Toegang beheren door een organisatierolmodel te migreren naar Microsoft Entra ID-governance
Op rollen gebaseerd toegangsbeheer (RBAC) biedt een framework voor het classificeren van gebruikers en IT-resources. Met dit framework kunt u expliciet hun relatie en de toegangsrechten die op basis van die classificatie geschikt zijn, expliciet maken. Door bijvoorbeeld toe te wijzen aan gebruikerskenmerken die de functie van de gebruiker en projecttoewijzingen opgeven, kan de gebruiker toegang krijgen tot hulpprogramma's die nodig zijn voor de taak van de gebruiker en gegevens die de gebruiker nodig heeft om bij te dragen aan een bepaald project. Wanneer de gebruiker ervan uitgaat dat een andere taak en verschillende projecttoewijzingen worden gebruikt, worden de kenmerken die de functie van de gebruiker opgeven en projecten de toegang tot de resources die alleen vereist zijn voor de vorige positie van de gebruiker, automatisch geblokkeerd.
In Microsoft Entra ID kunt u rolmodellen op verschillende manieren gebruiken om de toegang op schaal te beheren via identiteitsbeheer.
- U kunt toegangspakketten gebruiken om organisatierollen in uw organisatie weer te geven, zoals 'verkoopvertegenwoordiger'. Een toegangspakket dat de rol van de organisatie vertegenwoordigt, bevat alle toegangsrechten die een vertegenwoordiger doorgaans nodig heeft, voor meerdere resources.
- Toepassingen kunnen hun eigen rollen definiëren. Als u bijvoorbeeld een verkooptoepassing hebt en die toepassing de app-rol 'verkoper' in het manifest heeft opgenomen, kunt u die rol uit het app-manifest opnemen in een toegangspakket. Toepassingen kunnen ook beveiligingsgroepen gebruiken in scenario's waarin een gebruiker tegelijkertijd meerdere toepassingsspecifieke rollen kan hebben.
- U kunt rollen gebruiken voor het delegeren van beheerderstoegang. Als u een catalogus hebt voor alle toegangspakketten die nodig zijn voor de verkoop, kunt u iemand toewijzen die verantwoordelijk is voor die catalogus door deze een catalogusspecifieke rol toe te wijzen.
In dit artikel wordt beschreven hoe u organisatierollen modelleert met behulp van rechtenbeheertoegangspakketten, zodat u uw roldefinities kunt migreren naar Microsoft Entra ID om toegang af te dwingen.
Een organisatierolmodel migreren
In de volgende tabel ziet u hoe concepten in organisatieroldefinities waarmee u mogelijk bekend bent in andere producten overeenkomen met de mogelijkheden in rechtenbeheer.
| Concept in organisatierolmodellering | Weergave in Rechtenbeheer |
|---|---|
| Gedelegeerd rolbeheer | Delegeren aan catalogusmakers |
| Verzameling machtigingen voor een of meer toepassingen | Een toegangspakket maken met resourcerollen |
| De duur van de toegang beperken die een rol biedt | De levenscyclus-instellingen voor het beleid van een toegangspakket instellen op een vervaldatum |
| Afzonderlijke toewijzing aan een rol | Een directe toewijzing maken aan een toegangspakket |
| Toewijzing van rollen aan gebruikers op basis van eigenschappen (zoals hun afdeling) | Automatische toewijzing instellen voor een toegangspakket |
| Gebruikers kunnen een rol aanvragen en goedkeuren | Beleidsinstellingen configureren voor wie een toegangspakket kan aanvragen |
| Hercertificering van rolleden openen | Instellingen voor terugkerende toegangsbeoordeling instellen in een beleid voor toegangspakketten |
| Scheiding van taken tussen rollen | Twee of meer toegangspakketten definiëren als niet compatibel |
Een organisatie kan bijvoorbeeld een bestaand organisatierolmodel hebben dat vergelijkbaar is met de volgende tabel.
