O que é a gestão do ciclo de vida de identidades?

A Governança de Identidade ajuda as organizações a alcançar um equilíbrio entre produtividade - Com que rapidez uma pessoa pode ter acesso aos recursos de que precisa, como quando ingressa na minha organização? E segurança - Como deve mudar o seu acesso ao longo do tempo, por exemplo, devido a alterações no estatuto laboral dessa pessoa?

O gerenciamento do ciclo de vida da identidade é a base para a governança de identidade, e uma governança eficaz em escala requer a modernização da infraestrutura de gerenciamento do ciclo de vida da identidade para aplicativos. O Identity Lifecycle Management tem como objetivo automatizar e gerenciar todo o processo de ciclo de vida da identidade digital para indivíduos afiliados a uma organização.

O que é uma identidade digital?

Uma identidade digital é uma informação sobre uma entidade utilizada por um ou mais recursos informáticos, tais como sistemas operativos ou aplicações. Essas entidades podem representar pessoas, organizações, aplicativos ou dispositivos. A identidade geralmente é descrita pelos atributos associados a ela, como nome, identificadores e propriedades, como funções usadas para gerenciamento de acesso. Esses atributos ajudam os sistemas a fazer determinações como quem tem acesso a quê e quem tem permissão para usar esse recurso.

Gerenciando o ciclo de vida das identidades digitais

Gerenciar identidades digitais é uma tarefa complexa, especialmente porque relaciona correlacionar objetos do mundo real, como uma pessoa e seu relacionamento com uma organização como funcionário dessa organização, com uma representação digital. Em pequenas organizações, manter a representação digital de indivíduos que necessitam de uma identidade pode ser um processo manual. Por exemplo, quando alguém é contratado ou um contratante chega, um especialista em TI pode criar uma conta para ele em um diretório e atribuir-lhe o acesso de que precisa. No entanto, em organizações de médio e grande porte, a automação pode permitir que a organização escale de forma mais eficaz e mantenha as identidades precisas.

O processo típico para estabelecer o gerenciamento do ciclo de vida da identidade em uma organização segue estas etapas:

1. Determine se já existem sistemas de registro - fontes de dados, que a organização trata como autoridade. Por exemplo, a organização pode ter um sistema de RH, como Workday ou SuccessFactors, e esse sistema é autorizado a fornecer a lista atual de funcionários e algumas de suas propriedades, como o nome ou departamento do funcionário. Além disso, um sistema de email como o Exchange Online pode ser autorizado para atributos adicionais, o endereço de email do funcionário.

2. Conecte esses sistemas de registro com o Microsoft Entra ID e resolva quaisquer inconsistências entre os usuários existentes no Microsoft Entra ID e os sistemas de registro. Por exemplo, o Microsoft Entra ID pode ter sido preenchido com dados agora obsoletos, como uma conta de usuário para um ex-funcionário que não é mais afiliado à organização.

3. Quando o Microsoft Entra ID tiver os usuários corretos, conecte o Microsoft Entra ID com um ou mais diretórios e bancos de dados usados pelos aplicativos e resolva quaisquer inconsistências entre esses diretórios e a cópia do sistema de dados de registro no Microsoft Entra ID. Por exemplo, um diretório de um aplicativo que foi desconectado anteriormente pode ter dados obsoletos, como uma conta de um ex-funcionário.

4. Determinar quais processos podem ser usados para fornecer informações confiáveis na ausência de um sistema de registro. Por exemplo, se houver identidades digitais para visitantes, mas a organização não tiver banco de dados para visitantes, pode ser necessário encontrar uma maneira alternativa de determinar quando uma identidade digital para um visitante não é mais necessária.

5. Certifique-se de que as alterações do sistema de registro ou outros processos sejam replicadas por meio do Microsoft Entra ID para cada um dos diretórios ou bancos de dados que exigem uma atualização.

Gerenciamento do ciclo de vida da identidade para representar funcionários e outros indivíduos com um relacionamento organizacional

Ao planejar o gerenciamento do ciclo de vida da identidade para funcionários ou outros indivíduos com um relacionamento organizacional, como um contratante ou estudante, muitas organizações modelam o processo "entrar, mover e sair" da seguinte forma:

• Junte-se - quando um indivíduo entra no escopo de precisar de acesso, uma identidade é necessária para esses aplicativos, então uma nova identidade digital pode precisar ser criada se ainda não estiver disponível
• Mover - quando um indivíduo se move entre limites que exigem que autorizações de acesso adicionais sejam adicionadas ou removidas à sua identidade digital
• Licença - quando uma pessoa deixa o âmbito de necessidade de acesso, o acesso pode ter de ser removido e, subsequentemente, a identidade pode deixar de ser exigida por aplicações que não sejam para fins de auditoria ou forense.

