ユーザーをオンボードする企業は、まだ信頼境界内にいないリモート ユーザーのオンボードに大きな課題を抱えています。 Microsoft Entra Verified ID は、信頼を確立する方法として政府発行の ID ベースの構成証明を使用できるため、これらのシナリオに直面しているお客様を支援できます。
このパターンを使用する場合
- API をサポートする最新の人事 (HR) システムがあります。
- 人事システムを使用すると、プログラムによる統合で HR システムにクエリを実行し、正確なユーザー プロファイル照合を実行できます。
- パスワードレス テクノロジを採用している組織。
解決策
新しい従業員のオンボーディング用のカスタム ポータル。
バックエンド ジョブは、新入社員の特定のプロセスを表す (A) から従業員のオンボーディング ポータルへの一意に識別可能なリンクを新入社員に提供します。 このユース ケースでは、新規採用者のアカウントは既に Microsoft Entra ID でプロビジョニングされている必要があります。 ライフサイクル ワークフロー をこのフローのトリガー ポイントとして使用することを検討してください。
新規採用者は、(A) でポータルへのリンクを選択すると、ウィザードのようなプロセスで案内されます。
新規採用者は、本人確認パートナーから確認済み ID を取得するようにリダイレクトされます。 本人確認パートナーの詳細については、https://aka.ms/verifiedidisv) を参照してください。
新規採用者は、手順 1 で取得した確認済み ID を提示します
システムは、ID 検証パートナーから要求を受け取り、新規採用ユーザー アカウントの参照を行い、検証を実行します。
システムはオンボード ロジックを実行してユーザーの Microsoft Entra アカウントを検索し、MS Graphを使用して一時的なアクセス パスを生成
。
問題と考慮事項
- プロセスの開始に使用されるリンクは、いくつかの条件を満たす必要があります。
- このリンクは、各リモート従業員に固有である必要があります。
- このリンクは、短期間だけ有効である必要があります。
- ユーザーがフローを完了したら、それは無効になります。
- リンクは、一意の HR レコード識別子に関連付けるために設計する必要があります
- Microsoft Entra アカウントは、すべてのユーザーに対して事前に作成する必要があります。 このアカウントは、サイトの要求検証プロセスの一部として使用する必要があります。
- 管理者は、人事アプリケーションや ID 管理ソリューションなど、会社の IT システムに保持されているユーザーの情報と、ユーザーが提供する情報との間の不一致に頻繁に対処します。 たとえば、従業員の名は "James" ですが、プロファイルの名前は "Jim" です。 これらのシナリオの場合:
- 人事プロセスの開始時に、候補者は政府発行のドキュメントに表示されるとおりに名前を使用する必要があります。 このアプローチを使用すると、検証ロジックが簡略化されます。
- HR システムと完全に一致する可能性が高い属性を含むように検証ロジックを設計します。 一般的な属性には、姓に加えて、住所、生年月日、国籍、国/地域の識別番号 (該当する場合) が含まれます。
- 代替手段として、あいまいな結果や非確定的な結果を確認するために人間のレビューを準備します。 このプロセスには、VC に表示される属性の一時的な格納、ユーザーとの電話呼び出しなどが含まれる場合があります。
- 多国籍組織は、ユーザーの地域に基づいて、さまざまな ID 証明パートナーと連携することが必要になる場合があります。
- ユーザーとオンボード パートナーの間の最初の対話が信頼されていないと仮定します。 オンボード ポータルでは、監査目的で使用できる、処理されたすべての要求の詳細なログを生成する必要があります。
その他のリソース
- 一般化されたアカウントオンボード用のパブリック アーキテクチャ ドキュメント: Microsoft Entra 検証済み ID 検証ソリューション を計画する