Определение администрирования удостоверений

  • 3 мин

Администрирование удостоверений — это управление объектами удостоверений на протяжении времени существования удостоверения. Администрирование может выполняться вручную или автоматически. Однако оно необходимо. Вот простой пример того, что происходит без управления удостоверениями и администрирования.

История удостоверения

У вас есть пользователь по имени Хуан. Хуану предоставлена учетная запись в вашей компании, с которой он работает несколько лет. За это время ему предоставляется доступ администратора для развертывания приложения. Позже Хуан уходит из компании, однако учетная запись не удаляется из системы. Руководитель забыл отправить документы на закрытие учетной записи. В компании нет системы управления, чтобы заметить, что учетная запись не используется, а Хуан теперь отсутствует в системах управления персоналом. Год спустя Хуан становится жертвой фишинга. Злоумышленники крадут его личное имя пользователя и пароль. Хуан, как многие люди, использовал одинаковый пароль для личных и рабочих учетных записей. В результате есть вероятность того, что злоумышленники могут проникнуть в вашу систему. И атака исходит от того, что, как представляется, является допустимой учетной записью!

Diagram of life of an identity. Start, no access. Then job with access and identity created. Leave the company, then back to no access.

Преимущества администрирования удостоверений

  • Система, адаптирующаяся к бизнес-процессам.
  • Гибкое масштабирование ресурсов в соответствии с требованиями.
  • Экономия средств за счет распределения и автоматизации управления.
  • Гибкость при синхронизации, распространении и управлении изменениями.

Распространенные задачи по администрированию удостоверений.

Во время администрирования удостоверений выполняется множество стандартных задач.

Распространение удостоверений — хранение объектов удостоверений в среде. Часто организации хранят удостоверения в таких местах, как Active Directory, другие службы каталогов и хранилища удостоверений для конкретных приложений.

Подготовка и отзыв — это две отдельные возможности. Подготовка связана с созданием объектов удостоверений в системе. Отзыв фокусируется на отмене доступа удостоверения (удаление, отключение принципа безопасности или удаление доступа).

Обновления удостоверений — способ обновления сведений об удостоверениях в среде. Идея заключается в том, чтобы автоматизировать и оптимизировать выполняемые вручную задачи.

Синхронизация — поддержание актуальности систем идентификации в среде благодаря добавлению последних сведений об удостоверениях. Эта информация часто имеет решающее значение для определения доступа. На эту возможность большое влияние оказывает способ синхронизации — вручную, на основе времени, на основе событий.

Управление паролями — основное внимание уделяется тому, где и как задаются пароли в инфраструктуре удостоверений. В большинстве организаций забытые пароли чаще всего восстанавливаются через Service Desk.

Управление группами — основное внимание уделяется тому, как организация управляет группами (например, Active Directory и/или LDAP) в своей среде. Группы — одна из самых популярных форм назначения прав доступа к ресурсам, но управление ими требует больших затрат.

Управление правами приложений — определяет, как удостоверениям предоставляется доступ к приложениям. Основное внимание уделяется предоставлению недетализированных прав приложений, которые применяются в качестве возможности, содержащейся в компоненте авторизации. С другой стороны, детализированные права управляются как атрибуты, относящиеся к удостоверению.

Пользовательский интерфейс — способ, с помощью которого пользователь может запрашивать или вносить изменения в сведения о своем удостоверении. Во многих средах пользователи продолжают обращаться к Service Desk для внесения любых изменений в удостоверения.

Управление изменениями — как осуществляется внесение изменений в среде. Например, внесение вручную специалистом Service Desk. Процесс изменений может быть автоматизирован, с использованием рабочего процесса или без него. Некоторые организации по-прежнему обрабатывают такие запросы по электронной почте, а другие используют хорошо продуманные процессы.

Автоматизация управления удостоверениями

PowerShell Интерфейс командной строки (CLI)
Кроссплатформенная среда PowerShell работает в Windows, macOS, Linux Кроссплатформенный интерфейс командной строки, устанавливаемый в Windows, macOS, Linux
Требуется Windows PowerShell или PowerShell Работает в Windows PowerShell, командной строке, а также Bash и других оболочках Unix.
Язык скриптов Действие Команда
Azure CLI Создать пользователя az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com
Microsoft Graph Создать пользователя New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“

При выборе подходящего инструмента следует учесть имеющийся опыт работы и текущую рабочую среду. Синтаксис Azure CLI схож с синтаксисом скриптов Bash. Если вы работаете в основном с системами Linux, Azure CLI покажется вам более знакомым инструментом. PowerShell — это подсистема сценариев Майкрософт. Если вы работаете в первую очередь с системами Windows, PowerShell является естественным подходом. В названиях команд используется схема "глагол-существительное", а данные возвращаются в виде объектов.

Microsoft Graph

Diagram Microsoft Graph features. Use graph to pull identity information from Microsoft Entra ID.

Microsoft Graph предоставляет ИНТЕРФЕЙСы REST API и клиентские библиотеки для доступа к данным в следующих облачных службах Майкрософт, таких как Идентификатор Microsoft Entra, Microsoft 365, устройства и многие другие.

  • API Microsoft Graph предлагает единую конечную точку, https://graph.microsoft.com, для предоставления доступа к богатым, ориентированным на людей данным и аналитическим сведениям в облаке Майкрософт, включая Microsoft 365, Windows 10 и Enterprise Mobility + Security. Используйте REST API или пакеты SDK для доступа к конечной точке и создания приложений, поддерживающих сценарии Microsoft 365. Это может касаться производительности сотрудников, совместной работы или образования. Microsoft Graph также включает мощный набор служб для управления удостоверениями пользователей и устройств. Вы можете определить и настроить доступ, соответствие требованиям, безопасность и помочь организациям защититься от утечки или потери данных.

  • Соединители Microsoft Graph помогают при получении данных, позволяя передать данные извне облака Microsoft в приложения и службы Microsoft Graph, что в свою очередь расширяет возможности интерфейсов Microsoft 365, таких как Поиск (Майкрософт). Соединители предоставляются для многих популярных источников данных, таких как Box, Google Диск, Jira и Salesforce.

  • Подключение к данным Microsoft Graph предоставляет набор средств для упрощения защищенной и масштабируемой доставки данных Microsoft Graph в популярные хранилища данных Azure. Кэшированные данные выполняют роль источников данных для средств разработки Azure, которые можно использовать для создания интеллектуальных приложений.

Вместе API Microsoft Graph, соединители и подключение к данным расширяют возможности платформы облачных служб Майкрософт. Благодаря возможности доступа к данным Microsoft Graph и другим наборам данных вы можете получать аналитические сведения и расширять Azure и Microsoft 365, создавая уникальные интеллектуальные приложения.