Mi az az identitáséletciklus-felügyelet?

Az identitásszabályozás segítségével a szervezetek egyensúlyt teremtenek a termelékenység között. Milyen gyorsan férhet hozzá egy személy a szükséges erőforrásokhoz, például amikor csatlakozik a szervezethez? És a biztonság. És hogyan változzon a hozzáférésük az idő múlásával, például az adott személy foglalkoztatási státuszának változása miatt?

Az identitáséletciklus-kezelés az identitásszabályozás alapja, és a hatékony nagy léptékű szabályozáshoz modernizálni kell az identitás-életciklus felügyeleti infrastruktúrát az alkalmazásokhoz. Az identitáséletciklus-kezelés célja a digitális identitás teljes életciklusának automatizálása és kezelése.

A felhőbeli kiépítés ábrája

Mi az a digitális identitás?

A digitális identitás egy vagy több számítástechnikai erőforrás, például operációs rendszer vagy alkalmazás által használt entitásra vonatkozó információ. Ezek az entitások személyeket, szervezeteket, alkalmazásokat vagy eszközöket képviselhetnek. Az identitást általában a hozzá társított attribútumok, például a név, az azonosítók és a tulajdonságok, például a hozzáférés-kezeléshez használt szerepkörök írják le. Ezek az attribútumok segítenek a rendszereknek meghatározni, hogy ki férhet hozzá az erőforráshoz, és ki használhatja azt.

A digitális identitások életciklusának kezelése

A digitális identitások kezelése összetett feladat, különösen azért, mert összekapcsolja a valós objektumokat, például egy személyt, és a szervezet alkalmazottjával való kapcsolatát egy digitális reprezentációval. A kis szervezetekben az identitást igénylő személyek digitális reprezentációjának megőrzése manuális folyamat lehet. Ha például valakit felbérelnek, vagy egy vállalkozó érkezik, egy informatikai szakember létrehozhat egy fiókot számukra egy címtárban, és hozzárendelheti a szükséges hozzáférést. A közepes méretű és nagy méretű szervezetekben azonban az automatizálás lehetővé teszi a szervezet számára a hatékonyabb skálázást és az identitások pontos megőrzését.

Az identitáséletciklus-kezelés szervezeten belüli létrehozásának tipikus folyamata az alábbi lépéseket követi:

  1. Állapítsa meg, hogy vannak-e már rekordrendszerek – adatforrások, amelyeket a szervezet mérvadóként kezel. Előfordulhat például, hogy a szervezet rendelkezik a Workday HR-rendszerrel, és ez a rendszer mérvadó az alkalmazottak aktuális listájának és néhány tulajdonságának, például az alkalmazott nevének vagy részlegének megadásához. Vagy egy levelezőrendszer, például a Exchange Online mérvadó lehet egy alkalmazott e-mail-címéhez.

  2. Csatlakoztassa ezeket a rekordrendszereket az alkalmazások által használt egy vagy több könyvtárral és adatbázissal, és oldja fel a címtárak és a rekordrendszerek közötti ellentmondásokat. Előfordulhat például, hogy egy címtár elavult adatokkal rendelkezik, például egy olyan korábbi alkalmazott fiókjával, amelyekre már nincs szükség.

  3. Határozza meg, hogy milyen folyamatok használhatók mérvadó információk megadására rekordrendszer hiányában. Ha például vannak digitális identitások a látogatók számára, de a szervezet nem rendelkezik adatbázissal a látogatók számára, akkor szükség lehet egy másik módszerre annak meghatározására, hogy a látogatónak már nincs-e szüksége digitális identitásra.

  4. Győződjön meg arról, hogy a rekordrendszer vagy más folyamatok változásait a rendszer minden olyan könyvtárba vagy adatbázisba replikálja, amely frissítést igényel.

Identitáséletciklus-kezelés szervezeti kapcsolatban álló alkalmazottak és más személyek ábrázolására

Amikor az identitás életciklusának kezelését tervezi az alkalmazottak vagy más, szervezeti kapcsolatban lévő személyek, például egy vállalkozó vagy egy diák számára, számos szervezet a következő folyamatként modellezi a csatlakozást, az áthelyezést és a kilépést:

  • Csatlakozás – amikor egy személynek hozzáférésre van szüksége, identitásra van szüksége az alkalmazásoknak, ezért előfordulhat, hogy létre kell hozni egy új digitális identitást, ha még nem érhető el
  • Áthelyezés – ha egy személy olyan határok között mozog, amelyekhez további hozzáférési engedélyeket kell hozzáadni vagy eltávolítani a digitális identitáshoz
  • Szabadság – ha egy személy elhagyja a szükséges hozzáférés hatókörét, előfordulhat, hogy el kell távolítani a hozzáférést, és ezt követően a személyazonosságra már nem lesz szükség az ellenőrzési vagy törvényszéki céloktól eltérő alkalmazások számára.

Így például ha egy új alkalmazott csatlakozik a szervezethez, és az alkalmazott még soha nem volt kapcsolatban az Ön szervezetével, az alkalmazottnak új digitális identitásra van szüksége, amely felhasználói fiókként jelenik meg Azure AD. Ennek a fióknak a létrehozása egy "Joiner" folyamatba kerül, amely automatizálható, ha van egy olyan rekordrendszer, mint a Workday, amely jelezheti, hogy mikor kezdi el az új alkalmazott a munkát. Később, ha a szervezet egy alkalmazottja átköltözik például az Értékesítésről a Marketingre, akkor "Mover" folyamatba kerülnek. Ehhez az áthelyezéshez el kell távolítaniuk az értékesítési szervezetben meglévő hozzáférési jogosultságokat, amelyekre már nincs szükségük, és meg kell adni nekik az újak által igényelt jogosultságokat a marketingszervezetben.

Identitáséletciklus-kezelés vendégek számára

Hasonló folyamatokra van szükség a vendégek és más felhasználók számára is. Azure AD jogosultságkezelés Azure AD vállalatközi (B2B) szolgáltatással biztosítja azokat az életciklus-vezérléseket, amelyek a szervezeten kívüli, a szervezet erőforrásaihoz hozzáférést igénylő személyekkel való együttműködéshez szükségesek. A Azure AD B2B-vel a külső felhasználók a saját címtárukban hitelesítik magukat, de rendelkeznek reprezentációval a címtárban. A címtárban lévő reprezentáció lehetővé teszi a felhasználó számára, hogy hozzáférést rendeljen az erőforrásokhoz. A jogosultságkezelés lehetővé teszi, hogy a szervezeten kívüli személyek hozzáférést kérjenek, és szükség esetén digitális identitást hozzanak létre számukra. Ezek a digitális identitások automatikusan törlődnek, ha a felhasználó elveszíti a hozzáférést.

Hogyan automatizálja Azure AD az identitás életciklusának kezelését?

Azure AD jelenleg az alábbi funkciókat biztosítja:

Következő lépések