Freigeben über

Neue Remote-Mitarbeiter durch Identitätsüberprüfung an Bord nehmen

  • Artikel

Unternehmen, die für Benutzer ein Onboarding durchführen, stehen vor erheblichen Herausforderungen beim Onboarding von Remotebenutzern, die sich noch nicht innerhalb der Vertrauensgrenze befinden. Microsoft Entra Verified ID kann Kunden, die mit diesen Szenarien konfrontiert sind, unterstützen, da es behördlich ausgestellte Ausweise als Basis für Nachweise verwenden kann, um Vertrauenswürdigkeit herzustellen.

Wann dieses Muster verwendet werden soll

  • Sie verfügen über ein modernes Personalsystem (HR) mit API-Unterstützung.
  • Ihr HR-System ermöglicht die programmgesteuerte Integration, um das HR-System abzufragen, um einen genauen Benutzerprofilabgleich durchzuführen.
  • Ihre Organisation im Prozess der Einführung kennwortloser Technologien.

Lösung

  1. Ein benutzerdefiniertes Portal für das Onboarding neuer Mitarbeiter.

  2. Ein Back-End-Auftrag bietet neu eingestellten Mitarbeitern einen eindeutig identifizierbaren Link zum Onboardingportal für Mitarbeiter von (A), der den spezifischen Prozess des neu eingestellten Mitarbeiters darstellt. Für diesen Anwendungsfall sollte das Konto für den neuen Mitarbeiter bereits in der Microsoft Entra-ID angelegt sein. Erwägen Sie Lebenszyklus-Workflows als Auslösungspunkt dieses Flows.

  3. Neu eingestellte Mitarbeiter wählen den Link zum Portal unter (A) aus und werden durch eine assistentenähnliche Umgebung geführt:

  4. Neu eingestellte Mitarbeiter werden umgeleitet, um eine überprüfte ID vom Identitätsprüfungsanbieter zu erhalten. Weitere Informationen zu den Identitätsüberprüfungspartnern: https://aka.ms/verifiedidisv)

  5. Neu eingestellte Mitarbeiter legen die in Schritt 1 bezogene überprüfte ID vor

  6. Das System empfängt die Anfragen vom Identitätsüberprüfungspartner, schlägt das Benutzerkonto des neuen Mitarbeiters nach und führt die Überprüfung durch.

  7. Das System führt die Onboardinglogik aus, um das Microsoft Entra-Konto des Benutzers zu bestimmen und mithilfe von MS Graph einen befristeten Zugriffspass zu generieren.

Diagramm des übergeordneten Flows.

Probleme und Überlegungen

  • Der Link, der zum Initiieren des Prozesses verwendet wird, muss einige Kriterien erfüllen:
    • Der Link sollte für jeden Remotemitarbeiter spezifisch sein.
    • Der Link sollte nur für einen kurzen Zeitraum gültig sein.
    • Er muss ungültig werden, sobald ein Benutzer den Flow abgeschlossen hat.
    • Der Link muss so gestaltet sein, dass er mit einer eindeutigen Personaldatensatz-ID korreliert ist
  • Für jeden Benutzer sollte ein Microsoft Entra-Konto vorkonfiguriert werden. Das Konto muss als Teil des Anforderungsüberprüfungsprozesses der Website verwendet werden.
  • Administratoren befassen sich häufig mit Diskrepanzen zwischen den Informationen der Benutzer, die in den IT-Systemen eines Unternehmens gespeichert werden, z. B. Personalanwendungen oder Identitätsverwaltungslösungen, und den Informationen, die die Benutzer bereitstellen. Beispielsweise könnte ein Mitarbeiter "James" als Vorname haben, aber sein Profil hat seinen Namen als "Jim". Für diese Szenarien gilt Folgendes:
    • Am Anfang des Personalprozesses müssen Kandidaten ihren Namen genau so verwenden, wie er in von der Regierung ausgestellten Dokumenten erscheint. Diese Vorgehensweise vereinfacht die Validierungslogik.
    • Entwerfen Sie Validierungslogik, um Attribute einzuschließen, die mit größerer Wahrscheinlichkeit eine genaue Übereinstimmung mit dem HR-System aufweisen. Zu den allgemeinen Attributen gehören Straßenadresse, Geburtsdatum, Staatsangehörigkeit, nationale/regionale Identifikationsnummer (falls zutreffend), zusätzlich zum Vor- und Nachnamen.
    • Planen Sie als Ausweichlösung eine menschliche Überprüfung ein, um mehrdeutige/nicht eindeutige Ergebnisse zu klären. Dieser Prozess kann das vorübergehende Speichern der Attribute im Nachweis, ein Telefongespräch mit dem Benutzer usw. umfassen.
  • Multinationale Organisationen müssen möglicherweise mit verschiedenen Identitätsnachweispartnern zusammenarbeiten, die auf der Region des Benutzers basieren.
  • Gehen Sie davon aus, dass die anfängliche Interaktion zwischen dem Benutzer und dem Onboarding-Partner nicht vertrauenswürdig ist. Das Onboardingportal muss detaillierte Protokolle für alle verarbeiteten Anforderungen generieren, die zu Überwachungszwecken genutzt werden können.

Weitere Ressourcen