Поделиться через


Управляйте жизненным циклом сотрудников и гостей с помощью Microsoft Entra ID Governance

Служба Identity Governance помогает организациям найти нужный баланс между показателями производительности (скорость, с которой сотрудник получает доступ к нужным ресурсам, например при начале работы в организации) и безопасности (динамика изменения уровня доступа со временем, например при изменении роли пользователя в организации).

управление жизненным циклом удостоверений

Управление жизненным циклом удостоверений — базовый процесс службы Identity Governance. Чтобы обеспечить эффективность управления в масштабе всей организации, необходимо модернизировать инфраструктуру управления жизненным циклом удостоверений для приложений. Управление жизненным циклом удостоверений предназначено для автоматизации всего процесса жизненного цикла цифровых удостоверений для лиц, связанных с организацией.

Схема связи Microsoft Entra в обеспечении с другими источниками и конечными точками.

Что такое цифровое удостоверение?

Цифровая идентичность — это информация об объекте, которая используется одним или несколькими вычислительными ресурсами, такими как операционные системы или приложения. Эти сущности могут представлять людей, организации, приложения или устройства. Идентичность обычно описывается атрибутами, связанными с ней, такими как имя, идентификаторы и свойства, например роли, используемые для управления доступом. Эти атрибуты помогают системам определять, кто к чему имеет доступ и кому разрешено использовать этот ресурс.

Управление жизненным циклом цифровых удостоверений

Управление цифровыми идентификациями является сложной задачей, особенно когда это связано с соотнесением реальных объектов, таких как человек и его взаимоотношения с организацией в качестве сотрудника, с цифровым представлением. В небольших организациях сохранение цифрового представления лиц, которым требуется удостоверение, может выполняться вручную. Например, когда кого-то нанимают или приходит подрядчик, ИТ-специалист может создать для этого человека учетную запись в каталоге и назначить ему необходимый доступ. Однако в средних и крупных организациях автоматизация может обеспечить более эффективное масштабирование организации и точность идентификаций.

Типичный процесс настройки управления жизненным циклом удостоверений в организации выполняется следующим образом:

  1. Определите, существуют ли уже системы записи — источники данных, которые организация считает авторитетными. Например, у организации может быть система управления персоналом, например Workday или SuccessFactors, и эта система является авторитетной для предоставления текущего списка сотрудников, а также некоторые из их свойств, таких как имя сотрудника или отдел. Кроме того, электронная система, например Exchange Online, может быть авторитетна для дополнительных атрибутов, адреса электронной почты сотрудника.

  2. Подключите эти системы записей с помощью идентификатора Microsoft Entra и устраните любые несоответствия между существующими пользователями в идентификаторе Microsoft Entra и системами записей. Например, идентификатор Microsoft Entra может быть заполнен устаревшими данными, например учетной записью пользователя для бывшего сотрудника, который больше не связан с организацией.

  3. После того как идентификатор Microsoft Entra ID имеет правильных пользователей, подключите идентификатор Microsoft Entra с одним или несколькими каталогами и базами данных, используемыми приложениями, и устраните любые несоответствия между этими каталогами и копией системы данных записи в идентификаторе Microsoft Entra ID. Например, каталог приложения, ранее отключенного, может иметь устаревшие данные, например учетную запись бывшего сотрудника.

  4. Определите, какие процессы можно использовать для предоставления достоверных сведений при отсутствии системы записи. Например, если у посетителей есть цифровые удостоверения, но у организации нет базы данных для посетителей, может потребоваться найти альтернативный способ определить, когда цифровое удостоверение посетителя больше не требуется.

  5. Убедитесь, что изменения из системы записей или других процессов реплицируются с помощью идентификатора Microsoft Entra в каждую из каталогов или баз данных, требующих обновления.

Управление жизненным циклом удостоверений для представления сотрудников и других лиц, имеющих отношение к организации

При планировании управления жизненным циклом удостоверений для сотрудников или других лиц, связанных с организацией, таких как подрядчик или студент, многие организации моделируют процесс "присоединение, перемещение и выход" следующим образом:

  • Присоединение. Когда человек оказался в ситуации, когда необходим доступ, этим приложениям нужна учетная запись, поэтому может потребоваться создать новую цифровую учетную запись, если она еще не создана.
  • Перемещение. Когда пользователь перемещается между границами, которые требуют добавления или удаления дополнительных авторизаций прав доступа к их цифровой идентификации.
  • Выход. Когда лицо покидает область, в которой требуется доступ, доступ может быть удален и впоследствии удостоверение может больше не требоваться приложениями, кроме как для целей аудита или криминалистики

Например, если новый сотрудник присоединяется к вашей организации, и этот сотрудник никогда не был связан с вашей организацией раньше, этот сотрудник требует нового цифрового удостоверения, представленного как учетная запись пользователя в идентификаторе Microsoft Entra. Создание этой учетной записи будет происходить в процессе "Вступления", который можно автоматизировать при наличии системы учёта, например Workday, которая может указать время начала работы нового сотрудника. Если позже сотрудник вашей организации будет переходить, скажем, из отдела продаж в отдел маркетинга, он попадет в процесс "перехода". Этот шаг потребует удаления прав доступа, которые у человека были в организации продаж и которые ему больше не нужны, и предоставления человеку прав в организации маркетинга, которые ему нужны.

Управление жизненным циклом удостоверений для гостей

Аналогичные процессы также необходимы для дополнительных удостоверений, для партнеров, поставщиков и других гостей, чтобы позволить им сотрудничать или иметь доступ к ресурсам. Управление правами доступа Microsoft Entra использует Внешняя идентификация Microsoft Entra бизнес для бизнеса (B2B) для предоставления элементов управления жизненным циклом, необходимых для сотрудничества с людьми вне вашей организации, которым требуется доступ к ресурсам вашей организации. При использовании Microsoft Entra B2B внешние пользователи проходят проверку подлинности в своем домашнем каталоге или у поставщика удостоверений, но имеют учетную запись в каталоге вашей организации. Представление в каталоге вашей организации позволяет назначить пользователю доступ к вашим ресурсам. Управление правами позволяет сотрудникам за пределами вашей организации запрашивать доступ, создавая при необходимости цифровые удостоверения. Эти цифровые удостоверения автоматически удаляются, когда пользователь теряет доступ.

Требования к лицензиям

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию в соответствии с вашими требованиями, см. раздел Основы лицензирования Microsoft Entra ID Governance.

Следующие шаги