Vad är livscykelhantering för identiteter?

Identitetsstyrning hjälper organisationer att uppnå en balans mellan produktivitet – Hur snabbt kan en person ha åtkomst till de resurser de behöver, till exempel när de ansluter sig till min organisation? Och säkerhet – Hur ska deras åtkomst ändras över tid, till exempel på grund av ändringar i personens anställningsstatus?

Identitetslivscykelhantering är grunden för identitetsstyrning, och effektiv styrning i stor skala kräver modernisering av infrastrukturen för hantering av identitetslivscykel för program. Identity Lifecycle Management syftar till att automatisera och hantera hela livscykelprocessen för digitala identiteter för personer som är anslutna till en organisation.

Vad är en digital identitet?

En digital identitet är information om en entitet som används av en eller flera beräkningsresurser, till exempel operativsystem eller program. Dessa entiteter kan representera personer, organisationer, program eller enheter. Identiteten beskrivs vanligtvis av de attribut som är associerade med den, till exempel namn, identifierare och egenskaper, till exempel roller som används för åtkomsthantering. De här attributen hjälper systemen att fastställa vem som har åtkomst till vad och vem som får använda resursen.

Hantera livscykeln för digitala identiteter

Att hantera digitala identiteter är en komplex uppgift, särskilt när det gäller korrelering av verkliga objekt, till exempel en person och deras relation till en organisation som anställd i organisationen, med en digital representation. I små organisationer kan det vara en manuell process att behålla den digitala representationen av personer som behöver en identitet. När någon till exempel anställs eller en entreprenör anländer kan en IT-specialist skapa ett konto för dem i en katalog och tilldela dem den åtkomst de behöver. Men i medelstora och stora organisationer kan automatisering göra det möjligt för organisationen att skala mer effektivt och hålla identiteterna korrekta.

Den typiska processen för att upprätta identitetslivscykelhantering i en organisation följer dessa steg:

1. Avgör om det redan finns system för post – datakällor, som organisationen behandlar som auktoritativa. Organisationen kan till exempel ha ett HR-system som Workday eller SuccessFactors, och det systemet är auktoritativt för att tillhandahålla den aktuella listan över anställda och några av deras egenskaper, till exempel medarbetarens namn eller avdelning. Dessutom kan ett e-postsystem som Exchange Online vara auktoritativt för ytterligare attribut, medarbetarens e-postadress.

2. Anslut dessa arkivhandlingssystem med Microsoft Entra-ID och lösa eventuella inkonsekvenser mellan befintliga användare i Microsoft Entra-ID och postsystemen. Microsoft Entra-ID kan till exempel ha fyllts i med nu föråldrade data, till exempel ett användarkonto för en tidigare anställd som inte längre är ansluten till organisationen.

3. När Microsoft Entra-ID:t har rätt användare ansluter du Microsoft Entra-ID med en eller flera kataloger och databaser som används av program och löser eventuella inkonsekvenser mellan dessa kataloger och kopian av systemet med postdata i Microsoft Entra-ID. En katalog för ett program som tidigare var frånkopplat kan till exempel ha föråldrade data, till exempel ett konto för en tidigare anställd.

4. Fastställa vilka processer som kan användas för att tillhandahålla auktoritativ information i avsaknad av ett postsystem. Om det till exempel finns digitala identiteter för besökare, men organisationen inte har någon databas för besökare, kan det vara nödvändigt att hitta ett alternativt sätt att avgöra när en digital identitet för en besökare inte längre behövs.

5. Se till att ändringar från postsystemet eller andra processer replikeras via Microsoft Entra-ID till var och en av de kataloger eller databaser som kräver en uppdatering.

Identitetslivscykelhantering för att representera anställda och andra personer med en organisationsrelation

När du planerar identitetslivscykelhantering för anställda eller andra personer med en organisationsrelation, till exempel en entreprenör eller student, modellerar många organisationer "gå med, flytta och lämna" som följande process:

• Anslut – när en individ kommer in i omfånget för att behöva åtkomst krävs en identitet av dessa program, så en ny digital identitet kan behöva skapas om en inte redan är tillgänglig
• Flytta – när en individ flyttas mellan gränser som kräver att ytterligare åtkomstauktoriseringar läggs till eller tas bort i den digitala identiteten
• Lämna – när en individ lämnar omfattningen för att behöva åtkomst kan åtkomsten behöva tas bort, och därefter kan identiteten inte längre krävas av andra program än för gransknings- eller kriminaltekniska ändamål

