Udostępnij za pośrednictwem

Dołączanie nowych pracowników zdalnych przy użyciu weryfikacji identyfikatora

  • Artykuł

Przedsiębiorstwa dołączające użytkowników napotykają znaczące wyzwania związane z dołączaniem użytkowników zdalnych, którzy jeszcze nie znajdują się w granicach zaufania. Zweryfikowany identyfikator Microsoft Entra może pomóc klientom w obliczu tych scenariuszy, ponieważ może używać zaświadczania opartego na identyfikatorach dla instytucji rządowych jako sposobu ustanawiania zaufania.

Kiedy używać tego wzorca

  • Masz nowoczesny system kadr z obsługą interfejsu API.
  • System kadr umożliwia programową integrację w celu wykonywania zapytań dotyczących systemu KADR w celu zapewnienia niezawodnego dopasowania profilów użytkowników.
  • Twoja organizacja rozpoczęła już swoją podróż bez hasła.

Rozwiązanie

  1. Niestandardowy portal do dołączania nowych pracowników.

  2. Zadanie zaplecza zapewnia nowym pracownikom unikatowe możliwe do zidentyfikowania link do portalu dołączania pracowników z (A), który reprezentuje konkretny proces nowego pracownika. W tym przypadku użycia konto dla nowego zatrudnienia powinno być już aprowidowane w identyfikatorze Entra firmy Microsoft. Rozważ użycie przepływów pracy cyklu życia jako punktu wyzwalacza tego przepływu.

  3. Nowi pracownicy wybierają link do portalu w witrynie (A) powyżej i prowadzą przez środowisko podobne do kreatora:

  4. Nowi pracownicy są przekierowywani w celu uzyskania zweryfikowanego identyfikatora od partnera weryfikacji tożsamości (nazywanego również identyfikatorem IDV). Aby dowiedzieć się więcej na temat partnerów weryfikacji tożsamości: https://aka.ms/verifiedidisv)

  5. Nowi pracownicy przedstawiają zweryfikowany identyfikator uzyskany w kroku 1

  6. System odbiera oświadczenia od partnera weryfikacji tożsamości, wyszukuje konto użytkownika dla nowego pracownika i przeprowadza walidację.

  7. System wykonuje logikę dołączania, aby zlokalizować konto Microsoft Entra użytkownika i wygenerować tymczasowy dostęp przy użyciu programu MS Graph.

Diagram przedstawiający przepływ wysokiego poziomu.

Problemy i kwestie do rozważenia

  • Link użyty do zainicjowania procesu musi spełniać pewne kryteria:
    • Link powinien być specyficzny dla każdego pracownika zdalnego.
    • Łącze powinno być prawidłowe tylko przez krótki czas.
    • Po zakończeniu przepływu użytkownik powinien stać się nieprawidłowy.
    • Link powinien być zaprojektowany tak, aby był skorelowany z unikatowym identyfikatorem rekordu HR
  • Konto Microsoft Entra powinno zostać wstępnie utworzone dla każdego użytkownika. Konto powinno być używane w ramach procesu weryfikacji żądania lokacji.
  • Administracja istratorzy często zajmują się rozbieżnościami między informacjami użytkowników przechowywanymi w systemach IT firmy, takich jak aplikacje zasobów ludzkich lub rozwiązania do zarządzania tożsamościami, oraz informacje udostępniane przez użytkowników. Na przykład pracownik może mieć "Jamesa" jako imię, ale jego profil ma nazwę "Jim". W przypadku tych scenariuszy:
    1. Na początku procesu KADR kandydaci muszą używać swojego nazwiska dokładnie tak, jak się wydaje w dokumentach wydanych przez rząd. Takie podejście upraszcza logikę walidacji.
    2. Zaprojektuj logikę weryfikacji, aby uwzględnić atrybuty, które najprawdopodobniej mają dokładne dopasowanie do systemu HR. Wspólne atrybuty obejmują adres ulicy, datę urodzenia, narodowość, krajowy/regionalny numer identyfikacyjny (jeśli dotyczy), oprócz imienia i nazwiska.
    3. Jako powrót, zaplanuj przegląd człowieka, aby pracować przez niejednoznaczne/niejednoznaczne wyniki. Ten proces może obejmować tymczasowe przechowywanie atrybutów przedstawionych w VC, rozmowa telefoniczna z użytkownikiem itp.
  • Organizacje wielonarodowe mogą wymagać współpracy z różnymi partnerami sprawdzającymi tożsamość w zależności od regionu użytkownika.
  • Załóżmy, że początkowa interakcja między użytkownikiem a partnerem dołączania jest niezaufana. Portal dołączania powinien generować szczegółowe dzienniki dla wszystkich przetworzonych żądań, które mogą być używane do celów inspekcji.

Dodatkowe zasoby