Definování správy identit

  • 3 min

správa identit je způsob, jakým se objekty identit spravují po celou dobu existence identity. Tato správa může být ruční nebo automatizovaná. Musí to ale být hotové. Tady je jednoduchý příklad toho, co se stane bez zásad správného řízení a správy identit.

Příběh – život jedné identity

Máte uživatele jménem Juan. Juan dostane účet ve vaší společnosti a pracuje několik let. V průběhu této doby má uživatel přístup správce k nasazení aplikace. Později Juan opustí společnost s dobrou pověstí, účet se však nikdy neodstraní ze systému. Manažer zapomněl odeslat papírování, aby zavřel účet. Neexistuje žádný systém zásad správného řízení, který by si všiml, že účet není nepoužitý a že Juan už není uvedený v systémech personálního oddělení. O rok později se Juan stal obětí phishingového e-mailu a má své osobní uživatelské jméno a heslo ukradené. Stejně jako mnoho lidí, Juan použil podobné heslo pro svůj osobní život a své pracovní účty. Hádejte co, nyní máte scénář, ve kterém by mohly být vaše systémy napadeny. A útok pochází z toho, co vypadá jako platný účet!

Diagram života identity. Začátek, bez přístupu. Pak práce s přístupem a vytvoření identity. Odejít ze společnosti a následně zpět k žádnému přístupu.

Správa identit poskytuje

  • Systém, který je vysoce konfigurovatelný v oblasti obchodních procesů
  • Flexibilita škálování prostředků podle poptávky
  • Úspory nákladů prostřednictvím distribuce a automatizace správy
  • Flexibilita synchronizace, šíření a řízení změn

Běžné úlohy správy identit

Během správy identit se provádí mnoho běžných úloh.

šíření identity – zabývá se úložištěm objektů identit v rámci prostředí. Organizace často mají identity na místech, jako je Active Directory, jiné adresářové služby a úložiště identit specifických pro aplikace.

Zřízení a odebrání – jsou ve skutečnosti dvě samostatné schopnosti. Zřizování hovoří o tom, jak se objekty identit vytvářejí v rámci systému. Odebrání přístupu se zaměřuje na odstranění identity, jako je smazání, zakázání bezpečnostního principu nebo odebrání přístupu.

Aktualizace identit – obklopuje způsob aktualizace informací o identitě v celém prostředí. Cílem je odejít z ručního úsilí na automatizovanější a efektivnější přístup.

synchronizace – zajišťuje, aby systémy identit v prostředí byly aktuální s nejnovějšími informacemi o identitě. Tyto informace jsou často zásadní pro určení přístupu. Klíčové věci, které ovlivňují tuto funkci, jsou způsob, jakým se synchronizace provádí bez ohledu na to, jestli se jedná o ruční, časově řízenou nebo řízenou událostí.

správa hesel – zaměřuje se na to, kde a jak se hesla nastavují v celé infrastruktuře identit. Ve většině organizací je Service Desk stále ústředním bodem pro zapomenutá hesla.

správa skupin – zaměřuje se na to, jak organizace spravuje skupiny (například Active Directory nebo LDAP) v rámci svého prostředí. Skupiny jsou jedním z nejběžnějších formulářů pro určení přístupových oprávnění k prostředkům a jsou nákladné pro správu a provoz.

Správa nároků aplikace – definuje, jak jsou identity oprávněny k přístupu k aplikacím. Zaměřuje se na poskytování hrubozrnných aplikačních oprávnění, která se vynucují jako schopnost obsažená v rámci pilíře autorizace. Na druhou stranu se jemně odstupňované nároky spravují jako atributy související s identitou.

uživatelského rozhraní – způsob, jakým si koncový uživatel může vyžádat nebo provést aktualizace informací o identitě. V mnoha prostředích uživatelé nadále kontaktují službu Service Desk o všech aktualizacích svých informací o identitě.

řízení změn – funkce se zaměřuje na to, jak změny procházejí prostředím, ať už je ručně dokončeno profesionály z oddělení service-desku. K dispozici může být automatizace s pracovním postupem nebo bez něho, což řídí proces změny. Některé organizace pořád odesílají e-maily k dokončení požadavků, zatímco jiní mají bohaté a vyspělé procesy pro provedení změny.

Automatizace správy identit

PowerShell CLI (rozhraní příkazového řádku)
PowerShell pro různé platformy běží ve Windows, macOS, Linuxu Rozhraní příkazového řádku pro různé platformy, instalovatelné ve Windows, macOS, Linux
Vyžaduje Windows PowerShell nebo PowerShell. Běží ve Windows PowerShellu, příkazovém řádku nebo prostředí Bash a dalších prostředích Unix.
Skriptovací jazyk Akce Příkaz
Azure CLI Vytvoření uživatele az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com
Microsoft Graph Vytvoření uživatele New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“

Při výběru správného nástroje zvažte vaše minulé prostředí a aktuální pracovní prostředí. Syntaxe Azure CLI je podobná syntaxi skriptu Bash. Pokud pracujete primárně se systémy Linux, Azure CLI je přirozenější. PowerShell je skriptovací modul Microsoftu. Pokud pracujete primárně se systémy Windows, je PowerShell přirozeným přizpůsobením. Příkazy se řídí schématem pojmenování dvojice sloveso-podstatné jméno a data se zobrazují jako objekty.

Microsoft Graph

Diagram funkcí Microsoft Graphu. Použijte graf k načtení informací o identitě z Microsoft Entra ID.

Microsoft Graph zveřejňuje rozhraní REST API a klientské knihovny pro přístup k datům v následujících cloudových službách Microsoftu, jako je Microsoft Entra ID, Microsoft 365, zařízení a mnoho dalších.

  • Rozhraní Microsoft Graph API nabízí jeden koncový bod, https://graph.microsoft.com, který poskytuje přístup k bohatým datům a přehledům orientovaným na lidi v cloudu Microsoftu, včetně Microsoftu 365, Windows 10 a Enterprise Mobility + Security. K přístupu ke koncovému bodu a vytváření aplikací, které podporují scénáře Microsoftu 365, můžete použít rozhraní REST API nebo sady SDK. Přístup může pocházet od produktivity až po spolupráci až po vzdělávání. Microsoft Graph obsahuje také výkonnou sadu služeb, které spravují identitu uživatele a zařízení. Můžete určit a nakonfigurovat přístup, dodržování předpisů, zabezpečení a chránit organizace před únikem nebo ztrátou dat.

  • Konektory Microsoft Graph fungují v příchozím směru a poskytují externí data do služeb a aplikací Microsoft Graph v cloudu, ke zlepšení prostředí Microsoft 365, jako je Microsoft Search. Konektory existují pro mnoho běžně používaných zdrojů dat, jako jsou Box, Google Drive, Jira a Salesforce.

  • Microsoft Graph Data Connect poskytuje sadu nástrojů pro zjednodušení zabezpečeného a škálovatelného doručování dat Microsoft Graphu do oblíbených úložišť dat Azure. Data uložená v mezipaměti slouží jako zdroje dat pro vývojové nástroje Azure, které můžete použít k vytváření inteligentních aplikací.

Společně rozhraní Microsoft Graph API, konektory a data Connect společně posílají platformu cloudových služeb Microsoftu. Díky možnosti přístupu k datům Microsoft Graphu a dalším datovým sadám můžete odvodit přehledy a analýzy, rozšířit Azure a Microsoft 365 vytvořením jedinečných inteligentních aplikací.