Mi az az identitáséletciklus-felügyelet?

Az identitásszabályozás segít a szervezeteknek egyensúlyt teremteni a termelékenység között – Milyen gyorsan férhet hozzá egy személy a szükséges erőforrásokhoz, például amikor csatlakoznak a szervezethez? Biztonság – Hogyan változzon a hozzáférésük az idő múlásával, például az adott személy foglalkoztatási állapotának változása miatt?

Az identitás-életciklus-kezelés az identitásszabályozás alapja, és a hatékony, nagy léptékű szabályozáshoz modernizálni kell az identitás életciklus-felügyeleti infrastruktúrát az alkalmazásokhoz. Az Identity Lifecycle Management célja, hogy automatizálja és kezelje a teljes digitális identitás életciklusát a szervezethez kapcsolt személyek számára.

Mi az a digitális identitás?

A digitális identitás egy olyan entitásra vonatkozó információ, amelyet egy vagy több számítástechnikai erőforrás, például operációs rendszerek vagy alkalmazások használnak. Ezek az entitások személyeket, szervezeteket, alkalmazásokat vagy eszközöket képviselhetnek. Az identitást általában a hozzá társított attribútumok, például a név, az azonosítók és a tulajdonságok, például a hozzáférés-kezeléshez használt szerepkörök írják le. Ezek az attribútumok segítenek a rendszereknek meghatározni, hogy ki férhet hozzá a mihez, és ki használhatja ezt az erőforrást.

A digitális identitások életciklusának kezelése

A digitális identitások kezelése összetett feladat, különösen azért, mert az összefüggésben áll a valós objektumok, például egy személy és a szervezet alkalmazottjával való kapcsolatukkal, digitális reprezentációval. A kis szervezetekben az identitást igénylő személyek digitális megjelenítésének megtartása manuális folyamat lehet. Ha például valakit felbérelnek, vagy egy alvállalkozó érkezik, egy informatikai szakember létrehozhat egy fiókot számukra egy címtárban, és hozzárendelheti a szükséges hozzáférést. A közepes méretű és a nagy méretű szervezetekben azonban az automatizálás lehetővé teszi a szervezet számára a hatékonyabb skálázást és az identitások pontos megőrzését.

Az identitáséletciklus-kezelés szervezeten belüli létrehozásának tipikus folyamata az alábbi lépéseket követi:

1. Határozza meg, hogy vannak-e már rekordrendszerek – adatforrások, amelyeket a szervezet mérvadóként kezel. A szervezet például rendelkezhet olyan HR-rendszerrel, mint a Workday vagy a SuccessFactors, és ez a rendszer mérvadó az alkalmazottak aktuális listájának és néhány tulajdonságának, például az alkalmazott nevének vagy részlegének biztosításához. Emellett egy olyan levelezőrendszer, mint az Exchange Online, mérvadó lehet egy további attribútum, az alkalmazott e-mail-címe esetében.

2. Csatlakozás ezeket a rekordrendszereket a Microsoft Entra ID azonosítóval, és oldja fel a Microsoft Entra ID-ban meglévő felhasználók és a rekordrendszerek közötti esetleges ellentmondásokat. Előfordulhat például, hogy a Microsoft Entra-azonosító elavult adatokkal lett feltöltve, például egy korábbi alkalmazott felhasználói fiókjával, amely már nem kapcsolódik a szervezethez.

3. Ha a Microsoft Entra ID rendelkezik a megfelelő felhasználókkal, csatlakoztassa a Microsoft Entra ID-t az alkalmazások által használt egy vagy több könyvtárhoz és adatbázishoz, és oldja fel a könyvtárak és a rekordadatok rendszerének a Microsoft Entra ID-ban való másolása közötti esetleges ellentmondásokat. Előfordulhat például, hogy egy korábban leválasztott alkalmazás címtára elavult adatokkal rendelkezik, például egy korábbi alkalmazott fiókjával.

4. Határozza meg, hogy milyen folyamatok használhatók mérvadó információk megadására rekordrendszer hiányában. Ha például vannak digitális identitások a látogatók számára, de a szervezet nem rendelkezik adatbázissal a látogatók számára, akkor szükség lehet arra, hogy alternatív módszert találjon annak meghatározására, hogy a látogató számára már nincs-e szükség digitális identitásra.

5. Győződjön meg arról, hogy a rekordrendszer vagy más folyamatok változásai a Microsoft Entra-azonosítón keresztül replikálódnak a frissítést igénylő könyvtárakba vagy adatbázisokba.

Identitáséletciklus-kezelés a szervezeti kapcsolatban álló alkalmazottak és más személyek képviselete érdekében

Amikor identitáséletciklus-kezelést tervez az alkalmazottak vagy más, szervezeti kapcsolatban lévő személyek, például alvállalkozó vagy diák számára, számos szervezet a következő folyamatként modellezi a "csatlakozást, áthelyezést és kilépést":

• Csatlakozás – ha egy személynek hozzáférésre van szüksége, identitásra van szükség ezekhez az alkalmazásokhoz, ezért előfordulhat, hogy létre kell hozni egy új digitális identitást, ha még nem érhető el
• Áthelyezés – ha egy személy olyan határok között mozog, amelyek további hozzáférési engedélyek hozzáadását vagy eltávolítását igénylik a digitális identitásukhoz
• Szabadság – ha egy személy elhagyja a hozzáférésre szoruló hatókört, előfordulhat, hogy el kell távolítani a hozzáférést, és ezt követően a személyazonosságra már nem lesz szükség az ellenőrzés vagy a kriminalisztikai céloktól eltérő alkalmazások számára

