Kurumsal rol modelini Microsoft Entra Kimlik Yönetimi geçirerek erişimi yönetme
Rol tabanlı erişim denetimi (RBAC), kullanıcıları ve BT kaynaklarını sınıflandırmak için bir çerçeve sağlar. Bu çerçeve, ilişkilerini ve bu sınıflandırmaya uygun erişim haklarını açıkça oluşturmanıza olanak tanır. Örneğin, kullanıcı iş unvanını ve proje atamalarını belirten bir kullanıcı özniteliklerine atanarak, kullanıcıya kullanıcının işi için gereken araçlara ve kullanıcının belirli bir projeye katkıda bulunabilmesi için gereken verilere erişim verilebilir. Kullanıcı farklı bir iş ve farklı proje atamaları varsaydığında, kullanıcının iş unvanını ve projelerini belirten özniteliklerin değiştirilmesi, yalnızca önceki konum için gerekli olan kaynaklara erişimi otomatik olarak engeller.
Microsoft Entra Id'de, kimlik idaresi aracılığıyla erişimi büyük ölçekte yönetmek için rol modellerini çeşitli yollarla kullanabilirsiniz.
- Kuruluşunuzdaki "satış temsilcisi" gibi kuruluş rollerini temsil etmek için erişim paketlerini kullanabilirsiniz. Bu kuruluş rolünü temsil eden bir erişim paketi, bir satış temsilcisinin birden çok kaynakta normalde ihtiyaç duyabileceği tüm erişim haklarını içerir.
- Uygulamalar kendi rollerini tanımlayabilir. Örneğin, bir satış uygulamanız varsa ve bu uygulama bildirimine "satış temsilcisi" uygulama rolünü eklediyse, bu rolü uygulama bildiriminden bir erişim paketine ekleyebilirsiniz. Uygulamalar, bir kullanıcının aynı anda uygulamaya özgü birden çok role sahip olabileceği senaryolarda da güvenlik gruplarını kullanabilir.
- Yönetim erişimine temsilcilik için rolleri kullanabilirsiniz. Satışların ihtiyaç duyduğu tüm erişim paketleri için bir kataloğunuz varsa, kataloğa özgü bir rol atayarak bu katalogdan sorumlu olacak birini atayabilirsiniz.
Bu makalede, erişim zorlamak için rol tanımlarınızı Microsoft Entra Id'ye geçirebilmeniz için yetkilendirme yönetimi erişim paketlerini kullanarak kuruluş rollerinin nasıl modellenmesi anlatılmaktadır.
Kuruluş rol modelini geçirme
Aşağıdaki tabloda, diğer ürünlerde aşina olabileceğiniz kuruluş rolü tanımlarındaki kavramların yetkilendirme yönetimindeki özelliklere nasıl karşılık gelenleri gösterilmektedir.
| Kurumsal rol modellemede kavram | Yetkilendirme Yönetiminde Temsil |
|---|---|
| Temsilci rolü yönetimi | Katalog oluşturucularına temsilci atama |
| Bir veya daha fazla uygulama genelinde izin koleksiyonu | Kaynak rolleriyle erişim paketi oluşturma |
| Bir rolün sağladığı erişim süresini kısıtlama | Erişim paketinin ilke yaşam döngüsü ayarlarını son kullanma tarihine sahip olacak şekilde ayarlama |
| Bir role bireysel atama | Erişim paketine doğrudan atama oluşturma |
| Özelliklere (departmanları gibi) göre kullanıcılara rol atama | Erişim paketine otomatik atama oluşturma |
| Kullanıcılar bir rol için istekte bulunabilir ve onaylanabilir | Erişim paketi isteyebilecek kişiler için ilke ayarlarını yapılandırma |
| Rol üyelerinin yeniden onaylanmasına erişim | Erişim paketi ilkesinde yinelenen erişim gözden geçirme ayarlarını ayarlama |
| Roller arasındaki görev ayrımı | İki veya daha fazla erişim paketini uyumsuz olarak tanımlama |
Örneğin, bir kuruluşun aşağıdaki tabloya benzer bir kuruluş rol modeli olabilir.