Om en ny medarbetare till exempel ansluter till din organisation och den anställde aldrig har varit ansluten till din organisation tidigare, kräver den anställde en ny digital identitet, som representeras som ett användarkonto i Microsoft Entra-ID. Skapandet av det här kontot skulle ingå i en "Joiner"-process, som skulle kunna automatiseras om det fanns ett postsystem som Workday som kan indikera när den nya medarbetaren börjar arbeta. Senare, om din organisation har en anställd flytta från till exempel försäljning till marknadsföring, skulle de hamna i en "Mover"-process. Den här flytten skulle kräva att de åtkomsträttigheter som de hade i försäljningsorganisationen, som de inte längre behöver, tas bort och att de beviljas rättigheter i marknadsföringsorganisationen som de nya kräver.

Identitetslivscykelhantering för gäster

Liknande processer behövs också för ytterligare identiteter, för partner, leverantörer och andra gäster, för att de ska kunna samarbeta eller ha åtkomst till resurser. Microsoft Entra-berättigandehantering använder Microsoft Entra External ID business-to-business (B2B) för att tillhandahålla de livscykelkontroller som behövs för att samarbeta med personer utanför organisationen som behöver åtkomst till organisationens resurser. Med Microsoft Entra B2B autentiserar externa användare till sin hemkatalog eller identitetsprovider, men har en representation i organisationens katalog. Representationen i organisationens katalog gör att användaren kan tilldelas åtkomst till dina resurser. Berättigandehantering gör det möjligt för personer utanför organisationen att begära åtkomst och skapa en digital identitet för dem efter behov. Dessa digitala identiteter tas bort automatiskt när användaren förlorar åtkomsten.

Hur automatiserar Microsoft Entra ID hantering av identitetslivscykel?

I Styrning av Microsoft Entra-ID kan du automatisera livscykelprocesser för identiteter med hjälp av:

• Inkommande etablering från organisationens HR-källor hämtar arbetsinformation från Workday och SuccessFactors för att automatiskt underhålla användaridentiteter i både Active Directory och Microsoft Entra ID.
• Användare som redan finns i Active Directory kan skapas och underhållas automatiskt i Microsoft Entra-ID med hjälp av etablering mellan kataloger.
• Livscykelarbetsflöden automatiserar arbetsflödesuppgifter som körs vid vissa viktiga händelser, till exempel innan en ny anställd schemaläggs att börja arbeta i organisationen, eftersom de ändrar status under sin tid i organisationen och när de lämnar organisationen. Ett arbetsflöde kan till exempel konfigureras för att skicka ett e-postmeddelande med ett tillfälligt åtkomstpass till en ny användares chef eller ett välkomstmeddelande till användaren första dagen.
• Automatiska tilldelningsprinciper i berättigandehantering lägger till och tar bort en användares gruppmedlemskap, programroller och SharePoint-webbplatsroller, baserat på ändringar i användarens attribut. Användare kan också på begäran tilldelas till grupper, Teams, Microsoft Entra-roller, Azure-resursroller och SharePoint Online-webbplatser med hjälp av berättigandehantering och Privileged Identity Management.
• När användarna är i Microsoft Entra-ID med rätt gruppmedlemskap och approlltilldelningar kan användaretablering skapa, uppdatera och ta bort användarkonton i andra program, med anslutningsappar till hundratals molnbaserade och lokala program via SCIM, LDAP och SQL.
• För gästlivscykeln kan du i berättigandehantering ange de andra organisationer vars användare får begära åtkomst till organisationens resurser. När en av dessa användares begäran godkänns läggs de automatiskt till av berättigandehantering som B2B-gäst i organisationens katalog och tilldelas lämplig åtkomst. Och rättighetshantering tar automatiskt bort B2B-gästanvändaren från organisationens katalog när deras åtkomsträttigheter upphör att gälla eller återkallas.
• Åtkomstgranskningar automatiserar återkommande granskningar av befintliga gäster som redan finns i organisationens katalog och tar bort användarna från organisationens katalog när de inte längre behöver åtkomst.

Licenskrav

För att kunna använda den här funktionen krävs Microsoft Entra ID-styrningslicenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

Nästa steg

• Vad är etablering?
• Styra åtkomst för externa användare i Microsoft Entra-berättigandehantering
• Vad är HR-driven etablering?
• Vad är appetablering?
• Vad är etablering mellan kataloger?