Compartir a través de

Incorporación de nuevos empleados remotos mediante la comprobación de identificadores

  • Artículo

Las empresas que incorporan usuarios se enfrentan a desafíos significativos al incorporar usuarios remotos que aún no están dentro del límite de confianza. El id verificado por Microsoft Entra puede ayudar a los clientes a enfrentar estos escenarios porque pueden usar atestaciones basadas en identificadores emitidos por el gobierno como una manera de establecer la confianza.

Cuándo usar este patrón

  • Tiene un sistema moderno de recursos humanos (RR. HH.) con compatibilidad con API.
  • El sistema de RR. HH. permite la integración mediante programación para consultar el sistema de RR. HH. para realizar una coincidencia confiable de los perfiles de usuario.
  • Su organización ya ha iniciado su recorrido sin contraseña.

Solución

  1. Un portal personalizado para la incorporación de nuevos empleados.

  2. Un trabajo de back-end proporciona nuevas contrataciones con un vínculo de identificación único al portal de incorporación de empleados desde (A) que representa el proceso específico de la nueva contratación. En este caso de uso, la cuenta de la nueva contratación ya debe aprovisionarse en Microsoft Entra ID. Considere la posibilidad de usar flujos de trabajo del ciclo de vida como punto de desencadenador de este flujo.

  3. Las nuevas contrataciones seleccionan el vínculo al portal (A) anterior y se guían a través de una experiencia similar al asistente:

  4. Las nuevas contrataciones se redirigen para adquirir un identificador comprobado del asociado de verificación de identidad (también conocido como IDV. Para más información sobre los asociados de comprobación de identidad: https://aka.ms/verifiedidisv)

  5. Las nuevas contrataciones presentan el identificador comprobado adquirido en el paso 1

  6. El sistema recibe las notificaciones del asociado de verificación de identidad, busca la cuenta de usuario de la nueva contratación y realiza la validación.

  7. El sistema ejecuta la lógica de incorporación para buscar la cuenta de Microsoft Entra del usuario y generar un pase de acceso temporal mediante MS Graph.

Diagrama en el que se muestra un flujo a grandes rasgos.

Problemas y consideraciones

  • El vínculo que se usa para iniciar el proceso debe cumplir algunos criterios:
    • El vínculo debe ser específico de cada empleado remoto.
    • El vínculo debe ser válido durante un breve período de tiempo.
    • Debe dejar de ser válido después de que un usuario termine de pasar por el flujo.
    • El vínculo debe diseñarse para correlacionarse con un identificador de registro de RR. HH. único.
  • Se debe crear previamente una cuenta de Microsoft Entra para cada usuario. La cuenta debe usarse como parte del proceso de validación de solicitudes del sitio.
  • Los administradores suelen tratar con discrepancias entre la información de los usuarios contenida en los sistemas de TI de una empresa, como las aplicaciones de recursos humanos o las soluciones de administración de identidades, y la información que proporcionan los usuarios. Por ejemplo, un empleado podría tener "James" como nombre, pero su perfil tiene su nombre como "Jim". Para esos escenarios:
    1. Al principio del proceso de RR. HH., los candidatos deben usar su nombre exactamente como aparece en los documentos emitidos por el gobierno. Tomar este enfoque simplifica la lógica de validación.
    2. Diseñe la lógica de validación para incluir atributos que tengan más probabilidades de tener una coincidencia exacta con el sistema de RR. HH. Los atributos comunes incluyen la dirección postal, la fecha de nacimiento, la nacionalidad, el número de identificación nacional/regional (si procede), además del nombre y los apellidos.
    3. Como reserva, planee que la revisión humana funcione a través de resultados ambiguos o no concluyentes. Este proceso puede incluir almacenar temporalmente los atributos presentados en el VC, la llamada telefónica con el usuario, etc.
  • Es posible que las organizaciones multinacionales necesiten trabajar con diferentes asociados de corrección de identidades en función de la región del usuario.
  • Supongamos que la interacción inicial entre el usuario y el asociado de incorporación no es de confianza. El portal de incorporación debe generar registros detallados para todas las solicitudes procesadas que se podrían usar con fines de auditoría.

Recursos adicionales