Zarządzanie cyklem życia pracownika i gościa przy użyciu Zarządzanie tożsamością Microsoft Entra
Zarządzanie tożsamościami pomaga organizacjom osiągnąć równowagę między produktywnością — jak szybko osoba może mieć dostęp do potrzebnych zasobów, takich jak dołączenie do mojej organizacji? A bezpieczeństwo — w jaki sposób ich dostęp powinien ulec zmianie w czasie, na przykład ze względu na zmiany statusu zatrudnienia tej osoby?
Zarządzanie cyklem życia tożsamości
Zarządzanie cyklem życia tożsamości jest podstawą zarządzania tożsamościami, a skuteczne zarządzanie na dużą skalę wymaga modernizacji infrastruktury zarządzania cyklem życia tożsamości dla aplikacji. Zarządzanie cyklem życia tożsamości ma na celu zautomatyzowanie całego procesu cyklu życia tożsamości cyfrowej i zarządzanie nim dla osób powiązanych z organizacją.
Co to jest tożsamość cyfrowa?
Tożsamość cyfrowa to informacje o jednostce używanej przez co najmniej jeden zasób obliczeniowy, taki jak systemy operacyjne lub aplikacje. Te jednostki mogą reprezentować osoby, organizacje, aplikacje lub urządzenia. Tożsamość jest zwykle opisywana przez skojarzone z nim atrybuty, takie jak nazwa, identyfikatory i właściwości, takie jak role używane do zarządzania dostępem. Te atrybuty pomagają systemom w określaniu, kto ma dostęp do tego, co i kto może korzystać z tego zasobu.
Zarządzanie cyklem życia tożsamości cyfrowych
Zarządzanie tożsamościami cyfrowymi jest złożonym zadaniem, zwłaszcza w związku z korelowaniem rzeczywistych obiektów, takich jak osoba i ich relacje z organizacją jako pracownik tej organizacji, z reprezentacją cyfrową. W małych organizacjach utrzymanie cyfrowej reprezentacji osób, które wymagają tożsamości, może być procesem ręcznym. Na przykład gdy ktoś zostanie zatrudniony lub pracownik przybywa, specjalista IT może utworzyć konto dla nich w katalogu i przypisać im potrzebny dostęp. Jednak w średnich i dużych organizacjach automatyzacja może umożliwić organizacji wydajniejsze skalowanie i zapewnienie dokładności tożsamości.
Typowy proces ustanawiania zarządzania cyklem życia tożsamości w organizacji jest zgodny z następującymi krokami:
Ustal, czy istnieją już systemy rekordów — źródła danych, które organizacja traktuje jako autorytatywne. Na przykład organizacja może mieć system kadrowy, taki jak Workday lub SuccessFactors, i ten system jest autorytatywny do udostępniania bieżącej listy pracowników, a niektóre z ich właściwości, takie jak nazwa lub dział pracownika. Ponadto system poczty e-mail, taki jak Exchange Online, może być autorytatywny dla dodatkowych atrybutów, adresu e-mail pracownika.
Połącz te systemy rekordów z identyfikatorem Entra firmy Microsoft i rozwiąż wszelkie niespójności między istniejącymi użytkownikami w usłudze Microsoft Entra ID i systemami rekordów. Na przykład identyfikator Entra firmy Microsoft mógł zostać wypełniony przestarzałymi danymi, takimi jak konto użytkownika dla byłego pracownika, który nie jest już powiązany z organizacją.
Gdy identyfikator Entra firmy Microsoft ma odpowiednich użytkowników, połącz microsoft Entra ID z co najmniej jednym katalogiem i bazami danych używanymi przez aplikacje i rozwiąż wszelkie niespójności między tymi katalogami a kopią systemu danych rekordów w identyfikatorze Entra firmy Microsoft. Na przykład katalog dla aplikacji, która została wcześniej odłączona, może mieć przestarzałe dane, takie jak konto dla byłego pracownika.
Określ, jakie procesy mogą służyć do dostarczania autorytatywnych informacji w przypadku braku systemu rekordów. Jeśli na przykład istnieją tożsamości cyfrowe dla odwiedzających, ale organizacja nie ma bazy danych dla odwiedzających, może być konieczne znalezienie alternatywnego sposobu określenia, kiedy tożsamość cyfrowa dla odwiedzających nie jest już potrzebna.
Upewnij się, że zmiany z systemu rekordów lub innych procesów są replikowane za pośrednictwem identyfikatora Entra firmy Microsoft do każdego z katalogów lub baz danych, które wymagają aktualizacji.
Zarządzanie cyklem życia tożsamości na potrzeby reprezentowania pracowników i innych osób z relacją organizacyjną
Podczas planowania zarządzania cyklem życia tożsamości dla pracowników lub innych osób z relacjami organizacyjnymi, takimi jak wykonawca lub student, wiele organizacji modeluje "dołączanie, przenoszenie i opuszczenie" w następujący sposób:
- Join — gdy dana osoba wchodzi w zakres potrzeb dostępu, tożsamość jest potrzebna przez te aplikacje, więc może być konieczne utworzenie nowej tożsamości cyfrowej, jeśli ta osoba nie jest jeszcze dostępna
- Przenoszenie — gdy osoba przechodzi między granicami, które wymagają dodania lub usunięcia dodatkowych autoryzacji dostępu do ich tożsamości cyfrowej
- Leave — gdy osoba opuszcza zakres konieczności dostępu, może być konieczne usunięcie dostępu, a następnie tożsamość może nie być już wymagana przez aplikacje inne niż w celach inspekcji lub śledczego
Jeśli na przykład nowy pracownik dołączy do organizacji i że pracownik nigdy wcześniej nie był powiązany z twoją organizacją, ten pracownik wymaga nowej tożsamości cyfrowej reprezentowanej jako konto użytkownika w identyfikatorze Microsoft Entra ID. Utworzenie tego konta mogłoby należeć do procesu "Joiner", który mógłby zostać zautomatyzowany, jeśli istniał system rekordów, taki jak Workday, który może wskazywać, kiedy nowy pracownik rozpoczyna pracę. Później, jeśli twoja organizacja ma pracownika, powiedzmy, Sales to Marketing, wejdzie w proces "Mover". To przeniesienie wymagałoby usunięcia praw dostępu, które mieli w organizacji Sales, której nie wymagają, i udzielenia im praw w organizacji marketingowej, której potrzebują.
Zarządzanie cyklem życia tożsamości dla gości
Podobne procesy są również potrzebne w przypadku dodatkowych tożsamości, partnerów, dostawców i innych gości, aby umożliwić im współpracę lub dostęp do zasobów. Zarządzanie upoważnieniami firmy Microsoft Entra wykorzystuje Tożsamość zewnętrzna Microsoft Entra business-to-business (B2B), aby zapewnić mechanizmy kontroli cyklu życia potrzebne do współpracy z osobami spoza organizacji, które wymagają dostępu do zasobów organizacji. Dzięki usłudze Microsoft Entra B2B użytkownicy zewnętrzni uwierzytelniają się w katalogu głównym lub dostawcy tożsamości, ale mają reprezentację w katalogu organizacji. Reprezentacja w katalogu organizacji umożliwia użytkownikowi przypisanie dostępu do zasobów. Zarządzanie upoważnieniami umożliwia osobom spoza organizacji żądanie dostępu, utworzenie tożsamości cyfrowej dla nich zgodnie z potrzebami. Te tożsamości cyfrowe są automatycznie usuwane, gdy użytkownik utraci dostęp.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.