Dela via


Styra åtkomsten genom att migrera en organisationsrollmodell till Microsoft Entra ID-styrning

Rollbaserad åtkomstkontroll (RBAC) tillhandahåller ett ramverk för klassificering av användare och IT-resurser. Med det här ramverket kan du uttryckligen ange deras relation och de åtkomsträttigheter som är lämpliga enligt den klassificeringen. Genom att till exempel tilldela till ett användarattribut som anger användarens jobbtitel och projekttilldelningar kan användaren beviljas åtkomst till verktyg som behövs för användarens jobb och data som användaren behöver för att bidra till ett visst projekt. När användaren antar ett annat jobb och olika projekttilldelningar blockerar ändring av attributen som anger användarens jobbtitel och projekt automatiskt åtkomsten till de resurser som endast krävs för användarnas tidigare position.

I Microsoft Entra-ID kan du använda förebilder på flera sätt för att hantera åtkomst i stor skala via identitetsstyrning.

  • Du kan använda åtkomstpaket för att representera organisationsroller i din organisation, till exempel "säljare". Ett åtkomstpaket som representerar den organisationsrollen skulle innehålla alla åtkomsträttigheter som en säljare vanligtvis behöver, över flera resurser.
  • Program kan definiera sina egna roller. Om du till exempel hade ett försäljningsprogram och programmet inkluderade approllen "säljare" i manifestet kan du sedan inkludera rollen från appmanifestet i ett åtkomstpaket. Program kan också använda säkerhetsgrupper i scenarier där en användare kan ha flera programspecifika roller samtidigt.
  • Du kan använda roller för att delegera administrativ åtkomst. Om du har en katalog för alla åtkomstpaket som krävs av försäljningen kan du tilldela någon som ansvarar för katalogen genom att tilldela dem en katalogspecifik roll.

I den här artikeln beskrivs hur du modellerar organisationsroller med hjälp av åtkomstpaket för berättigandehantering, så att du kan migrera dina rolldefinitioner till Microsoft Entra-ID för att framtvinga åtkomst.

Migrera en organisationsrollmodell

I följande tabell visas hur begrepp i organisationsrolldefinitioner som du kanske är bekant med i andra produkter motsvarar funktioner i berättigandehantering.

Koncept inom organisationsrollmodellering Representation i Berättigandehantering
Delegerad rollhantering Delegera till katalogskapare
Samling behörigheter i ett eller flera program Skapa ett åtkomstpaket med resursroller
Begränsa varaktigheten för åtkomst som en roll ger Ange att ett åtkomstpakets principlivscykelinställningar ska ha ett förfallodatum
Individuell tilldelning till en roll Skapa en direkttilldelning till ett åtkomstpaket
Tilldelning av roller till användare baserat på egenskaper (till exempel deras avdelning) Upprätta automatisk tilldelning till ett åtkomstpaket
Användare kan begära och godkännas för en roll Konfigurera principinställningar för vem som kan begära ett åtkomstpaket
Åtkomst till omcertifiering av rollmedlemmar Ange inställningar för återkommande åtkomstgranskning i en princip för åtkomstpaket
Ansvarsfördelning mellan roller Definiera två eller flera åtkomstpaket som inkompatibla

En organisation kan till exempel ha en befintlig organisationsrollmodell som liknar följande tabell.

Rollnamn Behörigheter som rollen ger Automatisk tilldelning till rollen Begärandebaserad tilldelning till rollen Ansvarsfördelningskontroller
Säljare Medlem i säljteamet Ja Nej Ingen
Sales Solution Manager Behörigheterna för salesperson- och Solution Manager-approllen i sales-programmet Ingen En säljare kan begära, kräver godkännande av chefen och kvartalsvis granskning Beställaren får inte vara försäljningschef
Sales Account Manager Behörigheterna för salesperson- och account manager-approllen i sales-programmet Ingen En säljare kan begära, kräver godkännande av chefen och kvartalsvis granskning Begäran kan inte vara en Sales Solution Manager
Försäljningssupport Samma behörigheter som säljare Ingen Alla icke-säljare kan begära, kräver chefens godkännande och kvartalsgranskning Beställaren kan inte vara säljare

Detta kan representeras i Microsoft Entra ID Governance som en åtkomstpaketkatalog som innehåller fyra åtkomstpaket.

Åtkomstpaket Resursroller Policyer Inkompatibla åtkomstpaket
Säljare Medlem i säljteamet Automatisk tilldelning
Sales Solution Manager Solution Manager-approllen i sales-programmet Begärandebaserad Sales Account Manager
Sales Account Manager Kontohanterarens approll i sales-programmet Begärandebaserad Sales Solution Manager
Försäljningssupport Medlem i säljteamet Begärandebaserad Säljare

I nästa avsnitt beskrivs processen för migrering, vilket skapar Microsoft Entra-ID och Microsoft Entra ID-styrningsartefakter för att implementera motsvarande åtkomst till en organisationsrollmodell.

