Sdílet prostřednictvím


Řízení životního cyklu zaměstnanců a hostů pomocí zásad správného řízení Microsoft Entra ID

Zásady správného řízení identit pomáhají organizacím dosáhnout rovnováhy mezi produktivitou – jak rychle může mít osoba přístup k potřebným prostředkům, například když se připojí k mé organizaci? A zabezpečení – jak by se měl jejich přístup v průběhu času měnit, například kvůli změnám pracovního stavu dané osoby?

Správa životního cyklu identit

Správa životního cyklu identit je základem zásad správného řízení identit a efektivní zásady správného řízení ve velkém měřítku vyžadují modernizaci infrastruktury správy životního cyklu identit pro aplikace. Správa životního cyklu identit má za cíl automatizovat a spravovat celý proces životního cyklu digitální identity pro jednotlivce přidružené k organizaci.

Diagram vztahu Microsoft Entra při zřizování s jinými zdroji a cíli

Co je digitální identita?

Digitální identita je informace o entitě používané jedním nebo více výpočetními prostředky, jako jsou operační systémy nebo aplikace. Tyto entity mohou představovat osoby, organizace, aplikace nebo zařízení. Identitu obvykle popisují atributy, které jsou k ní přidružené, například název, identifikátory a vlastnosti, jako jsou role používané pro správu přístupu. Tyto atributy pomáhají systémům určit, kdo má přístup k čemu a kdo smí tento prostředek používat.

Správa životního cyklu digitálních identit

Správa digitálních identit je složitý úkol, zejména v souvislosti s korelací skutečných objektů, jako je osoba a jejich vztah s organizací jako zaměstnanec dané organizace, s digitální reprezentací. V malých organizacích může být digitální reprezentace jednotlivců, kteří vyžadují identitu, ručním procesem. Když je například někdo přijat nebo dorazí dodavatel, může it specialista vytvořit účet pro něj v adresáři a přiřadit mu přístup, který potřebuje. Automatizace ale může v středně velkých a velkých organizacích umožnit organizaci efektivněji škálovat a udržovat identity přesné.

Typický proces pro vytvoření správy životního cyklu identit v organizaci se řídí těmito kroky:

  1. Určete, jestli už existují systémy záznamů – zdroje dat, které organizace považuje za autoritativní. Organizace může mít například systém personálního oddělení, jako je Workday nebo SuccessFactors, a tento systém je autoritativní pro poskytování aktuálního seznamu zaměstnanců a některé jejich vlastnosti, jako je jméno nebo oddělení zaměstnance. Kromě toho může být e-mailový systém, jako je Exchange Online, autoritativní pro další atributy, e-mailovou adresu zaměstnance.

  2. Tyto systémy záznamu propojte s ID Microsoft Entra a vyřešte případné nekonzistence mezi stávajícími uživateli v Microsoft Entra ID a systémy záznamu. Například Id Microsoft Entra bylo naplněno zastaralými daty, například uživatelským účtem bývalého zaměstnance, který už není přidružený k organizaci.

  3. Jakmile má MICROSOFT Entra ID správné uživatele, připojte Microsoft Entra ID s jedním nebo více adresáři a databázemi používanými aplikacemi a vyřešte případné nekonzistence mezi těmito adresáři a kopií systému dat záznamů v Microsoft Entra ID. Například adresář aplikace, která byla dříve odpojena, může obsahovat zastaralá data, například účet bývalého zaměstnance.

  4. Určete, jaké procesy je možné použít k poskytování autoritativních informací v případě, že neexistuje systém záznamů. Pokud jsou například pro návštěvníky digitální identity, ale organizace nemá pro návštěvníky žádnou databázi, může být nutné najít alternativní způsob, jak určit, kdy už není potřeba digitální identita návštěvníka.

  5. Ujistěte se, že se změny systému záznamů nebo jiných procesů replikují prostřednictvím ID Microsoft Entra do všech adresářů nebo databází, které vyžadují aktualizaci.

Správa životního cyklu identit pro reprezentaci zaměstnanců a dalších jednotlivců s organizačním vztahem

Při plánování správy životního cyklu identit pro zaměstnance nebo jiné jednotlivce s organizačním vztahem, jako je dodavatel nebo student, řada organizací modeluje následující proces:

  • Připojení – když jednotlivec spadá do rozsahu potřeb přístupu, tyto aplikace potřebují identitu, takže pokud ještě není dostupná, bude možná potřeba vytvořit novou digitální identitu.
  • Přesunutí – když se jednotlivec přesune mezi hranicemi, které vyžadují přidání nebo odebrání dalších autorizací přístupu k digitální identitě
  • Nechejte - když jednotlivec opustí rozsah potřeb přístupu, může být potřeba odebrat přístup a následně už identita nemusí být vyžadována jinými aplikacemi než pro účely auditu nebo forenzních účelů.

Takže pokud se například nový zaměstnanec připojí k vaší organizaci a tento zaměstnanec ještě nebyl přidružený k vaší organizaci, tento zaměstnanec vyžaduje novou digitální identitu reprezentovanou jako uživatelský účet v Microsoft Entra ID. Vytvoření tohoto účtu by se dostalo do procesu "Joiner", který by mohl být automatizovaný, pokud existuje systém záznamů, například Workday, který by mohl znamenat, kdy nový zaměstnanec začíná pracovat. Pokud by se vaše organizace později přesunula z prodeje na marketing, přešel by do procesu "Mover". Tento přesun by vyžadoval odebrání přístupových práv, která měli v organizaci Prodej, kterou už nevyžadují, a udělení práv v marketingové organizaci, která vyžadují.

Správa životního cyklu identit pro hosty

Podobné procesy jsou také potřeba pro další identity, pro partnery, dodavatele a další hosty, aby mohli spolupracovat nebo mít přístup k prostředkům. Správa nároků Microsoft Entra využívá Microsoft Entra Externí ID B2B (business-to-business) k zajištění řízení životního cyklu potřebného ke spolupráci s lidmi mimo vaši organizaci, kteří vyžadují přístup k prostředkům vaší organizace. S Microsoft Entra B2B se externí uživatelé ověřují ve svém domovském adresáři nebo zprostředkovateli identity, ale mají reprezentaci v adresáři vaší organizace. Reprezentace v adresáři vaší organizace umožňuje uživateli přiřadit přístup k vašim prostředkům. Správa nároků umožňuje jednotlivcům mimo vaši organizaci požádat o přístup a podle potřeby pro ně vytvořit digitální identitu. Tyto digitální identity se automaticky odeberou, když uživatel ztratí přístup.

Požadavky na licenci

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Další kroky