O que é a gestão do ciclo de vida de identidades?

A Governação da Identidade ajuda as organizações a alcançar um equilíbrio entre produtividade. Quão rapidamente uma pessoa pode ter acesso aos recursos de que precisa, como quando se junta à minha organização? E segurança. E como é que o seu acesso deve mudar ao longo do tempo, como por exemplo devido a alterações ao estatuto de pessoa?

A gestão do ciclo de vida identitária é a base para a Governança identitária, e uma governação eficaz em escala requer a modernização da infraestrutura de gestão do ciclo de vida identitária para aplicações. A Gestão do Ciclo de Vida identitária visa automatizar e gerir todo o processo de ciclo de vida da identidade digital.

Diagrama do provisionamento da nuvem

O que é uma identidade digital?

Uma identidade digital é informação sobre uma entidade utilizada por um ou mais recursos informáticos, como sistemas operativos ou aplicações. Estas entidades podem representar pessoas, organizações, aplicações ou dispositivos. A identidade é geralmente descrita pelos atributos que lhe estão associados, tais como o nome, identificadores e propriedades, tais como funções usadas para gestão de acessos. Estes atributos ajudam os sistemas a fazer determinações tais que têm acesso ao quê, e quem é permitido usar esse recurso.

Gestão do ciclo de vida das identidades digitais

Gerir identidades digitais é uma tarefa complexa, especialmente porque se relaciona com objetos do mundo real, como uma pessoa e a sua relação com uma organização como funcionário dessa organização, com uma representação digital. Em pequenas organizações, manter a representação digital de indivíduos que necessitam de uma identidade pode ser um processo manual. Por exemplo, quando alguém é contratado, ou um empreiteiro chega, um especialista em TI pode criar uma conta para eles num diretório, e atribuir-lhes o acesso de que precisam. No entanto, em organizações de tamanho médio e grande, a automação pode permitir que a organização escalar mais eficazmente e manter as identidades precisas.

O processo típico de criação de gestão do ciclo de vida identitário numa organização segue estes passos:

  1. Determine se já existem sistemas de registo - fontes de dados, que a organização trata como autoritárias. Por exemplo, a organização pode ter um workday do sistema de RH, e esse sistema é autoritário para fornecer a lista atual de funcionários, e algumas das suas propriedades, como o nome ou departamento do funcionário. Ou um sistema de e-mail como Exchange Online pode ser autoritário para o endereço de e-mail de um funcionário.

  2. Ligue esses sistemas de registo a um ou mais diretórios e bases de dados utilizados por aplicações e resolva quaisquer inconsistências entre os diretórios e os sistemas de registo. Por exemplo, um diretório pode ter dados obsoletos, como uma conta para um ex-funcionário que já não é necessário.

  3. Determinar que processos podem ser utilizados para fornecer informações autoritárias na ausência de um sistema de registo. Por exemplo, se houver identidades digitais para os visitantes, mas a organização não tem base de dados para os visitantes, então pode ser necessário encontrar uma forma alternativa de determinar quando uma identidade digital para um visitante já não é necessária.

  4. Certifique-se de que as alterações do sistema de registo ou outros processos são replicadas em cada um dos diretórios ou bases de dados que requerem uma atualização.

Gestão do ciclo de vida identitária para representar colaboradores e outros indivíduos com uma relação organizacional

Ao planear a gestão do ciclo de vida da identidade para colaboradores, ou outros indivíduos com uma relação organizacional como um empreiteiro ou estudante, muitas organizações modelam o "juntar, mover e sair" como processo seguinte:

  • Junte-se - quando um indivíduo entra no âmbito da necessidade de acesso, uma identidade é necessária por essas aplicações, por isso uma nova identidade digital pode ter de ser criada se ainda não estiver disponível
  • Mover - quando um indivíduo se move entre fronteiras que exigem autorizações de acesso adicionais para ser adicionado ou removido à sua identidade digital
  • Licença - quando um indivíduo deixa o âmbito de necessidade de acesso, o acesso pode ter de ser removido, e posteriormente a identidade pode deixar de ser exigida por outros pedidos que não sejam para fins de auditoria ou forense

Assim, por exemplo, se um novo funcionário se juntar à sua organização e esse funcionário nunca ter sido afiliado à sua organização antes, esse funcionário exigirá uma nova identidade digital, representada como uma conta de utilizador em Azure AD. A criação desta conta cairia num processo de "Joiner", que poderia ser automatizado se houvesse um sistema de registos como o Workday que pudesse indicar quando o novo empregado começa a trabalhar. Mais tarde, se a sua organização tiver um empregado que se mude de exemplo, Vendas para Marketing, eles cairão num processo de "Mover". Esta medida exigiria a eliminação dos direitos de acesso que tinham na organização sales, que já não necessitam, e conceder-lhes direitos na organização de Marketing que eles novos exigem.

Gestão do ciclo de vida de identidade para hóspedes

Processos semelhantes também são necessários para hóspedes e outros utilizadores. Azure AD gestão de direitos utiliza Azure AD negócio-a-negócio (B2B) para fornecer os controlos de ciclo de vida necessários para colaborar com pessoas fora da sua organização que exigem acesso aos recursos da sua organização. Com Azure AD B2B, os utilizadores externos autenticam-se no seu diretório de origem, mas têm uma representação no seu diretório. A representação no seu diretório permite ao utilizador ter acesso aos seus recursos. A gestão de direitos permite que indivíduos fora da sua organização solicitem acesso, criando uma identidade digital para eles conforme necessário. Estas identidades digitais são automaticamente removidas quando o utilizador perde acesso.

Como é que Azure AD automatiza a gestão do ciclo de vida da identidade?

Azure AD fornece atualmente estas funcionalidades:

Passos seguintes