Что такое управление жизненным циклом удостоверений?

Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации).

Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений. Управление жизненным циклом удостоверений предназначено для автоматизации всего процесса жизненного цикла цифровых удостоверений для лиц, связанных с организацией.

Что такое цифровое удостоверение?

Цифровое удостоверение — это информация о сущности, используемой одним или несколькими вычислительными ресурсами, такими как операционные системы или приложения. Эти сущности могут представлять людей, организации, приложения или устройства. Удостоверение обычно описывается связанными с ним атрибутами, такими как имя, идентификаторы и свойства, например роли, используемые для управления доступом. Эти атрибуты помогают системам определять, кто к чему имеет доступ и кому разрешено использовать этот ресурс.

Управление жизненным циклом цифровых удостоверений

Управление цифровыми удостоверениями является сложной задачей, особенно если оно связывает соответствующие реальные объекты, такие как человек и его причастность к организации в качестве сотрудника, с цифровым представлением. В небольших организациях сохранение цифрового представления лиц, которым требуется удостоверение, может выполняться вручную. Например, когда кого-то нанимают или приходит подрядчик, ИТ-специалист может создать для этого человека учетную запись в каталоге и назначить ему необходимый доступ. Однако в средних и крупных организациях автоматизация может обеспечить более эффективное масштабирование организации и точность удостоверений.

Типичный процесс настройки управления жизненным циклом удостоверений в организации выполняется следующим образом:

1. Определите, существуют ли уже системы записи — источники данных, которые организация считает авторитетными. Например, у организации может быть система управления персоналом, например Workday или SuccessFactors, и эта система является авторитетной для предоставления текущего списка сотрудников, а также некоторые из их свойств, таких как имя сотрудника или отдел. Кроме того, электронная система, например Exchange Online, может быть авторитетна для дополнительных атрибутов, адреса электронной почты сотрудника.

2. Подключение эти системы записей с идентификатором Microsoft Entra ID и устраняют любые несоответствия между существующими пользователями в идентификаторе Microsoft Entra и системами записей. Например, идентификатор Microsoft Entra может быть заполнен устаревшими данными, например учетной записью пользователя для бывшего сотрудника, который больше не связан с организацией.

3. После того как идентификатор Microsoft Entra ID имеет правильных пользователей, подключите идентификатор Microsoft Entra с одним или несколькими каталогами и базами данных, используемыми приложениями, и устраните любые несоответствия между этими каталогами и копией системы данных записи в идентификаторе Microsoft Entra ID. Например, каталог приложения, ранее отключенного, может иметь устаревшие данные, например учетную запись бывшего сотрудника.

4. Определите, какие процессы можно использовать для предоставления достоверных сведений при отсутствии системы записи. Например, если у посетителей есть цифровые удостоверения, но у организации нет базы данных для посетителей, может потребоваться найти альтернативный способ определить, когда цифровое удостоверение посетителя больше не требуется.

5. Убедитесь, что изменения из системы записей или других процессов реплика с помощью идентификатора Microsoft Entra для каждой из каталогов или баз данных, требующих обновления.

Управление жизненным циклом удостоверений для представления сотрудников и других лиц, имеющих отношение к организации

При планировании управления жизненным циклом удостоверений для сотрудников или других лиц, связанных с организацией, таких как подрядчик или студент, многие организации моделируют процесс "присоединение, перемещение и выход" следующим образом:

• Присоединение. Когда человек приходит в область, в которой требуется доступ, этим приложениям требуется удостоверение, поэтому может потребоваться создать новое цифровое удостоверение, если оно еще не доступно
• Перемещение. Когда пользователь перемещается между областями, которые требуют добавления авторизаций прав доступа для цифрового удостоверения или их удаления.
• Выход. Когда лицо покидает область, в которой требуется доступ, доступ может быть удален и впоследствии удостоверение может больше не требоваться приложениями, кроме как для целей аудита или криминалистики

Например, если новый сотрудник присоединяется к вашей организации и этот сотрудник никогда не был связан с вашей организацией раньше, этот сотрудник потребует нового цифрового удостоверения, представленного как учетная запись пользователя в идентификаторе Microsoft Entra. Создание этой учетной записи произойдет в процессе "Присоединение", который можно автоматизировать при наличии системы записи, например Workday, которая может указать время начала работы нового сотрудника. Если позже сотрудник вашей организации будет переходить, скажем, из отдела продаж в отдел маркетинга, он попадет под процесс "Перемещение". Этот шаг потребует удаления прав доступа, которые у человека были в организации продаж и которые ему больше не нужны, и предоставления человеку прав в организации маркетинга, которые ему нужны.

