Gestire il ciclo di vita dei dipendenti e dei guest con Microsoft Entra ID Governance

Identity Governance consente alle organizzazioni trovare un equilibrio tra produttività (la velocità con cui una persona può accedere alle risorse necessarie, ad esempio quando inizia a collaborare con un'azienda) e sicurezza (in che modo dovrebbe cambiare nel tempo l'accesso degli utenti, ad esempio a causa di cambiamenti nello status lavorativo).

Gestione del ciclo di vita delle identità

La gestione del ciclo di vita delle identità rappresenta la base per Identity Governance e per una governance efficace su larga scala occorre modernizzare l'infrastruttura di gestione del ciclo di vita delle identità per le applicazioni. Gestione del ciclo di vita delle identità mira ad automatizzare e gestire l'intero processo del ciclo di vita dell'identità digitale per le persone affiliate a un'organizzazione.

Che cos'è un'identità digitale?

Un'identità digitale è un'entità usata da una o più risorse di calcolo, ad esempio sistemi operativi o applicazioni. Queste entità possono rappresentare persone, organizzazioni, applicazioni o dispositivi. L'identità viene in genere descritta dagli attributi associati, ad esempio il nome, gli identificatori e le proprietà, ad esempio i ruoli usati per la gestione degli accessi. Questi attributi aiutano i sistemi a determinare chi può accedere a determinate risorse e chi è autorizzato a usarle.

Gestione del ciclo di vita delle identità digitali

La gestione delle identità digitali è un'attività complessa, in particolare per quanto riguarda la correlazione di oggetti reali, ad esempio una persona e la sua relazione con un'organizzazione come dipendente, con una rappresentazione digitale. Nelle organizzazioni piccole conservare la rappresentazione digitale delle persone che richiedono un'identità può essere un processo manuale. Ad esempio, quando qualcuno viene assunto o arriva un terzista, uno specialista IT può creare un account per loro in una directory e assegnare loro l'accesso necessario. Tuttavia, nelle organizzazioni di dimensioni medio-grandi, l'automazione può garantire una scalabilità più efficiente e garantire l'accuratezza delle identità.

Il processo tipico per la definizione della gestione del ciclo di vita delle identità in un'organizzazione segue questi passaggi:

1. Determinare se sono già presenti sistemi di record, ovvero origini dati che l'organizzazione considera autorevoli. Ad esempio, l'organizzazione può avere un sistema di gestione delle risorse umane, come Workday o SuccessFactors, che può essere usato come fonte ufficiale e fornire l'elenco aggiornato di dipendenti, insieme ad alcune delle relative proprietà, come il nome o il reparto. Inoltre, un sistema di posta elettronica come Exchange Online può essere usato come fonta ufficiale per altri attributi, come l'indirizzo di posta elettronica del dipendente.

2. Connettere tali sistemi di record con Microsoft Entra ID e risolvere eventuali incoerenze tra gli utenti esistenti in Microsoft Entra ID e i sistemi di record. Ad esempio, Microsoft Entra ID potrebbe essere stato popolato con dati ormai obsoleti, come account utente di ex dipendenti che non sono più associati all'organizzazione.

3. Una volta che Microsoft Entra ID ha in memoria gli utenti corretti, connettere Microsoft Entra ID con una o più directory e database usati dalle applicazioni e risolvere eventuali incoerenze tra tali directory e la copia del sistema di dati di record in Microsoft Entra ID. Ad esempio, una directory per un'applicazione disconnessa in precedenza potrebbe avere dati obsoleti, come account utente di ex dipendenti.

4. Determinare quali processi possono essere usati per fornire informazioni autorevoli in assenza di un sistema di record. Se ad esempio sono presenti identità digitali per i visitatori, ma l'organizzazione non ha un apposito database, potrebbe essere necessario trovare un metodo alternativo per determinare quando un'identità digitale per un visitatore non è più necessaria.

5. Assicurarsi che le modifiche apportate dal sistema di record o altri processi vengano replicate tramite Microsoft Entra ID in ognuna delle directory o dei database che richiedono un aggiornamento.

Gestione del ciclo di vita delle identità per rappresentare i dipendenti e altri individui con una relazione con l'organizzazione

Quando si pianifica la gestione del ciclo di vita delle identità per i dipendenti o per altri individui con una relazione con l'organizzazione, ad esempio terzisti o studenti, molte organizzazioni adottano il modello "ingresso, spostamento e uscita" illustrato di seguito:

• Ingresso: quando un utente entra in un ambito per cui è richiesto l'accesso, queste applicazioni richiedono un'identità digitale, quindi potrebbe essere necessario crearne una nuova, se non ne è già disponibile una.
• Spostamento: quando un utente si sposta tra limiti che richiedono di aggiungere o rimuovere autorizzazioni di accesso all'identità digitale
• Uscita: quando un utente lascia l'ambito per cui è richiesto l'accesso, può essere necessario rimuovere l'accesso e successivamente l'identità potrebbe non essere più richiesta da applicazioni diverse da quelle usate per motivi legali o di controllo

Se, ad esempio, nell'organizzazione entra un nuovo dipendente che non è mai stato affiliato in precedenza, sarà necessario fornirgli una nuova identità digitale, rappresentata come account utente in Microsoft Entra ID. La creazione di questo account rientrerà in un processo di "aggiunta", che può essere automatizzato se è presente un sistema di record, come Workday, che potrebbe indicare quando può iniziare a lavorare il nuovo dipendente. In seguito, se un dipendente viene spostato, ad esempio dalle vendite al marketing, rientrerà nel processo di "spostamento". Questo spostamento richiederebbe la rimozione dei diritti di accesso che avevano nell'organizzazione Sales, che non sono più necessari, concedendo loro i diritti nell'organizzazione marketing di cui ora hanno bisogno.

Gestione del ciclo di vita delle identità per gli utenti guest

Sono necessari processi simili anche per identità aggiuntive, partner, fornitori e altri guest, per consentire loro di collaborare o avere accesso alle risorse. La gestione entitlement di Microsoft Entra usa Microsoft Entra per ID esterno business-to-business (B2B) per fornire i controlli del ciclo di vita necessari per collaborare con persone esterne all'organizzazione che richiedono l'accesso alle risorse dell'organizzazione. Con Microsoft Entra B2B, gli utenti esterni eseguono l'autenticazione nella home directory o nel provider di identità, ma hanno sono rappresentati nella directory dell'organizzazione. La rappresentazione nella directory dell'organizzazione consente all'utente di accedere alle risorse. La gestione entitlement consente a singoli individui esterni all'organizzazione di richiedere l'accesso, creando se necessario un'apposita identità digitale. Queste identità digitali vengono rimosse automaticamente quando l'utente perde l'accesso.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance di Microsoft Entra ID.

Passaggi successivi

• Cos'è il provisioning?
• Gestire l'accesso per gli utenti esterni nella gestione entitlement di Microsoft Entra
• Che cos'è il provisioning basato su risorse umane?
• Che cos'è il provisioning di app?
• Che cos'è il provisioning tra directory?