ID 확인을 사용하여 새 원격 직원 온보딩

엔터프라이즈 온보딩 사용자는 아직 신뢰 경계 밖에 있는 원격 사용자를 온보딩하는 데 상당한 어려움을 겪습니다. Microsoft Entra에서 확인된 ID는 정부 발급 ID 기반 증명을 신뢰 확인 방법으로 사용할 수 있으므로 이러한 상황에 처한 고객에게 도움이 됩니다.

이 패턴을 사용해야 하는 경우

• API를 지원하는 최신 HR(인사 관리) 시스템이 있습니다.
• HR 시스템을 사용하면 프로그래밍 방식 통합을 통해 HR 시스템을 쿼리하여 사용자 프로필을 신뢰할 수 있게 대조할 수 있습니다.
• 귀하의 조직에서는 이미 암호 없는 여정을 시작했습니다.

솔루션

1. 새 직원 온보딩을 위한 사용자 지정 포털입니다.

2. 백엔드 작업은 신입 사원만 해당되는 프로세스를 나타내는 (A)의 직원 온보딩 포털과 연결되는 고유 식별이 가능한 링크를 신입 사원에게 제공합니다. 이와 같이 사용하는 경우 해당 신입 사원 계정을 이미 Microsoft Entra ID에 프로비전한 상태여야 합니다. 이 흐름의 트리거 지점으로 수명 주기 워크플로를 생각해 볼 수도 있습니다.

3. 신입 사원은 위의 (A)에서 포털 링크를 선택하여 마법사 같은 환경으로 안내를 받습니다.

4. 신입 사원은 본인 확인 파트너에서 검증한 ID를 받도록 리디렉션됩니다. (IDV라고도 함. 본인 확인 파트너에 대한 자세한 정보: https://aka.ms/verifiedidisv)

5. 신입 사원은 1단계에서 받은 검증된 ID를 제시합니다.

6. 시스템은 본인 확인 파트너의 클레임을 받아 신입 사원의 사용자 계정을 조회하고 유효성 검사를 수행합니다.

7. 시스템은 온보딩 논리를 실행하여 사용자의 Microsoft Entra 계정을 찾고 MS Graph를 사용하여 임시 액세스 패스를 생성합니다.

문제 및 고려 사항

• 프로세스를 시작하는 데 사용되는 링크는 다음과 같이 몇 가지 기준을 충족해야 합니다.
  • 링크는 개별 원격 직원마다 달라야 합니다.
  • 링크는 짧은 기간 동안만 유효해야 합니다.
  • 사용자가 흐름을 완료한 후에는 유효하지 않아야 합니다.
  • 링크는 고유한 HR 레코드 식별자와 상관 관계를 갖추도록 설계되어야 합니다.
• 개별 사용자 전원을 위한 Microsoft Entra 계정이 하나씩 미리 만들어져 있어야 합니다. 계정이 해당 사이트의 요청 유효성 검사 프로세스 도중에 사용되어야 합니다.
• 관리자는 인사 관리 애플리케이션이나 ID 관리 솔루션 등의 회사 IT 시스템에 보관 중인 사용자 정보와 사용자가 제공하는 정보 사이에 일어나는 불일치를 자주 처리합니다. 예를 들어 어떤 직원의 이름이 “James”인데 프로필에는 “Jim”으로 기재되어 있을 수도 있습니다. 이러한 시나리오에서는:
  1. HR 프로세스 시작 시에 후보는 자신의 이름을 정부 발급 문서에 표시된 것과 동일하게 사용해야 합니다. 이 방법을 사용하면 유효성 검사 논리가 간소화됩니다.
  2. HR 시스템과 정확히 일치할 가능성이 높은 특성을 포함하도록 유효성 검사 논리를 디자인합니다. 일반적인 특성에는 성명 외에 주소, 생년월일, 국적, 국가/지역 식별 번호(해당하는 경우)가 포함됩니다.
  3. 만일을 대비하여 결과가 모호하거나 특정적이지 않게 도출될 인원 검토에 대한 계획을 세웁니다. 이러한 프로세스에는 VC를 통해 제출된 특성을 임시로 저장하거나 사용자와 통화를 하는 등의 방법이 포함될 수 있습니다.
• 다국적 조직은 사용자의 지역에 따라 서로 다른 ID 교정 파트너와 협력해야 할 수도 있습니다.
• 사용자와 온보딩 파트너 사이의 상호 작용이 신뢰할 수 없는 상태에서 시작하는 것으로 가정합니다. 온보딩 포털은 감사에 사용할 수 있을 정도로 처리한 모든 요청에 대한 자세한 로그를 생성해야 합니다.

추가 리소스

• 일반화된 계정 온보딩 관련 공용 아키텍처 문서: Microsoft Entra에서 확인된 ID 검증 솔루션 계획하기