Co to jest zarządzanie cyklem życia tożsamości?

Zarządzanie tożsamościami pomaga organizacjom osiągnąć równowagę między produktywnością — jak szybko osoba może mieć dostęp do potrzebnych zasobów, takich jak dołączenie do mojej organizacji? A bezpieczeństwo — w jaki sposób ich dostęp powinien ulec zmianie w czasie, na przykład ze względu na zmiany statusu zatrudnienia tej osoby?

Zarządzanie cyklem życia tożsamości jest podstawą zarządzania tożsamościami, a skuteczne zarządzanie na dużą skalę wymaga modernizacji infrastruktury zarządzania cyklem życia tożsamości dla aplikacji. Zarządzanie cyklem życia tożsamości ma na celu zautomatyzowanie całego procesu cyklu życia tożsamości cyfrowej i zarządzanie nim dla osób powiązanych z organizacją.

Co to jest tożsamość cyfrowa?

Tożsamość cyfrowa to informacje o jednostce używanej przez co najmniej jeden zasób obliczeniowy, taki jak systemy operacyjne lub aplikacje. Te jednostki mogą reprezentować osoby, organizacje, aplikacje lub urządzenia. Tożsamość jest zwykle opisywana przez skojarzone z nim atrybuty, takie jak nazwa, identyfikatory i właściwości, takie jak role używane do zarządzania dostępem. Te atrybuty pomagają systemom w określaniu, kto ma dostęp do tego, co i kto może korzystać z tego zasobu.

Zarządzanie cyklem życia tożsamości cyfrowych

Zarządzanie tożsamościami cyfrowymi jest złożonym zadaniem, zwłaszcza w związku z korelowaniem rzeczywistych obiektów, takich jak osoba i ich relacje z organizacją jako pracownik tej organizacji, z reprezentacją cyfrową. W małych organizacjach utrzymanie cyfrowej reprezentacji osób, które wymagają tożsamości, może być procesem ręcznym. Na przykład gdy ktoś zostanie zatrudniony lub pracownik przybywa, specjalista IT może utworzyć konto dla nich w katalogu i przypisać im potrzebny dostęp. Jednak w średnich i dużych organizacjach automatyzacja może umożliwić organizacji wydajniejsze skalowanie i zapewnienie dokładności tożsamości.

Typowy proces ustanawiania zarządzania cyklem życia tożsamości w organizacji jest zgodny z następującymi krokami:

1. Ustal, czy istnieją już systemy rekordów — źródła danych, które organizacja traktuje jako autorytatywne. Na przykład organizacja może mieć system kadrowy, taki jak Workday lub SuccessFactors, i ten system jest autorytatywny do udostępniania bieżącej listy pracowników, a niektóre z ich właściwości, takie jak nazwa lub dział pracownika. Ponadto system poczty e-mail, taki jak Exchange Online, może być autorytatywny dla dodatkowych atrybutów, adresu e-mail pracownika.

2. Połączenie tych systemów rekordów za pomocą identyfikatora Entra firmy Microsoft i rozwiąż wszelkie niespójności między istniejącymi użytkownikami w usłudze Microsoft Entra ID i systemami rekordów. Na przykład identyfikator Entra firmy Microsoft mógł zostać wypełniony przestarzałymi danymi, takimi jak konto użytkownika dla byłego pracownika, który nie jest już powiązany z organizacją.

3. Gdy identyfikator Entra firmy Microsoft ma odpowiednich użytkowników, połącz microsoft Entra ID z co najmniej jednym katalogiem i bazami danych używanymi przez aplikacje i rozwiąż wszelkie niespójności między tymi katalogami a kopią systemu danych rekordów w identyfikatorze Entra firmy Microsoft. Na przykład katalog dla aplikacji, która została wcześniej odłączona, może mieć przestarzałe dane, takie jak konto dla byłego pracownika.

4. Określ, jakie procesy mogą służyć do dostarczania autorytatywnych informacji w przypadku braku systemu rekordów. Jeśli na przykład istnieją tożsamości cyfrowe dla odwiedzających, ale organizacja nie ma bazy danych dla odwiedzających, może być konieczne znalezienie alternatywnego sposobu określenia, kiedy tożsamość cyfrowa dla odwiedzających nie jest już potrzebna.

5. Upewnij się, że zmiany z systemu rekordów lub innych procesów są replikowane za pośrednictwem identyfikatora Entra firmy Microsoft do każdego z katalogów lub baz danych, które wymagają aktualizacji.

Zarządzanie cyklem życia tożsamości na potrzeby reprezentowania pracowników i innych osób z relacją organizacyjną

Podczas planowania zarządzania cyklem życia tożsamości dla pracowników lub innych osób z relacjami organizacyjnymi, takimi jak wykonawca lub student, wiele organizacji modeluje "dołączanie, przenoszenie i opuszczenie" w następujący sposób:

• Join — gdy dana osoba wchodzi w zakres potrzeb dostępu, tożsamość jest potrzebna przez te aplikacje, więc może być konieczne utworzenie nowej tożsamości cyfrowej, jeśli ta osoba nie jest jeszcze dostępna
• Przenoszenie — gdy osoba przechodzi między granicami, które wymagają dodania lub usunięcia dodatkowych autoryzacji dostępu do ich tożsamości cyfrowej
• Leave — gdy osoba opuszcza zakres konieczności dostępu, może być konieczne usunięcie dostępu, a następnie tożsamość może nie być już wymagana przez aplikacje inne niż w celach inspekcji lub śledczego

