Sdílet prostřednictvím

Připojení nových vzdálených zaměstnanců pomocí ověřování ID

  • Článek

Podniky, které uživatele připojují, čelí významným výzvám při onboardingu vzdálených uživatelů, kteří ještě nejsou v rámci hranice důvěryhodnosti. Ověřené ID Microsoftu Entra může zákazníkům pomoct s těmito scénáři, protože může používat ověření založené na vládou vydaných průkazech totožnosti jako způsob získání důvěry.

Kdy použít tento vzor

  • Máte moderní systém lidských zdrojů s podporou rozhraní API.
  • Váš systém personálního oddělení umožňuje programovou integraci dotazování systému lidských zdrojů, aby mohl provádět přesné porovnávání profilů uživatelů.
  • Vaše organizace v procesu přijímání technologií bez hesel.

Řešení

  1. Vlastní portál pro onboarding nových zaměstnanců

  2. Back-endová úloha poskytuje novým zaměstnancům jedinečný odkaz, který lze identifikovat, na onboardingový portál pro zaměstnance z (A), který představuje konkrétní proces nového zaměstnance. Pro tento případ použití by měl být účet pro nový pronájem již zřízen v Microsoft Entra ID. Zvažte použití pracovních postupů životního cyklu jako aktivačního bodu tohoto toku.

  3. Noví kandidáti vyberou odkaz na portál (A) a provedou se prostředím podobným průvodci:

  4. Nové zaměstnance se přesměrovává, aby si získali ověřený identifikátor od partnera pro ověřování identity. Další informace o partnerech pro ověřování identit: https://aka.ms/verifiedidisv)

  5. Noví zaměstnanci předloží ověřenou identifikaci získanou v kroku 1

  6. Systém obdrží požadavky od partnera pro ověřování identity, provede vyhledávání uživatelského účtu nově přijatého zaměstnance a provede ověření.

  7. Systém spustí logiku onboardingu, aby vyhledal účet Microsoft Entra uživatele, a vygenerovat dočasný přístup pass pomocí MS Graph.

diagram znázorňující tok vysoké úrovně

Problémy a důležité informace

  • Odkaz použitý k zahájení procesu musí splňovat některá kritéria:
    • Odkaz by měl být specifický pro každého vzdáleného zaměstnance.
    • Odkaz by měl být platný pouze na krátkou dobu.
    • Po dokončení procházení toku by měl být neplatný.
    • Odkaz by měl být navržený tak, aby korelovala s jedinečným identifikátorem záznamu HR.
  • Účet Microsoft Entra by měl být předem vytvořený pro každého uživatele. Účet by se měl používat jako součást procesu ověření požadavku webu.
  • Správci často řeší nesrovnalosti mezi informacemi uživatelů uloženými v IT systémech společnosti, jako jsou aplikace lidských zdrojů nebo řešení správy identit, a informace, které uživatelé poskytují. Například zaměstnanec může mít jako křestní jméno "James", ale jeho profil má svoje jméno jako Jim. Pro tyto scénáře:
    • Na začátku procesu personálního oddělení musí kandidáti použít své jméno přesně tak, jak se zobrazuje v dokumentech vydaných vládou. Tento přístup zjednodušuje logiku ověřování.
    • Navrhněte logiku ověřování tak, aby zahrnovala atributy, které mají větší pravděpodobnost přesné shody se systémem HR. Mezi běžné atributy patří street address, date of birth, nationality, national/regional identification number (pokud je to možné) kromě křestního jména a příjmení.
    • Jako záložní řešení naplánujte kontrolu člověkem pro zpracování nejednoznačných/neřádných výsledků. Tento proces může zahrnovat dočasné ukládání atributů zobrazených ve VC, telefonní hovor s uživatelem atd.
  • Mezinárodní organizace můžou potřebovat spolupracovat s různými partnery pro kontrolu identity na základě oblasti uživatele.
  • Předpokládejme, že počáteční interakce mezi uživatelem a partnerem onboardingu není důvěryhodná. Portál pro onboarding by měl generovat podrobné protokoly pro všechny zpracovávané požadavky, které by bylo možné použít pro účely auditování.

Další zdroje informací