| Rol Adı | Rolün sağladığı izinler | Role otomatik atama | Role istek tabanlı atama | Görev ayrımı denetimleri |
|---|---|---|---|---|
| Satışçı | Satış Ekibi Üyesi | Evet | Hayır | Hiçbiri |
| Satış Çözümü Yöneticisi | Satış uygulamasında Satış Temsilcisi ve Çözüm yöneticisi uygulama rolünün izinleri | Hiçbiri | Bir satış temsilcisi talep edebilir, yönetici onayı ve üç aylık gözden geçirme gerektirir | İstek sahibi Satış Hesabı Yöneticisi olamaz |
| Satış Hesabı Yöneticisi | Satış uygulamasında Satış Temsilcisi ve Hesap yöneticisi uygulama rolünün izinleri | Hiçbiri | Bir satış temsilcisi talep edebilir, yönetici onayı ve üç aylık gözden geçirme gerektirir | İstek Satış Çözümü Yöneticisi olamaz |
| Satış Desteği | Satış Temsilcisi ile aynı izinler | Hiçbiri | Herhangi bir satış temsilcisi talep edebilir, yönetici onayı ve üç aylık gözden geçirme gerektirir | İstek sahibi Satış Temsilcisi olamaz |
Bu, Microsoft Entra Kimlik Yönetimi'da dört erişim paketi içeren bir erişim paketi kataloğu olarak gösterilebilir.
| Erişim paketi | Kaynak rolleri | İlkeler | Uyumsuz erişim paketleri |
|---|---|---|---|
| Satışçı | Satış Ekibi Üyesi | Otomatik atama | |
| Satış Çözümü Yöneticisi | Satış uygulamasında çözüm yöneticisi uygulaması rolü | İstek tabanlı | Satış Hesabı Yöneticisi |
| Satış Hesabı Yöneticisi | Satış uygulamasında hesap yöneticisi uygulama rolü | İstek tabanlı | Satış Çözümü Yöneticisi |
| Satış Desteği | Satış Ekibi Üyesi | İstek tabanlı | Satışçı |
Sonraki bölümlerde geçiş işlemi özetlenmiştir ve kuruluş rol modelinin eşdeğer erişimini uygulamak için Microsoft Entra Kimliği ve Microsoft Entra Kimlik Yönetimi yapıtları oluşturulur.
Kuruluş rollerinde Microsoft Entra Id izinlerine başvurulan uygulamaları Bağlan
Kuruluş rolleriniz Microsoft dışı SaaS uygulamalarına, şirket içi uygulamalara veya kendi bulut uygulamalarınıza erişimi denetleyen izinler atamak için kullanılıyorsa, uygulamalarınızı Microsoft Entra Id'ye bağlamanız gerekir.
Bir kuruluş rolünü temsil eden bir erişim paketinin, birden çok rolü olan ve SCIM gibi modern standartları destekleyen bir uygulama için, bir uygulamanın rollerine rollerine ekleme izinleri olarak başvurabilmesi için, uygulamayı Microsoft Entra Id ile tümleştirmeniz ve uygulamanın rollerinin uygulama bildiriminde listelenmiş olduğundan emin olmanız gerekir.
Uygulamanın yalnızca tek bir rolü varsa, yine de uygulamayı Microsoft Entra Id ile tümleştirmelisiniz. SCIM'yi desteklemeyen uygulamalar için, Microsoft Entra ID bir uygulamanın mevcut dizinine veya SQL veritabanına kullanıcı yazabilir veya AD kullanıcılarını bir AD grubuna ekleyebilir.
Uygulamalar tarafından ve kuruluş rollerindeki kullanıcı kapsam kuralları için kullanılan Microsoft Entra şemasını doldurma
Rol tanımlarınızda "bu öznitelik değerlerine sahip tüm kullanıcılar role otomatik olarak atanır" veya "bu öznitelik değerlerine sahip kullanıcıların istemesine izin verilir" biçiminde deyimler varsa, bu özniteliklerin Microsoft Entra Kimliği'nde mevcut olduğundan emin olmanız gerekir.
Microsoft Entra şemasını genişletebilir ve ardından bu öznitelikleri şirket içi AD'den, Microsoft Entra Bağlan aracılığıyla veya Workday veya SuccessFactors gibi bir İk sisteminden doldurabilirsiniz.