Assim, por exemplo, se um novo funcionário ingressar em sua organização e esse funcionário nunca tiver sido afiliado à sua organização antes, esse funcionário exigirá uma nova identidade digital, representada como uma conta de usuário no Microsoft Entra ID. A criação dessa conta cairia em um processo de "Marceneiro", que poderia ser automatizado se houvesse um sistema de registro como o Workday que pudesse indicar quando o novo funcionário começa a trabalhar. Mais tarde, se a sua organização tiver um funcionário a passar de Vendas para Marketing, ele cairá num processo de "Mover". Essa mudança exigiria a remoção dos direitos de acesso que eles tinham na organização de Vendas, que eles não exigem mais, e conceder-lhes direitos na organização de Marketing que eles novos exigem.

Gerenciamento do ciclo de vida da identidade para hóspedes

Processos semelhantes também são necessários para identidades adicionais, para parceiros, fornecedores e outros convidados, para permitir que colaborem ou tenham acesso a recursos. O gerenciamento de direitos do Microsoft Entra utiliza o Microsoft Entra External ID business-to-business (B2B) para fornecer os controles de ciclo de vida necessários para colaborar com pessoas fora da sua organização que precisam de acesso aos recursos da sua organização. Com o Microsoft Entra B2B, os usuários externos se autenticam em seu diretório base ou provedor de identidade, mas têm uma representação no diretório da sua organização. A representação no diretório da sua organização permite que o usuário receba acesso aos seus recursos. O gerenciamento de direitos permite que indivíduos fora da sua organização solicitem acesso, criando uma identidade digital para eles, conforme necessário. Essas identidades digitais são removidas automaticamente quando o usuário perde o acesso.

Como o Microsoft Entra ID automatiza o gerenciamento do ciclo de vida da identidade?

No Microsoft Entra ID Governance, você pode automatizar os processos do ciclo de vida da identidade usando:

• O provisionamento de entrada das fontes de RH da sua organização recupera informações do trabalhador do Workday e do SuccessFactors, para manter automaticamente as identidades dos usuários no Ative Directory e no Microsoft Entra ID.
• Os usuários já presentes no Ative Directory podem ser criados e mantidos automaticamente no Microsoft Entra ID usando o provisionamento entre diretórios.
• Os fluxos de trabalho do ciclo de vida automatizam tarefas de fluxo de trabalho que são executadas em determinados eventos-chave, como antes de um novo funcionário ser agendado para começar a trabalhar na organização, à medida que eles mudam de status durante seu tempo na organização e quando saem da organização. Por exemplo, um fluxo de trabalho pode ser configurado para enviar um e-mail com um passe de acesso temporário para o gerente de um novo usuário, ou um e-mail de boas-vindas para o usuário, no primeiro dia.
• As políticas de atribuição automática no gerenciamento de direitos adicionam e removem associações de grupo, funções de aplicativo e funções de site do SharePoint de um usuário, com base em alterações nos atributos do usuário. Os usuários também podem, mediante solicitação, ser atribuídos a grupos, Teams, funções do Microsoft Entra, funções de recursos do Azure e sites do SharePoint Online, usando o gerenciamento de direitos e o Gerenciamento Privilegiado de Identidades.
• Quando os usuários estiverem no Microsoft Entra ID com as associações de grupo e atribuições de função de aplicativo corretas, o provisionamento de usuários poderá criar, atualizar e remover contas de usuário em outros aplicativos, com conectores para centenas de aplicativos locais e na nuvem via SCIM, LDAP e SQL.
• Para o ciclo de vida do convidado, você pode especificar no gerenciamento de direitos as outras organizações cujos usuários têm permissão para solicitar acesso aos recursos da sua organização. Quando uma solicitação desses usuários é aprovada, eles são automaticamente adicionados pelo gerenciamento de direitos como um convidado B2B ao diretório da sua organização e recebem o acesso apropriado. E o gerenciamento de direitos remove automaticamente o usuário convidado B2B do diretório da sua organização quando seus direitos de acesso expiram ou são revogados.
• As avaliações do Access automatizam as avaliações recorrentes de hóspedes existentes que já estão no diretório da sua organização e removem esses usuários do diretório da sua organização quando eles não precisam mais de acesso.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

Próximos passos

• O que é provisionamento?
• Controlar o acesso de usuários externos no gerenciamento de direitos do Microsoft Entra
• O que é o provisionamento orientado por RH?
• O que é provisionamento de aplicativos?
• O que é o provisionamento entre diretórios?