Подключение новых удаленных сотрудников с помощью проверки идентификатора

Предприятия, подключенные к пользователям, сталкиваются со значительными проблемами при подключении удаленных пользователей, которые еще не находятся в пределах границы доверия. Проверенные учетные данные Microsoft Entra может помочь клиентам столкнуться с этими сценариями, так как он может использовать выданные правительством идентификаторы аттестации в качестве способа установления доверия.

Когда следует использовать этот шаблон

• У вас есть современная система кадров (HR) с поддержкой API.
• Система управления персоналом позволяет программной интеграции запрашивать систему управления персоналом для надежного сопоставления профилей пользователей.
• Ваша организация уже начала свой путь без пароля.

Решение

1. Пользовательский портал для подключения новых сотрудников.

2. Серверное задание предоставляет новые сотрудники с уникальной идентифицируемой ссылкой на портал подключения сотрудника из (A), представляющего конкретный процесс нового найма. В этом случае учетная запись нового найма уже должна быть подготовлена в идентификаторе Microsoft Entra. Рассмотрите возможность использования рабочих процессов жизненного цикла в качестве точки активации этого потока.

3. Новые нанимаемые выбирают ссылку на портал выше и используются в мастере, например:

4. Новые сотрудники перенаправляются для получения проверенного идентификатора от партнера по проверке личности (также ссылается на IDV. Дополнительные сведения о партнерах по проверке удостоверений: https://aka.ms/verifiedidisv)

5. Новые сотрудники представляют проверенный идентификатор, приобретенный на шаге 1

6. Система получает утверждения от партнера проверки идентификации, ищет учетную запись пользователя для нового найма и выполняет проверку.

7. Система выполняет логику подключения, чтобы найти учетную запись Microsoft Entra пользователя и создать временный проход доступа с помощью MS Graph.

Проблемы и рекомендации

• Ссылка, используемая для запуска процесса, должна соответствовать некоторым критериям:
  • Ссылка должна быть конкретной для каждого удаленного сотрудника.
  • Ссылка должна быть допустимой только в течение короткого периода времени.
  • Он должен стать недействительным после того, как пользователь завершит процесс.
  • Ссылка должна быть разработана для сопоставления с уникальным идентификатором записи кадров
• Учетная запись Microsoft Entra должна быть предварительно создана для каждого пользователя. Учетная запись должна использоваться в процессе проверки запроса сайта.
• Администратор istrator часто имеют дело с несоответствиями между сведениями пользователей, которые хранятся в ИТ-системах компании, таких как приложения для управления персоналом или решения управления удостоверениями, а также сведения, предоставляемые пользователями. Например, сотрудник может иметь "Джеймс" в качестве имени, но его профиль имеет свое имя как "Джим". Для этих сценариев:
  1. В начале процесса кадров кандидаты должны использовать свое имя точно так же, как показано в выданных правительством документах. Благодаря этому подходу упрощается логика проверки.
  2. Логика проверки разработки для включения атрибутов, которые, скорее всего, соответствуют точному совпадению с системой управления персоналом. К общим атрибутам относятся адрес улицы, дата рождения, национальность, национальный или региональный идентификационный номер (если применимо), в дополнение к имени и фамилии.
  3. Как резервный вариант, план для человеческого обзора работать через неоднозначные или неуклюжие результаты. Этот процесс может включать временное хранение атрибутов, представленных в VC, телефонный звонок с пользователем и т. д.
• Многонациональные организации могут работать с различными партнерами по проверке подлинности в зависимости от региона пользователя.
• Предположим, что первоначальное взаимодействие между пользователем и партнером подключения не является доверенным. Портал подключения должен создавать подробные журналы для всех обработанных запросов, которые можно использовать для аудита.

Дополнительные ресурсы

• Документ общедоступной архитектуры для обобщенной подключения учетной записи: планирование решения проверки Проверенные учетные данные Microsoft Entra