Подключение новых удаленных сотрудников с помощью проверки идентификатора

Предприятия сталкиваются со значительными трудностями при вовлечении удаленных пользователей, которые еще не находятся внутри границы доверия. Платформа Microsoft Entra Verified ID может помочь клиентам в этих сценариях, так как она может использовать аттестации, основанные на удостоверениях личности, выданных правительством, как способ установления доверия.

Когда следует использовать этот шаблон

• У вас есть современная система кадров (HR) с поддержкой API.
• Система управления персоналом позволяет программно интегрироваться и запрашивать систему управления персоналом, чтобы точно сопоставлять профили пользователей.
• Ваша организация в процессе внедрения технологий без пароля.

Решение

1. Индивидуальный портал для адаптации новых сотрудников.

2. Фоновая задача предоставляет новым сотрудникам уникальную идентифицируемую ссылку на портал для адаптации сотрудников из (A), представляющую конкретный процесс нового найма. В этом случае учетная запись нового сотрудника должна быть уже создана в Microsoft Entra ID. Рассмотрите возможность использования рабочих процессов жизненного цикла в качестве точки активации этого потока.

3. Новые сотрудники выбирают ссылку на портал в (A) и проходят через интерфейс-«мастер».

4. Новые сотрудники перенаправляются для получения проверенного идентификатора от партнера по проверке личности. Дополнительные сведения о партнерах по проверке удостоверений: https://aka.ms/verifiedidisv)

5. Новые сотрудники представляют проверенный идентификатор, приобретенный на шаге 1

6. Система получает утверждения от партнера по проверке удостоверений, выполняет поиск учетной записи нового сотрудника и осуществляет проверку.

7. Система выполняет логику подключения, чтобы найти учетную запись Microsoft Entra пользователя, и создать временный проход доступа с помощью MS Graph.

Проблемы и рекомендации

• Ссылка, используемая для запуска процесса, должна соответствовать некоторым критериям:
  • Ссылка должна быть конкретной для каждого удаленного сотрудника.
  • Ссылка должна быть допустимой только в течение короткого периода времени.
  • Он должен стать недействительным после того, как пользователь завершит процесс.
  • Ссылка должна быть разработана для сопоставления с уникальным идентификатором записи кадров
• Для каждого пользователя должна быть предварительно создана учетная запись Microsoft Entra. Учетная запись должна использоваться в процессе проверки запроса сайта.
• Администраторы часто имеют дело с несоответствиями между сведениями пользователей, хранящиеся в ИТ-системах компании, таких как приложения для управления персоналом или решения управления удостоверениями, а также сведения, предоставляемые пользователями. Например, сотрудник может иметь "Джеймс" в качестве имени, но его профиль имеет свое имя как "Джим". Для этих сценариев:
  • В начале процесса кадров кандидаты должны использовать свое имя точно так же, как показано в выданных правительством документах. Благодаря этому подходу упрощается логика проверки.
  • Логика валидации должна быть спроектирована так, чтобы включать атрибуты, которые с большей вероятностью будут точно соответствовать системе управления персоналом. К общим атрибутам относятся адрес улицы, дата рождения, национальность, национальный или региональный идентификационный номер (если применимо), в дополнение к имени и фамилии.
  • Как резервный вариант, запланируйте проверку человеком для разбора неоднозначных или несфокусированных результатов. Этот процесс может включать временное хранение атрибутов, представленных в VC, телефонный звонок с пользователем и т. д.
• Многонациональные организации могут работать с различными партнерами по проверке подлинности в зависимости от региона пользователя.
• Предположим, что первоначальное взаимодействие между пользователем и партнером подключения не является доверенным. Портал подключения должен создавать подробные журналы для всех обработанных запросов, которые можно использовать для аудита.

Дополнительные ресурсы

• Документ по общей архитектуре для подключения универсальной учетной записи: Планирование решения по проверке удостоверения личности Microsoft Entra