Condividi tramite

Eseguire l'onboarding di nuovi dipendenti remoti usando la verifica dell'ID

  • Articolo

Gli utenti di onboarding delle aziende devono affrontare sfide significative per l'onboarding di utenti remoti che non si trovano ancora all'interno del limite di attendibilità. ID verificato di Microsoft Entra può aiutare i clienti a affrontare questi scenari perché può usare attestazioni basate su ID rilasciate da enti pubblici come modo per stabilire una relazione di trust.

Quando usare questo modello

  • Si dispone di un sistema di risorse umane (HR) moderno con supporto api.
  • Il sistema HR consente l'integrazione a livello di codice per eseguire query sul sistema HR per eseguire una corrispondenza affidabile dei profili utente.
  • L'organizzazione ha già avviato il percorso senza password.

Soluzione

  1. Portale personalizzato per l'onboarding dei nuovi dipendenti.

  2. Un processo back-end fornisce nuovi assunti con un collegamento univoco al portale di onboarding dei dipendenti da (A) che rappresenta il processo specifico del nuovo assunto. Per questo caso d'uso, è necessario effettuare il provisioning dell'account per il nuovo assunto in Microsoft Entra ID. Prendere in considerazione l'uso dei flussi di lavoro del ciclo di vita come punto di attivazione di questo flusso.

  3. I nuovi assunti selezionano il collegamento al portale in precedenza (A) e vengono guidati tramite un'esperienza simile alla procedura guidata:

  4. I nuovi assunti vengono reindirizzati per acquisire un ID verificato dal partner di verifica dell'identità (detto anche IDV). Per altre informazioni sui partner di verifica delle identità: https://aka.ms/verifiedidisv)

  5. I nuovi assunti presentano l'ID verificato acquisito nel passaggio 1

  6. Il sistema riceve le attestazioni dal partner di verifica dell'identità, cerca l'account utente per il nuovo assunto ed esegue la convalida.

  7. Il sistema esegue la logica di onboarding per individuare l'account Microsoft Entra dell'utente e generare un passaggio di accesso temporaneo usando MS Graph.

Diagramma che mostra un flusso di alto livello.

Considerazioni e problemi

  • Il collegamento usato per avviare il processo deve soddisfare alcuni criteri:
    • Il collegamento deve essere specifico per ogni dipendente remoto.
    • Il collegamento deve essere valido solo per un breve periodo di tempo.
    • L'operazione non dovrebbe essere valida al termine dell'esecuzione del flusso da parte di un utente.
    • Il collegamento deve essere progettato per la correlazione con un identificatore univoco di record HR
  • Un account Microsoft Entra deve essere creato in modo preliminare per ogni utente. L'account deve essere usato come parte del processo di convalida delle richieste del sito.
  • Amministrazione istrator spesso si occupano di discrepanze tra le informazioni degli utenti contenute nei sistemi IT di un'azienda, ad esempio applicazioni di risorse umane o soluzioni di gestione delle identità e le informazioni fornite dagli utenti. Ad esempio, un dipendente potrebbe avere "James" come nome, ma il suo profilo ha il nome "Jim". Per questi scenari:
    1. All'inizio del processo hr, i candidati devono usare il proprio nome esattamente come appare nei documenti rilasciati dal governo. L'acquisizione di questo approccio semplifica la logica di convalida.
    2. Progettare la logica di convalida per includere attributi con maggiore probabilità che abbiano una corrispondenza esatta rispetto al sistema HR. Gli attributi comuni includono l'indirizzo, la data di nascita, la nazionalità, il numero di identificazione nazionale/regionale (se applicabile), oltre al nome e al cognome.
    3. Come fallback, pianificare che la revisione umana funzioni attraverso risultati ambigui/non conclusivi. Questo processo può includere l'archiviazione temporanea degli attributi presentati nel VC, la telefonata con l'utente e così via.
  • Le organizzazioni multinazionali potrebbero dover collaborare con partner di verifica delle identità diversi in base all'area dell'utente.
  • Si supponga che l'interazione iniziale tra l'utente e il partner di onboarding non sia attendibile. Il portale di onboarding deve generare log dettagliati per tutte le richieste elaborate che possono essere usate a scopo di controllo.

Risorse aggiuntive