Temsilci seçme için katalog oluşturma
Rollerin devam eden bakımına temsilci atanırsa, temsilci olarak atanacağın kuruluşun her bölümü için bir katalog oluşturarak erişim paketlerinin yönetimine temsilci atayabilirsiniz.
Oluşturulacak birden çok kataloğunuz varsa, her kataloğu oluşturmak için bir PowerShell betiği kullanabilirsiniz.
Erişim paketlerinin yönetimine temsilci atamayı planlamıyorsanız, erişim paketlerini tek bir katalogda tutabilirsiniz.
Kataloglara kaynak ekleme
Artık katalogları tanımladığınıza göre, kuruluş rollerini temsil eden erişim paketlerine dahil edilen uygulamaları, grupları veya siteleri kataloglara ekleyin.
Çok fazla kaynağınız varsa, her kaynağı kataloğa eklemek için powershell betiği kullanabilirsiniz.
Kurumsal rol tanımlarına karşılık gelen erişim paketleri oluşturma
Her kuruluş rolü tanımı, bu katalogdaki bir erişim paketiyle temsil edilebilir.
Katalogda erişim paketi oluşturmak için PowerShell betiği kullanabilirsiniz.
Bir erişim paketi oluşturduktan sonra, katalogdaki kaynakların bir veya daha fazla rolünü erişim paketine bağlarsınız. Bu, kuruluş rolünün izinlerini temsil eder.
Ayrıca, bu erişim paketinin bir parçası olarak, zaten tek tek kurumsal rol atamaları olan kullanıcıları izlemek için kullanılabilecek bir doğrudan atama ilkesi oluşturacaksınız.
Mevcut tek tek kurumsal rol atamaları için erişim paketi atamaları oluşturma
Kullanıcılarınızdan bazıları otomatik atama yoluyla almadıkları kurumsal rol üyeliklerine zaten sahipse, ilgili erişim paketlerine bu kullanıcılar için doğrudan atamalar oluşturmanız gerekir.
Atamaları gereken çok sayıda kullanıcınız varsa, her kullanıcıyı bir erişim paketine atamak için powershell betiği kullanabilirsiniz. Bu, kullanıcıları doğrudan atama ilkesine bağlar.
Otomatik atama için bu erişim paketlerine ilke ekleme
Kuruluş rol tanımınız, bu özniteliklere göre erişimi otomatik olarak atamak ve kaldırmak için kullanıcının özniteliklerini temel alan bir kural içeriyorsa, bunu otomatik atama ilkesi kullanarak temsil edebilirsiniz. Erişim paketinde en fazla bir otomatik atama ilkesi olabilir.
Her birinin rol tanımı olan birçok rol tanımınız varsa, her erişim paketinde her otomatik atama ilkesini oluşturmak için bir PowerShell betiği kullanabilirsiniz.
Erişim paketlerini görev ayrımı için uyumsuz olarak ayarlayın
Kullanıcının zaten başka bir kuruluş rolü üstlenmesini engelleyen görev ayrımı kısıtlamalarınız varsa, bu erişim paketi birleşimlerini uyumsuz olarak işaretleyerek kullanıcının yetkilendirme yönetiminde erişim istemesini engelleyebilirsiniz.
Diğeriyle uyumsuz olarak işaretlenecek her erişim paketi için, erişim paketlerini uyumsuz olarak yapılandırmak için bir PowerShell betiği kullanabilirsiniz.
Kullanıcıların istemesine izin verilen paketlere erişmek için ilkeler ekleme
Henüz bir kuruluş rolüne sahip olmayan kullanıcıların bir rol üstlenmeleri için istekte bulunmalarına ve onaylanmalarına izin veriliyorsa, kullanıcıların erişim paketi istemesine izin vermek için yetkilendirme yönetimini de yapılandırabilirsiniz. Erişim paketine ek ilkeler ekleyebilir ve her ilkede hangi kullanıcıların istekte bulunabileceğini ve kimlerin onaylaması gerektiğini belirtebilirsiniz.
Erişim paketi atama ilkelerinde erişim gözden geçirmelerini yapılandırma
Kuruluş rolleriniz üyeliklerinin düzenli olarak gözden geçirilmesini gerektiriyorsa, istek tabanlı ve doğrudan atama ilkelerinde yinelenen erişim gözden geçirmelerini yapılandırabilirsiniz.