos ayudan a los sistemas a tomar decisiones como quién tienen acceso a qué y quién puede usar ese recurso.

Administración del ciclo de vida de las identidades digitales

La administración de identidades digitales es una tarea compleja, especialmente porque correlaciona objetos del mundo real, como una persona y su relación con una organización como empleado de esa organización, con una representación digital. En las organizaciones pequeñas, el mantenimiento de la representación digital de las personas que necesitan una identidad puede ser un proceso manual. Por ejemplo, cuando se contrata a alguien, o cuando llega un contratista, un especialista en TI puede crear una cuenta para ellos en un directorio y asignarles el acceso que necesitan. Sin embargo, en las organizaciones de tamaño medio y grande, la automatización puede permitir que la organización escale de forma más eficaz y mantenga las identidades con precisión.

El proceso típico para establecer la administración del ciclo de vida de la identidad en una organización sigue estos pasos:

1. Determinar si ya hay sistemas de registro: orígenes de datos que la organización trata como autoritativos. Por ejemplo, la organización puede tener un sistema de RR. HH. como Workday o SuccessFactors, que sea autoritativo para proporcionar la lista actual de empleados y algunas de sus propiedades, como el nombre o el departamento del empleado. Además, un sistema de correo electrónico como Exchange Online puede ser autoritativo para un atributo adicional de la dirección de correo electrónico de un empleado.

2. Conecte esos sistemas de registro con Microsoft Entra ID y resuelva las incoherencias entre los usuarios existentes en Microsoft Entra ID y los sistemas de registro. Por ejemplo, es posible que Microsoft Entra ID se haya rellenado con datos obsoletos ahora, como una cuenta de usuario para un antiguo empleado que ya no esté afiliado a la organización.

3. Una vez que Microsoft Entra ID tiene los usuarios correctos, conecte Microsoft Entra ID con uno o varios directorios y bases de datos usados por las aplicaciones, y resuelva las incoherencias entre esos directorios y la copia del sistema de datos de registro en Microsoft Entra ID. Por ejemplo, un directorio para una aplicación que se desconectó anteriormente puede tener datos obsoletos, como la cuenta de un antiguo empleado.

4. Determinar qué procesos se pueden usar para proporcionar información autoritativa en ausencia de un sistema de registro. Por ejemplo, si hay identidades digitales para los visitantes, pero la organización no tiene ninguna base de datos para visitantes, puede que sea necesario encontrar una forma alternativa de determinar si ya no se necesita una identidad digital para un visitante.

5. Asegúrese de que los cambios del sistema de registro u otros procesos se repliquen mediante Microsoft Entra ID en cada uno de los directorios o bases de datos que requieren una actualización.

Administración del ciclo de vida de la identidad para representar a los empleados y otras personas con una relación con la organización

Al planear la administración del ciclo de vida de la identidad para los empleados, u otras personas con una relación con la organización como un contratista o un estudiante, muchas organizaciones modelan el proceso de "unirse, trasladar y abandonar" del siguiente modo:

• Unirse: cuando una persona entra en el ámbito de la necesidad de acceso, esas aplicaciones necesitan una identidad, por lo que es posible que sea necesario crear una identidad digital si todavía no hay una disponible
• Trasladar: cuando una persona se mueve entre límites, lo que requiere que se agreguen o eliminen autorizaciones de acceso adicionales a su identidad digital
• Abandonar: cuando un individuo deja el ámbito de la necesidad de acceso, es posible que sea necesario eliminar el acceso y, en consecuencia, es posible que las aplicaciones ya no necesiten la identidad salvo con fines de auditoría o forense

Por ejemplo, si un nuevo empleado se une a la organización y nunca ha estado afiliado a su organización antes, ese empleado necesitará una nueva identidad digital, representada como una cuenta de usuario en Microsoft Entra ID. La creación de esta cuenta se podría incluir en el proceso de "unión", que se podría automatizar si se cuenta con un sistema de registro como Workday que pudiera indicar cuándo comienza a trabajar el nuevo empleado. Más adelante, si la organización tiene un empleado que pasa, por ejemplo, de ventas a marketing, se encontrarían en un proceso de "traslado". Este movimiento requeriría la eliminación de los derechos de acceso que tenía en la organización de ventas y que ya no necesita y la concesión de los derechos en la organización de marketing que requiera.

Administración del ciclo de vida de la identidad para invitados

También se necesitan procesos similares para identidades adicionales, para asociados, proveedores y otros invitados, para permitirles colaborar o tener acceso a los recursos. La administración de derechos de Microsoft Entra utiliza el identificador externo de Microsoft Entra de negocio a negocio (B2B) para proporcionar los controles de ciclo de vida necesarios para colaborar con personas ajenas a su organización que requieren acceso a los recursos de su organización. Con Microsoft Entra B2B, los usuarios externos se autentican en su directorio particular o proveedor de identidades, pero están representados en el directorio de la organización. La representación en el directorio de la organización permite asignar al usuario acceso a los recursos. La administración de derechos permite a personas ajenas a la organización solicitar acceso y crear una identidad digital para ellos según sea necesario. Estas identidades digitales se eliminan automáticamente cuando el usuario pierde el acceso.

Requisitos de licencia

El uso de esta característica requiere licencias de Gobernanza de Microsoft Entra ID o Microsoft Entra Suite. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.

Pasos siguientes

• ¿Qué es el aprovisionamiento?
• Gobernanza del acceso de los usuarios externos en la administración de derechos de Microsoft Entra
• ¿Qué es el aprovisionamiento controlado por RR. HH.?
• ¿Qué es el aprovisionamiento de aplicaciones?
• ¿Qué es el aprovisionamiento entre directorios?