| Rolnaam | Machtigingen die de rol biedt | Automatische toewijzing aan de rol | Toewijzing op basis van aanvragen aan de rol | Scheiding van takencontroles |
|---|---|---|---|---|
| Verkoper | Lid van verkoopteam | Ja | Nr. | Geen |
| Sales Solution Manager | De machtigingen van de rol Verkoper en Solution Manager-app in de toepassing Verkoop | Geen | Een verkoper kan aanvragen, vereist goedkeuring van de manager en een kwartaalbeoordeling | Aanvrager kan geen verkoopaccountmanager zijn |
| Verkoopaccountmanager | De machtigingen van de rol Verkoper en accountmanager-app in de toepassing Verkoop | Geen | Een verkoper kan aanvragen, vereist goedkeuring van de manager en een kwartaalbeoordeling | Aanvraag kan geen Sales Solution Manager zijn |
| Verkoopondersteuning | Dezelfde machtigingen als een verkoper | Geen | Elke niet-verkoper kan aanvragen, vereist goedkeuring van de manager en een kwartaalbeoordeling | Aanvrager kan geen verkoper zijn |
Dit kan worden weergegeven in Microsoft Entra ID-governance als een catalogus met toegangspakketten die vier toegangspakketten bevat.
| Toegangspakket | Resourcerollen | Beleidsregels | Incompatibele toegangspakketten |
|---|---|---|---|
| Verkoper | Lid van verkoopteam | Automatische toewijzing | |
| Sales Solution Manager | De rol Solution Manager-app in de verkooptoepassing | Op aanvraag gebaseerd | Verkoopaccountmanager |
| Verkoopaccountmanager | Accountmanager-app-rol in de toepassing Verkoop | Op aanvraag gebaseerd | Sales Solution Manager |
| Verkoopondersteuning | Lid van verkoopteam | Op aanvraag gebaseerd | Verkoper |
De volgende secties beschrijven het proces voor migratie, het maken van de Microsoft Entra-id en Microsoft Entra ID-governance artefacten om de equivalente toegang van een organisatierolmodel te implementeren.
Verbinding maken apps waarnaar wordt verwezen in de organisatierollen naar Microsoft Entra-id
Als uw organisatierollen worden gebruikt om machtigingen toe te wijzen die de toegang tot niet-Microsoft SaaS-apps, on-premises apps of uw eigen cloud-apps beheren, moet u uw toepassingen verbinden met Microsoft Entra ID.
Als u wilt dat een toegangspakket dat een organisatierol vertegenwoordigt, kan verwijzen naar de rollen van een toepassing als de machtigingen die moeten worden opgenomen in de rol, voor een toepassing die meerdere rollen heeft en moderne standaarden zoals SCIM ondersteunt, moet u de toepassing integreren met Microsoft Entra-id en ervoor zorgen dat de rollen van de toepassing worden vermeld in het toepassingsmanifest.
Als de toepassing slechts één rol heeft, moet u de toepassing nog steeds integreren met Microsoft Entra-id. Voor toepassingen die geen ondersteuning bieden voor SCIM, kan Microsoft Entra ID gebruikers schrijven naar de bestaande directory of SQL-database van een toepassing, of AD-gebruikers toevoegen aan een AD-groep.
Microsoft Entra-schema vullen dat wordt gebruikt door apps en voor bereikregels van gebruikers in de organisatierollen
Als uw roldefinities instructies bevatten van het formulier 'alle gebruikers met deze kenmerkwaarden worden automatisch toegewezen aan de rol' of 'gebruikers met deze kenmerkwaarden mogen aanvragen', moet u ervoor zorgen dat deze kenmerken aanwezig zijn in de Microsoft Entra-id.
U kunt het Microsoft Entra-schema uitbreiden en deze kenmerken vervolgens vullen vanuit on-premises AD, via Microsoft Entra Verbinding maken of vanuit een HR-systeem zoals Workday of SuccessFactors.
Catalogi maken voor delegering
Als het doorlopende onderhoud van rollen wordt gedelegeerd, kunt u het beheer van toegangspakketten delegeren door een catalogus te maken voor elk deel van de organisatie waaraan u delegeert.