Ansluta appar vars behörigheter refereras i organisationsrollerna till Microsoft Entra-ID

Om dina organisationsroller används för att tilldela behörigheter som styr åtkomsten till saaS-appar som inte kommer från Microsoft, lokala appar eller dina egna molnappar måste du ansluta dina program till Microsoft Entra-ID.

För att ett åtkomstpaket som representerar en organisationsroll ska kunna referera till ett programs roller som behörigheter att inkludera i rollen, för ett program som har flera roller och stöder moderna standarder som SCIM, bör du integrera programmet med Microsoft Entra-ID och se till att programmets roller visas i programmanifestet.

Om programmet bara har en enda roll bör du fortfarande integrera programmet med Microsoft Entra-ID. För program som inte stöder SCIM kan Microsoft Entra-ID skriva användare till ett programs befintliga katalog eller SQL-databas eller lägga till AD-användare i en AD-grupp.

Fylla i Microsoft Entra-schemat som används av appar och för användaromfångsregler i organisationsrollerna

Om dina rolldefinitioner innehåller instruktioner för formuläret "alla användare med dessa attributvärden tilldelas rollen automatiskt" eller "användare med dessa attributvärden tillåts begära", måste du se till att attributen finns i Microsoft Entra-ID.

Du kan utöka Microsoft Entra-schemat och sedan fylla i dessa attribut antingen från lokal AD, via Microsoft Entra Connect eller från ett HR-system som Workday eller SuccessFactors.

Skapa kataloger för delegering

Om det pågående underhållet av roller delegeras kan du delegera administrationen av åtkomstpaket genom att skapa en katalog för varje del av organisationen som du delegerar till.

Om du har flera kataloger att skapa kan du använda ett PowerShell-skript för att skapa varje katalog.

Om du inte planerar att delegera administrationen av åtkomstpaketen kan du behålla åtkomstpaketen i en enda katalog.

Lägga till resurser i katalogerna

Nu när du har identifierat katalogerna lägger du till de program, grupper eller webbplatser som ingår i de åtkomstpaket som representerar organisationsrollerna i katalogerna.

Om du har många resurser kan du använda ett PowerShell-skript för att lägga till varje resurs i en katalog. Mer information finns i Skapa ett åtkomstpaket i berättigandehantering för ett program med en enda roll med hjälp av PowerShell.

Skapa åtkomstpaket som motsvarar definitioner för organisationsroll

Varje definition av organisationsrollen kan representeras med ett åtkomstpaket i katalogen.

Du kan använda ett PowerShell-skript för att skapa ett åtkomstpaket i en katalog.

När du har skapat ett åtkomstpaket länkar du en eller flera av resursernas roller i katalogen till åtkomstpaketet. Detta representerar behörigheterna för organisationsrollen.

Dessutom skapar du en princip för direkttilldelning som en del av det åtkomstpaketet som kan användas för att spåra de användare som redan har enskilda organisationsrolltilldelningar.

Skapa åtkomstpakettilldelningar för befintliga enskilda organisationsrolltilldelningar

Om vissa av dina användare redan har medlemskap i organisationsrollen, som de inte skulle få via automatisk tilldelning, bör du skapa direkta tilldelningar för dessa användare till motsvarande åtkomstpaket.

Om du har många användare som behöver tilldelningar kan du använda ett PowerShell-skript för att tilldela varje användare till ett åtkomstpaket. Detta skulle länka användarna till principen för direkttilldelning.

Lägga till principer i dessa åtkomstpaket för automatisk tilldelning

Om din organisationsrolldefinition innehåller en regel som baseras på användarens attribut för att tilldela och ta bort åtkomst automatiskt baserat på dessa attribut, kan du representera detta med hjälp av en automatisk tilldelningsprincip. Ett åtkomstpaket kan ha högst en automatisk tilldelningsprincip.

Om du har många rolldefinitioner som var och en har en rolldefinition kan du använda ett PowerShell-skript för att skapa varje automatisk tilldelningsprincip i varje åtkomstpaket.

Ange åtkomstpaket som inkompatibla för ansvarsfördelning

Om du har ansvarsbegränsningar som hindrar en användare från att ta på sig en organisationsroll när de redan har en annan, kan du förhindra att användaren begär åtkomst i berättigandehantering genom att markera dessa kombinationer av åtkomstpaket som inkompatibla.

För varje åtkomstpaket som ska markeras som inkompatibelt med ett annat kan du använda ett PowerShell-skript för att konfigurera åtkomstpaket som inkompatibla.

Lägga till principer för åtkomstpaket för användare som ska kunna begära

Om användare som inte redan har en organisationsroll får begära och godkännas för att ta på sig en roll kan du även konfigurera berättigandehantering så att användare kan begära ett åtkomstpaket. Du kan lägga till ytterligare principer i ett åtkomstpaket och i varje princip anger du vilka användare som kan begära och vem som måste godkänna.

Konfigurera åtkomstgranskningar i tilldelningsprinciper för åtkomstpaket

Om dina organisationsroller kräver regelbunden granskning av deras medlemskap kan du konfigurera återkommande åtkomstgranskningar i de begärandebaserade och direkta tilldelningsprinciperna.

Nästa steg