De levenscyclus van werknemers en gasten beheren met Microsoft Entra ID-governance
Met Identity Governance kunnen organisaties een balans vinden tussen productiviteit: hoe snel kunnen personen toegang krijgen tot de resources die ze nodig hebben, bijvoorbeeld wanneer ze deel uit gaan maken van mijn organisatie? En veiligheid: hoe moet de toegang in de loop van de tijd worden aangepast, bijvoorbeeld als gevolg van wijzigingen in de werknemersstatus van die persoon?
Identiteitslevenscyclusbeheer
Beheer van identiteitslevenscycli vormt de basis voor Identity Governance en voor een effectief beheer op schaal moet de infrastructuur voor het identiteitslevenscyclusbeheer voor toepassingen worden gemoderniseerd. Identiteitslevenscyclusbeheer is gericht op het automatiseren en beheren van het volledige levenscyclusproces voor digitale identiteiten voor personen die zijn gekoppeld aan een organisatie.
Wat is een digitale identiteit?
Een digitale identiteit is informatie over een entiteit die wordt gebruikt door een of meer computerresources, zoals besturingssystemen of toepassingen. Deze entiteiten kunnen personen, organisaties, toepassingen of apparaten vertegenwoordigen. De identiteit wordt meestal beschreven door de kenmerken die eraan zijn gekoppeld, zoals de naam, id's en eigenschappen zoals rollen die worden gebruikt voor toegangsbeheer. Deze kenmerken helpen systemen te bepalen wie er toegang heeft tot wat en wie die resource mag gebruiken.
De levenscyclus van digitale identiteiten beheren
Het beheren van digitale identiteiten is een complexe taak, met name omdat het te maken heeft met zaken in de echte wereld, zoals een persoon en zijn relatie met een organisatie als werknemer van die organisatie. Deze worden digitaal vertegenwoordigd. In kleine organisaties kan het bijhouden van de digitale weergave van personen die een identiteit vereisen een handmatig proces zijn. Wanneer bijvoorbeeld iemand wordt aangenomen of wanneer een contractant arriveert, kan een IT-specialist voor deze persoon een account in een map maken en de benodigde toegang toewijzen aan deze persoon. In middelgrote bedrijven kan automatisering de organisatie echter helpen om effectiever te schalen en de identiteiten op een nauwkeurige manier te beheren.
Het gebruikelijke proces voor het opzetten van Beheer van identiteitslevenscycli volgt de volgende stappen:
Bepaal of er al recordsystemen zijn: gegevensbronnen die door de organisatie als leidend worden beschouwd. De organisatie kan bijvoorbeeld een HR-systeem hebben, zoals Workday of SuccessFactors, en dat systeem is gezaghebbend voor het opgeven van de huidige lijst met werknemers en sommige van hun eigenschappen, zoals de naam of afdeling van de werknemer. Daarnaast kan een e-mailsysteem zoals Exchange Online gezaghebbend zijn voor een extra kenmerk, het e-mailadres van de werknemer.
Verbind deze recordsystemen met Microsoft Entra ID en los eventuele inconsistenties tussen bestaande gebruikers in Microsoft Entra ID en de recordsystemen op. Microsoft Entra-id kan bijvoorbeeld zijn gevuld met nu verouderde gegevens, zoals een gebruikersaccount voor een voormalige werknemer die niet meer is gekoppeld aan de organisatie.
Zodra Microsoft Entra ID de juiste gebruikers heeft, verbindt u Microsoft Entra-id met een of meer directory's en databases die door toepassingen worden gebruikt en lost u inconsistenties tussen deze mappen en de kopie van het systeem van recordgegevens in Microsoft Entra ID op. Een map voor een toepassing die eerder is verbroken, kan bijvoorbeeld verouderde gegevens bevatten, zoals een account voor een voormalige werknemer.
Bepaal welke processen kunnen worden gebruikt om leidende informatie te leveren als er nog geen recordsysteem is. Als er bijvoorbeeld digitale identiteiten voor bezoekers zijn, maar de organisatie geen database voor bezoekers heeft, kan het nodig zijn om te zoeken naar een andere manier om te bepalen wanneer een digitale identiteit voor een bezoeker niet meer nodig is.
Zorg ervoor dat wijzigingen van het recordsysteem of andere processen worden gerepliceerd via Microsoft Entra-id naar elk van de directory's of databases waarvoor een update is vereist.
Beheer van identiteitslevenscycli voor het weergeven van werknemers en andere personen die een relatie hebben met een organisatie
Bij het plannen van het beheer van identiteitslevenscycli voor werknemers of andere personen die een relatie hebben met een organisatie, zoals een contractant of student, gebruiken veel organisaties het volgende proces 'toetreden, verplaatsen en verlaten'.
- Toetreden: wanneer een persoon voor het eerst toegang nodig heeft, is er een identiteit nodig voor de betreffende toepassingen, waardoor er mogelijk een nieuwe digitale identiteit moet worden gemaakt als deze nog niet beschikbaar is
- Verplaatsen: wanneer een persoon andere taken krijgt waarvoor extra toegangsmachtigingen moeten worden toegevoegd aan of verwijderd uit hun digitale identiteit
- Verlaten: wanneer een persoon geen toegang meer nodig heeft, kan het zijn dat de toegang moet worden verwijderd en is het mogelijk dat de identiteit alleen nog noodzakelijk is voor audit- of forensische doeleinden
Als een nieuwe werknemer bijvoorbeeld lid wordt van uw organisatie en die werknemer nog nooit eerder is gekoppeld aan uw organisatie, heeft die werknemer een nieuwe digitale identiteit nodig, vertegenwoordigd als een gebruikersaccount in Microsoft Entra ID. Het maken van dit account is een 'toetredingsproces', wat kan worden geautomatiseerd als er een recordsysteem zoals Workday wordt gebruikt dat kan aangeven wanneer de nieuwe werknemer met zijn functie begint. Als uw organisatie een medewerker in de toekomst verplaatst van de verkoop- naar de marketingafdeling, is er sprake van een 'verplaatsingsproces'. Hiervoor moet u de toegangsrechten die hij of zij had op de verkoopafdeling en die hij niet meer nodig heeft, verwijderen. Vervolgens moet u hem of haar de rechten verlenen die hij of zij op de marketingafdeling nodig heeft.
Beheer van identiteitslevenscycli voor gasten
Vergelijkbare processen zijn ook nodig voor extra identiteiten, voor partners, leveranciers en andere gasten, om ze in staat te stellen samen te werken of toegang te hebben tot resources. Microsoft Entra-rechtenbeheer maakt gebruik van Microsoft Entra Externe ID business-to-business (B2B) om de levenscycluscontroles te bieden die nodig zijn om samen te werken met personen buiten uw organisatie die toegang nodig hebben tot de resources van uw organisatie. Met Microsoft Entra B2B verifiëren externe gebruikers zich bij hun basismap of id-provider, maar hebben ze een weergave in de adreslijst van uw organisatie. Met de weergave in de adreslijst van uw organisatie kan de gebruiker toegang krijgen tot uw resources. Met rechtenbeheer kunnen personen buiten uw organisatie toegang aanvragen en kan er zo nodig een digitale identiteit worden gemaakt. Deze digitale identiteiten worden automatisch verwijderd wanneer de gebruiker geen toegang meer nodig heeft.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance- of Microsoft Entra Suite-licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.