Styra medarbetaren och gästlivscykeln med Microsoft Entra ID-styrning

Identitetsstyrning hjälper organisationer att uppnå en balans mellan produktivitet – Hur snabbt kan en person ha åtkomst till de resurser de behöver, till exempel när de ansluter sig till min organisation? Och säkerhet – Hur ska deras åtkomst ändras över tid, till exempel på grund av ändringar i personens anställningsstatus?

Livscykelhantering för identiteter

Identitetslivscykelhantering är grunden för identitetsstyrning, och effektiv styrning i stor skala kräver modernisering av infrastrukturen för hantering av identitetslivscykel för program. Identity Lifecycle Management syftar till att automatisera och hantera hela livscykelprocessen för digitala identiteter för personer som är anslutna till en organisation.

Vad är en digital identitet?

En digital identitet är information om en entitet som används av en eller flera beräkningsresurser, till exempel operativsystem eller program. Dessa entiteter kan representera personer, organisationer, program eller enheter. Identiteten beskrivs vanligtvis av de attribut som är associerade med den, till exempel namn, identifierare och egenskaper, till exempel roller som används för åtkomsthantering. De här attributen hjälper systemen att fastställa vem som har åtkomst till vad och vem som får använda resursen.

Hantera livscykeln för digitala identiteter

Att hantera digitala identiteter är en komplex uppgift, särskilt när det gäller korrelering av verkliga objekt, till exempel en person och deras relation till en organisation som anställd i organisationen, med en digital representation. I små organisationer kan det vara en manuell process att behålla den digitala representationen av personer som behöver en identitet. När någon till exempel anställs eller en entreprenör anländer kan en IT-specialist skapa ett konto för dem i en katalog och tilldela dem den åtkomst de behöver. Men i medelstora och stora organisationer kan automatisering göra det möjligt för organisationen att skala mer effektivt och hålla identiteterna korrekta.

Den typiska processen för att upprätta identitetslivscykelhantering i en organisation följer dessa steg:

1. Avgör om det redan finns system för post – datakällor, som organisationen behandlar som auktoritativa. Organisationen kan till exempel ha ett HR-system som Workday eller SuccessFactors, och det systemet är auktoritativt för att tillhandahålla den aktuella listan över anställda och några av deras egenskaper, till exempel medarbetarens namn eller avdelning. Dessutom kan ett e-postsystem som Exchange Online vara auktoritativt för ytterligare attribut, medarbetarens e-postadress.

2. Anslut dessa postsystem med Microsoft Entra-ID och lös eventuella inkonsekvenser mellan befintliga användare i Microsoft Entra-ID och postsystemen. Microsoft Entra-ID kan till exempel ha fyllts i med nu föråldrade data, till exempel ett användarkonto för en tidigare anställd som inte längre är ansluten till organisationen.

3. När Microsoft Entra-ID:t har rätt användare ansluter du Microsoft Entra-ID med en eller flera kataloger och databaser som används av program och löser eventuella inkonsekvenser mellan dessa kataloger och kopian av systemet med postdata i Microsoft Entra-ID. En katalog för ett program som tidigare var frånkopplat kan till exempel ha föråldrade data, till exempel ett konto för en tidigare anställd.

4. Fastställa vilka processer som kan användas för att tillhandahålla auktoritativ information i avsaknad av ett postsystem. Om det till exempel finns digitala identiteter för besökare, men organisationen inte har någon databas för besökare, kan det vara nödvändigt att hitta ett alternativt sätt att avgöra när en digital identitet för en besökare inte längre behövs.

5. Se till att ändringar från postsystemet eller andra processer replikeras via Microsoft Entra-ID till var och en av de kataloger eller databaser som kräver en uppdatering.

Identitetslivscykelhantering för att representera anställda och andra personer med en organisationsrelation

När du planerar identitetslivscykelhantering för anställda eller andra personer med en organisationsrelation, till exempel en entreprenör eller student, modellerar många organisationer "gå med, flytta och lämna" som följande process:

• Anslut – när en individ kommer in i omfånget för att behöva åtkomst krävs en identitet av dessa program, så en ny digital identitet kan behöva skapas om en inte redan är tillgänglig
• Flytta – när en individ flyttas mellan gränser som kräver att ytterligare åtkomstauktoriseringar läggs till eller tas bort i den digitala identiteten
• Lämna – när en individ lämnar omfattningen för att behöva åtkomst kan åtkomsten behöva tas bort, och därefter kan identiteten inte längre krävas av andra program än för gransknings- eller kriminaltekniska ändamål

Om en ny medarbetare till exempel ansluter till din organisation och den anställde aldrig har varit ansluten till din organisation tidigare, kräver den anställde en ny digital identitet, som representeras som ett användarkonto i Microsoft Entra-ID. Skapandet av det här kontot skulle ingå i en "Joiner"-process, som skulle kunna automatiseras om det fanns ett postsystem som Workday som kan indikera när den nya medarbetaren börjar arbeta. Senare, om din organisation har en anställd flytta från till exempel försäljning till marknadsföring, skulle de hamna i en "Mover"-process. Den här flytten skulle kräva att de åtkomsträttigheter som de hade i försäljningsorganisationen, som de inte längre behöver, tas bort och att de beviljas rättigheter i marknadsföringsorganisationen som de nya kräver.

Identitetslivscykelhantering för gäster

Liknande processer behövs också för ytterligare identiteter, för partner, leverantörer och andra gäster, för att de ska kunna samarbeta eller ha åtkomst till resurser. Microsoft Entra-berättigandehantering använder Microsoft Entra External ID business-to-business (B2B) för att tillhandahålla de livscykelkontroller som behövs för att samarbeta med personer utanför organisationen som behöver åtkomst till organisationens resurser. Med Microsoft Entra B2B autentiserar externa användare till sin hemkatalog eller identitetsprovider, men har en representation i organisationens katalog. Representationen i organisationens katalog gör att användaren kan tilldelas åtkomst till dina resurser. Berättigandehantering gör det möjligt för personer utanför organisationen att begära åtkomst och skapa en digital identitet för dem efter behov. Dessa digitala identiteter tas bort automatiskt när användaren förlorar åtkomsten.

Licenskrav

För att kunna använda den här funktionen krävs Microsoft Entra ID-styrning eller Microsoft Entra Suite-licenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

Nästa steg

• Vad är etablering?
• Styra åtkomst för externa användare i Microsoft Entra-berättigandehantering
• Vad är HR-driven etablering?
• Vad är appetablering?
• Vad är etablering mellan kataloger?