Jeśli na przykład nowy pracownik dołączy do organizacji i że pracownik nigdy wcześniej nie był powiązany z twoją organizacją, ten pracownik będzie wymagał nowej tożsamości cyfrowej reprezentowanej jako konto użytkownika w identyfikatorze Entra firmy Microsoft. Utworzenie tego konta mogłoby należeć do procesu "Joiner", który mógłby zostać zautomatyzowany, jeśli istniał system rekordów, taki jak Workday, który może wskazywać, kiedy nowy pracownik rozpoczyna pracę. Później, jeśli twoja organizacja ma pracownika, powiedzmy, Sales to Marketing, wejdzie w proces "Mover". To przeniesienie wymagałoby usunięcia praw dostępu, które mieli w organizacji Sales, której nie wymagają, i udzielenia im praw w organizacji marketingowej, której potrzebują.

Zarządzanie cyklem życia tożsamości dla gości

Podobne procesy są również potrzebne w przypadku dodatkowych tożsamości, partnerów, dostawców i innych gości, aby umożliwić im współpracę lub dostęp do zasobów. Zarządzanie upoważnieniami firmy Microsoft Entra wykorzystuje Tożsamość zewnętrzna Microsoft Entra business-to-business (B2B), aby zapewnić mechanizmy kontroli cyklu życia potrzebne do współpracy z osobami spoza organizacji, które wymagają dostępu do zasobów organizacji. Dzięki usłudze Microsoft Entra B2B użytkownicy zewnętrzni uwierzytelniają się w katalogu głównym lub dostawcy tożsamości, ale mają reprezentację w katalogu organizacji. Reprezentacja w katalogu organizacji umożliwia użytkownikowi przypisanie dostępu do zasobów. Zarządzanie upoważnieniami umożliwia osobom spoza organizacji żądanie dostępu, utworzenie tożsamości cyfrowej dla nich zgodnie z potrzebami. Te tożsamości cyfrowe są automatycznie usuwane, gdy użytkownik utraci dostęp.

Jak firma Microsoft Entra ID automatyzuje zarządzanie cyklem życia tożsamości?

W Zarządzanie tożsamością Microsoft Entra można zautomatyzować procesy cyklu życia tożsamości przy użyciu:

• Inbound provisioning from your organization's HR sources, pobiera informacje o pracownikach z workday i SuccessFactors, aby automatycznie obsługiwać tożsamości użytkowników zarówno w usługach Active Directory, jak i Microsoft Entra ID.
• Użytkownicy już obecni w usłudze Active Directory mogą być automatycznie tworzeni i utrzymywani w usłudze Microsoft Entra ID przy użyciu aprowizacji między katalogami.
• Przepływy pracy cyklu życia automatyzują zadania przepływu pracy uruchamiane w określonych kluczowych zdarzeniach, takie jak przed zaplanowaniem rozpoczęcia pracy w organizacji przez nowego pracownika, ponieważ zmieniają one stan w czasie w organizacji i opuszczają organizację. Na przykład przepływ pracy można skonfigurować pod kątem wysyłania wiadomości e-mail z tymczasowym dostępem do menedżera nowego użytkownika lub powitalnej wiadomości e-mail do użytkownika pierwszego dnia.
• Zasady automatycznego przypisywania w zarządzaniu upoważnieniami dodają i usuń członkostwa użytkownika w grupach, rolach aplikacji i rolach witryny programu SharePoint na podstawie zmian atrybutów użytkownika. Użytkownicy mogą również na żądanie być przypisani do grup, zespołów, ról firmy Microsoft Entra, ról zasobów platformy Azure i witryn usługi SharePoint Online przy użyciu zarządzania upoważnieniami i usługi Privileged Identity Management.
• Gdy użytkownicy znajdują się w usłudze Microsoft Entra ID z prawidłowymi członkostwami w grupach i przypisaniami ról aplikacji, aprowizacja użytkowników może tworzyć, aktualizować i usuwać konta użytkowników w innych aplikacjach z łącznikami do setek aplikacji w chmurze i lokalnych za pośrednictwem protokołu SCIM, LDAP i SQL.
• W przypadku cyklu życia gościa można określić w obszarze zarządzania upoważnieniami inne organizacje, których użytkownicy mogą żądać dostępu do zasobów organizacji. Po zatwierdzeniu żądania jednego z tych użytkowników są one automatycznie dodawane przez funkcję zarządzania upoważnieniami jako gościa B2B do katalogu organizacji i przypisanego odpowiedniego dostępu. A zarządzanie upoważnieniami automatycznie usuwa użytkownika-gościa B2B z katalogu organizacji po wygaśnięciu lub odwołaniu ich praw dostępu.
• Przeglądy dostępu automatyzują cykliczne przeglądy istniejących gości znajdujących się już w katalogu organizacji i usuwa tych użytkowników z katalogu organizacji, gdy nie potrzebują już dostępu.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.

Następne kroki

• Co to jest aprowizacja?
• Zarządzanie dostępem dla użytkowników zewnętrznych w usłudze Zarządzania upoważnieniami firmy Microsoft
• Co to jest aprowizacja oparta na hr?
• Co to jest aprowizowanie aplikacji?
• Co to jest aprowizowanie między katalogami?