Als u meerdere catalogi wilt maken, kunt u een PowerShell-script gebruiken om elke catalogus te maken.
Als u niet van plan bent om het beheer van de toegangspakketten te delegeren, kunt u de toegangspakketten in één catalogus behouden.
Resources toevoegen aan de catalogi
Nu u de catalogi hebt geïdentificeerd, voegt u de toepassingen, groepen of sites toe die zijn opgenomen in de toegangspakketten die de organisatierollen vertegenwoordigen voor de catalogi.
Als u veel resources hebt, kunt u een PowerShell-script gebruiken om elke resource toe te voegen aan een catalogus.
Toegangspakketten maken die overeenkomen met organisatieroldefinities
Elke organisatieroldefinitie kan worden weergegeven met een toegangspakket in die catalogus.
U kunt een PowerShell-script gebruiken om een toegangspakket in een catalogus te maken.
Nadat u een toegangspakket hebt gemaakt, koppelt u een of meer rollen van de resources in de catalogus aan het toegangspakket. Dit vertegenwoordigt de machtigingen van de organisatierol.
Daarnaast maakt u een beleid voor directe toewijzing, als onderdeel van dat toegangspakket dat kan worden gebruikt om de gebruikers bij te houden die al afzonderlijke roltoewijzingen hebben.
Toewijzingen van toegangspakketten maken voor bestaande afzonderlijke organisatieroltoewijzingen
Als sommige van uw gebruikers al organisatierollidmaatschappen hebben, die ze niet via automatische toewijzing zouden ontvangen, moet u directe toewijzingen maken voor die gebruikers voor de bijbehorende toegangspakketten.
Als u veel gebruikers hebt die toewijzingen nodig hebben, kunt u een PowerShell-script gebruiken om elke gebruiker toe te wijzen aan een toegangspakket. Hiermee worden de gebruikers gekoppeld aan het beleid voor directe toewijzing.
Beleid toevoegen aan deze toegangspakketten voor automatische toewijzing
Als de roldefinitie van uw organisatie een regel bevat op basis van de kenmerken van de gebruiker om automatisch toegang toe te wijzen en te verwijderen op basis van deze kenmerken, kunt u dit aangeven met behulp van een beleid voor automatische toewijzing. Een toegangspakket kan maximaal één beleid voor automatische toewijzing hebben.
Als u veel roldefinities hebt die elk een roldefinitie hebben, kunt u een PowerShell-script gebruiken om elk beleid voor automatische toewijzing in elk toegangspakket te maken.
Toegangspakketten instellen als niet compatibel voor scheiding van taken
Als u beperkingen voor taken gescheiden hebt die verhinderen dat een gebruiker de ene organisatierol opneemt wanneer deze al een andere rol heeft, kunt u voorkomen dat de gebruiker toegang aanvraagt in rechtenbeheer door deze combinaties van toegangspakketten als niet compatibel te markeren.
Voor elk toegangspakket dat moet worden gemarkeerd als niet compatibel met een ander, kunt u een PowerShell-script gebruiken om toegangspakketten als niet compatibel te configureren.
Beleid toevoegen om toegang te krijgen tot pakketten zodat gebruikers toegang kunnen krijgen tot aanvragen
Als gebruikers die nog geen organisatierol hebben, mogen aanvragen en worden goedgekeurd om een rol op te nemen, kunt u ook rechtenbeheer configureren om gebruikers toe te staan een toegangspakket aan te vragen. U kunt extra beleidsregels toevoegen aan een toegangspakket en in elk beleid opgeven welke gebruikers kunnen aanvragen en wie moet goedkeuren.
Toegangsbeoordelingen configureren in beleid voor toewijzing van toegangspakketten
Als uw organisatierollen regelmatig het lidmaatschap moeten controleren, kunt u terugkerende toegangsbeoordelingen configureren in het beleid voor directe toewijzing op basis van aanvragen.