Поделиться через


Управление жизненным циклом сотрудников и гостей с помощью Управление идентификацией Microsoft Entra

Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации).

управление жизненным циклом удостоверений

Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений. Управление жизненным циклом удостоверений предназначено для автоматизации всего процесса жизненного цикла цифровых удостоверений для лиц, связанных с организацией.

Схема связи Microsoft Entra в подготовке с другими источниками и целевыми объектами.

Что такое цифровое удостоверение?

Цифровое удостоверение — это информация о сущности, используемой одним или несколькими вычислительными ресурсами, такими как операционные системы или приложения. Эти сущности могут представлять людей, организации, приложения или устройства. Удостоверение обычно описывается связанными с ним атрибутами, такими как имя, идентификаторы и свойства, например роли, используемые для управления доступом. Эти атрибуты помогают системам определять, кто к чему имеет доступ и кому разрешено использовать этот ресурс.

Управление жизненным циклом цифровых удостоверений

Управление цифровыми удостоверениями является сложной задачей, особенно если оно связывает соответствующие реальные объекты, такие как человек и его причастность к организации в качестве сотрудника, с цифровым представлением. В небольших организациях сохранение цифрового представления лиц, которым требуется удостоверение, может выполняться вручную. Например, когда кого-то нанимают или приходит подрядчик, ИТ-специалист может создать для этого человека учетную запись в каталоге и назначить ему необходимый доступ. Однако в средних и крупных организациях автоматизация может обеспечить более эффективное масштабирование организации и точность удостоверений.

Типичный процесс настройки управления жизненным циклом удостоверений в организации выполняется следующим образом:

  1. Определите, существуют ли уже системы записи — источники данных, которые организация считает авторитетными. Например, у организации может быть система управления персоналом, например Workday или SuccessFactors, и эта система является авторитетной для предоставления текущего списка сотрудников, а также некоторые из их свойств, таких как имя сотрудника или отдел. Кроме того, электронная система, например Exchange Online, может быть авторитетна для дополнительных атрибутов, адреса электронной почты сотрудника.

  2. Подключите эти системы записей с помощью идентификатора Microsoft Entra и устраните любые несоответствия между существующими пользователями в идентификаторе Microsoft Entra и системами записей. Например, идентификатор Microsoft Entra может быть заполнен устаревшими данными, например учетной записью пользователя для бывшего сотрудника, который больше не связан с организацией.

  3. После того как идентификатор Microsoft Entra ID имеет правильных пользователей, подключите идентификатор Microsoft Entra с одним или несколькими каталогами и базами данных, используемыми приложениями, и устраните любые несоответствия между этими каталогами и копией системы данных записи в идентификаторе Microsoft Entra ID. Например, каталог приложения, ранее отключенного, может иметь устаревшие данные, например учетную запись бывшего сотрудника.

  4. Определите, какие процессы можно использовать для предоставления достоверных сведений при отсутствии системы записи. Например, если у посетителей есть цифровые удостоверения, но у организации нет базы данных для посетителей, может потребоваться найти альтернативный способ определить, когда цифровое удостоверение посетителя больше не требуется.

  5. Убедитесь, что изменения из системы записей или других процессов реплицируются с помощью идентификатора Microsoft Entra в каждую из каталогов или баз данных, требующих обновления.

Управление жизненным циклом удостоверений для представления сотрудников и других лиц, имеющих отношение к организации

При планировании управления жизненным циклом удостоверений для сотрудников или других лиц, связанных с организацией, таких как подрядчик или студент, многие организации моделируют процесс "присоединение, перемещение и выход" следующим образом:

  • Присоединение. Когда человек приходит в область, в которой требуется доступ, этим приложениям требуется удостоверение, поэтому может потребоваться создать новое цифровое удостоверение, если оно еще не доступно
  • Перемещение. Когда пользователь перемещается между областями, которые требуют добавления авторизаций прав доступа для цифрового удостоверения или их удаления.
  • Выход. Когда лицо покидает область, в которой требуется доступ, доступ может быть удален и впоследствии удостоверение может больше не требоваться приложениями, кроме как для целей аудита или криминалистики

Например, если новый сотрудник присоединяется к вашей организации и этот сотрудник никогда не был связан с вашей организацией раньше, этот сотрудник потребует нового цифрового удостоверения, представленного как учетная запись пользователя в идентификаторе Microsoft Entra. Создание этой учетной записи произойдет в процессе "Присоединение", который можно автоматизировать при наличии системы записи, например Workday, которая может указать время начала работы нового сотрудника. Если позже сотрудник вашей организации будет переходить, скажем, из отдела продаж в отдел маркетинга, он попадет под процесс "Перемещение". Этот шаг потребует удаления прав доступа, которые у человека были в организации продаж и которые ему больше не нужны, и предоставления человеку прав в организации маркетинга, которые ему нужны.

Управление жизненным циклом удостоверений для гостей

Аналогичные процессы также необходимы для дополнительных удостоверений, для партнеров, поставщиков и других гостей, чтобы позволить им сотрудничать или иметь доступ к ресурсам. Управление правами Microsoft Entra использует Внешняя идентификация Microsoft Entra бизнес-бизнес (B2B) для предоставления элементов управления жизненным циклом, необходимых для совместной работы с людьми за пределами организации, которым требуется доступ к ресурсам вашей организации. При использовании Microsoft Entra B2B внешние пользователи проходят проверку подлинности в своем домашнем каталоге или поставщике удостоверений, но имеют представление в каталоге вашей организации. Представление в каталоге организации позволяет пользователю назначать доступ к ресурсам. Управление правами позволяет сотрудникам за пределами вашей организации запрашивать доступ, создавая при необходимости цифровые удостоверения. Эти цифровые удостоверения автоматически удаляются, когда пользователь теряет доступ.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

Следующие шаги