Определение управления идентификацией

  • 3 мин

администрирование удостоверений — это процесс управления объектами удостоверений на протяжении всего жизненного цикла удостоверения. Это может быть ручное или автоматизированное администрирование. Однако это необходимо сделать. Вот простой пример того, что происходит без управления и надзора за идентичностями.

История - жизнь личности

У вас есть пользователь по имени Хуана. Хуан получает учетную запись в вашей компании и работает в течение нескольких лет. За это время пользователь получает доступ администратора для развертывания приложения. Позже Хуан покидает компанию с хорошей репутацией; однако учетная запись так и не удаляется из системы. Менеджер забыл отправить документы, чтобы закрыть учетную запись. Нет системы управления, чтобы заметить, что учетная запись не используется, и что Хуан больше не указан в системах управления персоналом. Через год Хуан стал жертвой фишингового письма, из-за которого у него украли личные имя пользователя и пароль. Будучи как и многие люди, Хуан использовал аналогичный пароль для своей личной жизни и его рабочих счетов. А знаете что? Теперь у вас есть сценарий, при котором ваши системы могут быть взломаны. И атака исходит от учетной записи, которая кажется допустимой!

схема жизни идентичности. Начало, нет доступа. Затем работа с доступом и созданием идентичности. Уход из компании, затем возвращение к состоянию без доступа.

Администрирование идентификации предоставляет

  • Система, которая очень настраивается для бизнес-процессов
  • Гибкость масштабирования ресурсов в соответствии с требованиями
  • Экономия затрат за счет распределения и автоматизации управления
  • Гибкость при синхронизации, распространении и управлении изменениями

Распространенные задачи администрирования удостоверений

Во время управления идентификацией выполняется множество распространённых операций.

Пролиферация удостоверений — связано с хранением идентификационных объектов в среде. Часто у организаций есть идентичности в таких местах, как Active Directory, других службах каталогов и специфических для приложений хранилищах идентичностей.

подготовка и отмена подготовки — это две отдельные возможности. Провижининг определяет, как объекты удостоверений создаются в системе. Удаление доступа сосредоточено на устранении удостоверения для доступа (удаление, отключение элемента безопасности или удаление доступа).

обновления идентификационных данных — охватывает процессы обновления сведений об идентификационных данных во всей ИТ-среде. Идея заключается в том, чтобы перейти от ручной работы к более автоматизированным и упрощенным подходам.

Синхронизация — это обеспечение актуальности систем удостоверений в операционной среде с последними сведениями об удостоверениях. Эта информация часто имеет решающее значение для определения доступа. Основные факторы, влияющие на эту возможность, — это то, как выполняется синхронизация вручную, на основе времени или на основе событий.

Управление паролями — фокусируется на том, где и как задаются пароли в системе управления идентификацией. В большинстве организаций служба service Desk по-прежнему является центром для забытых паролей.

Управление группами — фокусируется на том, как организация управляет группами (например, Active Directory и/или LDAP) в своей среде. Группы являются одной из наиболее распространенных форм для определения разрешений доступа к ресурсам и являются дорогостоящими для управления и эксплуатации.

управление правами приложений — определяет способ предоставления удостоверений приложениям. В ней основное внимание уделяется предоставлению грубозернистых прав на доступ к приложениям, которые реализованы как возможность в рамках столпа авторизации. С другой стороны, детализированные права управляются как атрибуты, относящиеся к идентичности.

Пользовательский интерфейс — это способ, который позволяет конечному пользователю запрашивать или вносить изменения в свои данные удостоверения личности. Во многих средах пользователи продолжают обращаться в службу технической поддержки за любыми обновлениями сведений об удостоверении.

Управление изменениями — возможности сосредоточены на том, как изменения передаются через среду, выполняется ли это вручную специалистом службы поддержки. Автоматизация может выполняться с рабочим процессом или без нее, что приводит к изменению процесса. Некоторые организации по-прежнему отправляют сообщения электронной почты для выполнения запросов, а другие имеют богатые и зрелые процессы для выполнения изменений.

Автоматизация управления удостоверениями

PowerShell CLI (интерфейс командной строки)
Кроссплатформенная среда PowerShell работает в Windows, macOS, Linux Кроссплатформенный интерфейс командной строки, устанавливаемый в Windows, macOS, Linux
Требуется Windows PowerShell или PowerShell Выполняется в Windows PowerShell, командной строке или Bash и других оболочках Unix
Язык сценариев Действие Команда
Azure CLI Создание пользователя az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com
Microsoft Graph Создание пользователя New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“

При выборе правильного инструмента рассмотрите прошлый опыт и текущую рабочую среду. Синтаксис Azure CLI аналогичен синтаксису скриптов Bash. Если вы работаете в первую очередь с системами Linux, Azure CLI чувствует себя более естественным. PowerShell — это подсистема сценариев Майкрософт. Если вы работаете в первую очередь с системами Windows, PowerShell является естественным подходом. Команды следуют схеме именования глаголов и возвращаются в виде объектов.

Microsoft Graph

Диаграмма функций Microsoft Graph. Использование графа для извлечения данных об идентичности из Microsoft Entra ID.

Microsoft Graph предоставляет REST API и клиентские библиотеки для доступа к данным в следующих облачных службах Microsoft, таких как Microsoft Entra ID, Microsoft 365, устройства и многие другие.

  • API Microsoft Graph предлагает одну конечную точку, https://graph.microsoft.com, для предоставления доступа к богатым, ориентированным на людей данным и аналитическим сведениям в облаке Майкрософт, включая Microsoft 365, Windows 10 и Enterprise Mobility + Security. Интерфейсы REST API или пакеты SDK можно использовать для доступа к конечной точке и созданию приложений, поддерживающих сценарии Microsoft 365. Доступ может охватывать от повышения производительности до совместной работы до образования. Microsoft Graph также включает мощный набор служб, которые управляют удостоверениями пользователей и устройств. Вы можете определить и настроить доступ, соответствие, безопасность и помочь организациям от утечки или потери данных.

  • Соединители Microsoft Graph работают во входящем направлении, перенося внешние данные в облако Microsoft для улучшения таких возможностей Microsoft 365, как Поиск Microsoft. Соединители существуют для многих часто используемых источников данных, таких как Box, Google Drive, Jira и Salesforce.

  • Microsoft Graph Data Connect предоставляет набор средств для упрощения безопасной и масштабируемой доставки данных Microsoft Graph в популярные хранилища данных Azure. Кэшированные данные служат источниками данных для средств разработки Azure, которые можно использовать для создания интеллектуальных приложений.

Вместе API Microsoft Graph, соединители и Data Connect обеспечивают работу платформы облачных служб Microsoft. Благодаря возможности доступа к данным Microsoft Graph и другим наборам данных вы можете получать аналитические сведения и аналитику, расширять Azure и Microsoft 365, создавая уникальные интеллектуальные приложения.