Így például ha egy új alkalmazott csatlakozik a szervezetéhez, és az alkalmazott még soha nem volt kapcsolatban a szervezetével, az alkalmazottnak új digitális identitásra lesz szüksége, amely a Microsoft Entra ID-ban felhasználói fiókként jelenik meg. Ennek a fióknak a létrehozása "Joiner" folyamatba esne, amely automatizálható lenne, ha olyan rekordrendszer lenne, mint például a Workday, amely jelezheti, hogy mikor kezdi meg az új alkalmazott a munkát. Később, ha a szervezet alkalmazottja például a Sales to Marketing (Értékesítésről marketingre) áthelyezéssel rendelkezik, az "Mover" folyamatba kerül. Ehhez a lépéshez el kell távolítaniuk a Sales szervezetben meglévő hozzáférési jogosultságokat, amelyekre már nincs szükségük, és meg kell adni nekik az újak által igényelt jogosultságokat a marketingszervezetben.

Identitáséletciklus-kezelés a vendégek számára

Hasonló folyamatokra van szükség a további identitások, partnerek, beszállítók és egyéb vendégek számára is, hogy lehetővé tegyék számukra az együttműködést vagy az erőforrásokhoz való hozzáférést. A Microsoft Entra jogosultságkezelése Microsoft Entra Külső ID vállalatközi (B2B) szolgáltatással biztosítja azokat az életciklus-vezérléseket, amelyek a szervezeten kívüli személyekkel való együttműködéshez szükségesek, és hozzáférést igényelnek a szervezet erőforrásaihoz. A Microsoft Entra B2B-vel a külső felhasználók a saját címtárukon vagy identitásszolgáltatójukon hitelesítik magukat, de rendelkeznek képviselettel a szervezet címtárában. A szervezet címtárában található reprezentáció lehetővé teszi a felhasználó számára az erőforrásokhoz való hozzáférést. A jogosultságkezelés lehetővé teszi, hogy a szervezeten kívüli személyek hozzáférést kérjenek, és szükség esetén digitális identitást hozzanak létre számukra. Ezek a digitális identitások automatikusan törlődnek, amikor a felhasználó elveszíti a hozzáférést.

Hogyan automatizálja a Microsoft Entra ID az identitás életciklusának kezelését?

A Microsoft Entra ID-kezelés az identitás életciklusának folyamatait a következő módon automatizálhatja:

• A bejövő kiépítés a szervezet HR-forrásaiból, a Workday és a SuccessFactors munkavégző adatainak lekérésével automatikusan fenntartja a felhasználói identitásokat az Active Directoryban és a Microsoft Entra-azonosítóban is.
• Az Active Directoryban már jelen lévő felhasználók automatikusan létrehozhatók és karbantarthatók a Microsoft Entra-azonosítóban címtárközi kiépítéssel.
• Az életciklus-munkafolyamatok automatizálják azokat a munkafolyamat-feladatokat , amelyek bizonyos kulcsfontosságú eseményeken futnak, például mielőtt egy új alkalmazott a szervezetnél kezdené meg a munkát, mivel a szervezeten belüli ideje alatt és a szervezet elhagyásakor megváltozik az állapotuk. Egy munkafolyamat például úgy konfigurálható, hogy az első napon ideiglenes hozzáférési jogosultsággal rendelkező e-mailt küldjön egy új felhasználó felettesének, vagy egy üdvözlő e-mailt a felhasználónak.
• A jogosultságkezelés automatikus hozzárendelési szabályzatai hozzáadják és eltávolítják a felhasználó csoporttagságait, alkalmazásszerepköreit és SharePoint-webhelyszerepköreit a felhasználó attribútumainak módosítása alapján. A felhasználók igény szerint csoportokhoz, Teamshez, Microsoft Entra-szerepkörökhöz, Azure-erőforrás-szerepkörökhöz és SharePoint Online-webhelyekhez is hozzárendelhetők a jogosultságkezelés és a Privileged Identity Management használatával.
• Ha a felhasználók a megfelelő csoporttagságokkal és alkalmazásszerepkör-hozzárendelésekkel rendelkező Microsoft Entra-azonosítóban vannak, a felhasználók kiépítésével felhasználói fiókokat hozhat létre, frissíthet és távolíthat el más alkalmazásokban, összekötőkkel több száz felhőbeli és helyszíni alkalmazáshoz SCIM, LDAP és SQL használatával.
• A vendégéletciklus esetében megadhatja a jogosultságkezelésben azokat a többi szervezetet, amelyek felhasználói hozzáférést kérhetnek a szervezet erőforrásaihoz. Ha a felhasználók egyik kérését jóváhagyják, a jogosultságkezelés automatikusan hozzáadja őket B2B-vendégként a szervezet címtárához, és megfelelő hozzáféréssel rendelkezik. A jogosultságkezelés pedig automatikusan eltávolítja a B2B-vendégfelhasználót a szervezet címtárából, amikor lejárnak vagy visszavonják a hozzáférési jogosultságukat.
• Az Access-felülvizsgálatok automatizálják a szervezet címtárában már meglévő vendégek ismétlődő felülvizsgálatát, és eltávolítja ezeket a felhasználókat a szervezet címtárából, ha már nincs szükségük hozzáférésre.

Licenckövetelmények

A funkció használatához Microsoft Entra ID-kezelés licencek szükségesek. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.

Következő lépések

• Mi az a kiépítés?
• Külső felhasználók hozzáférésének szabályozása a Microsoft Entra jogosultságkezelésében
• Mi az a HR-alapú kiépítés?
• Mi az alkalmazáskiépítés?
• Mi az a címtárközi kiépítés?