Управление жизненным циклом удостоверений для гостей

Аналогичные процессы также необходимы для дополнительных удостоверений, для партнеров, поставщиков и других гостей, чтобы позволить им сотрудничать или иметь доступ к ресурсам. Управление правами Microsoft Entra использует Внешняя идентификация Microsoft Entra бизнес-бизнес (B2B) для предоставления элементов управления жизненным циклом, необходимых для совместной работы с людьми за пределами организации, которым требуется доступ к ресурсам вашей организации. При использовании Microsoft Entra B2B внешние пользователи проходят проверку подлинности в своем домашнем каталоге или поставщике удостоверений, но имеют представление в каталоге вашей организации. Представление в каталоге организации позволяет пользователю назначать доступ к ресурсам. Управление правами позволяет сотрудникам за пределами вашей организации запрашивать доступ, создавая при необходимости цифровые удостоверения. Эти цифровые удостоверения автоматически удаляются, когда пользователь теряет доступ.

Как Microsoft Entra ID автоматизирует управление жизненным циклом удостоверений?

В Управление идентификацией Microsoft Entra можно автоматизировать процессы жизненного цикла идентификации с помощью:

• Входящий трафик подготовки из источников кадров вашей организации извлекает сведения о рабочей роли из Workday и SuccessFactors, чтобы автоматически поддерживать удостоверения пользователей как в Active Directory, так и в идентификаторе Microsoft Entra.
• Пользователи, уже присутствующие в Active Directory, могут автоматически создаваться и поддерживаться в идентификаторе Microsoft Entra с помощью подготовки между каталогами.
• Рабочие процессы жизненного цикла автоматизируют задачи рабочего процесса, выполняемые на определенных ключевых событиях, например, прежде чем новый сотрудник планирует начать работу в организации, так как они изменяют состояние во время своей организации, а также по мере того, как они покидают организацию. Например, рабочий процесс можно настроить для отправки электронной почты с временным доступом к руководителю нового пользователя или приветственному сообщению электронной почты пользователю в первый день.
• Политики автоматического назначения в управлении правами добавляют и удаляют членство пользователя в группах, роли приложений и роли сайта SharePoint на основе изменений атрибутов пользователя. Пользователи также могут назначаться группам, командам, ролям Microsoft Entra, ролям ресурсов Azure и сайтам SharePoint Online с помощью управления правами и управление привилегированными пользователями.
• После того как пользователи находятся в идентификаторе Microsoft Entra с правильными членством в группах и назначениями ролей приложений, подготовка пользователей может создавать, обновлять и удалять учетные записи пользователей в других приложениях с соединителями для сотен облачных и локальных приложений через SCIM, LDAP и SQL.
• Для жизненного цикла гостей можно указать в управлении правами другие организации, пользователи которых могут запрашивать доступ к ресурсам вашей организации. Когда один из этих пользователей утверждается, они автоматически добавляются управлением правами в качестве гостя B2B в каталог вашей организации и назначают соответствующий доступ. А управление правами автоматически удаляет гостевого пользователя B2B из каталога вашей организации при истечении срока действия или отмене прав доступа.
• Проверки доступа автоматизирует повторяющиеся проверки существующих гостей, уже имеющихся в каталоге вашей организации, и удаляет этих пользователей из каталога вашей организации, когда им больше не нужен доступ.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

Следующие шаги

• Что собой представляет подготовка?
• Управление доступом для внешних пользователей в управлении правами Microsoft Entra
• Что такое подготовка на основе управления персоналом?
• Что такое подготовка приложений?
• Что такое подготовка между каталогами?