Registrera nya fjärranställda med ID-verifiering

Företag som registrerar användare står inför stora utmaningar när det gäller att registrera fjärranvändare som ännu inte är inom förtroendegränsen. Microsoft Entra – verifierat ID kan hjälpa kunder som står inför dessa scenarier eftersom de kan använda myndighets utfärdade ID-baserade intyg som ett sätt att upprätta förtroende.

När du ska använda det här mönstret

• Du har ett modernt HR-system (Human resources) med API-stöd.
• Hr-systemet gör att programmatisk integrering kan köra frågor mot HR-systemet för att utföra en tillförlitlig matchning av användarprofiler.
• Din organisation har redan påbörjat sin lösenordslösa resa.

Lösning

1. En anpassad portal för ny personalregistrering.

2. Ett serverdelsjobb ger nyanställda en unikt identifierbar länk till portalen för registrering av anställda från (A) som representerar den nya anställningens specifika process. I det här användningsfallet bör kontot för den nya anställningen redan etableras i Microsoft Entra-ID. Överväg att använda livscykelarbetsflöden som utlösande punkt i det här flödet.

3. Nyanställda väljer länken till portalen i (A) ovan och vägleds genom en guideliknande upplevelse:

4. Nyanställda omdirigeras för att hämta ett verifierat ID från identitetsverifieringspartnern (kallas även IDV. Om du vill veta mer om partner för identitetsverifiering: https://aka.ms/verifiedidisv)

5. Nyanställda presenterar det verifierade ID som förvärvats i steg 1

6. Systemet tar emot anspråken från identitetsverifieringspartnern, letar upp användarkontot för den nya anställningen och utför valideringen.

7. Systemet kör onboarding-logiken för att hitta användarens Microsoft Entra-konto och generera ett tillfälligt åtkomstpass med MS Graph.

Problem och överväganden

• Länken som används för att initiera processen måste uppfylla vissa kriterier:
  • Länken ska vara specifik för varje fjärransluten medarbetare.
  • Länken ska bara vara giltig under en kort tidsperiod.
  • Det bör bli ogiltigt när en användare har gått igenom flödet.
  • Länken ska utformas för att korrelera med en unik HR-postidentifierare
• Ett Microsoft Entra-konto bör skapas i förväg för varje användare. Kontot ska användas som en del av webbplatsens valideringsprocess för begäran.
• Administratörer hanterar ofta avvikelser mellan användarnas information som finns i ett företags IT-system, till exempel program för mänskliga resurser eller lösningar för identitetshantering, och den information som användarna tillhandahåller. En anställd kan till exempel ha "James" som förnamn, men profilen har namnet "Jim". För dessa scenarier:
  1. I början av HR-processen måste kandidaterna använda sitt namn exakt som det visas i myndighetsdokument. Med den här metoden förenklas valideringslogik.
  2. Utforma valideringslogik för att inkludera attribut som är mer benägna att ha en exakt matchning mot HR-systemet. Vanliga attribut är gatuadress, födelsedatum, nationalitet, nationellt/regionalt identifikationsnummer (om tillämpligt), utöver för- och efternamn.
  3. Som en reserv planerar du att mänsklig granskning ska gå igenom tvetydiga/icke-avgörande resultat. Den här processen kan omfatta att tillfälligt lagra attributen som visas i VC, telefonsamtal med användaren osv.
• Multinationella organisationer kan behöva arbeta med olika identitetsbevispartner baserat på användarens region.
• Anta att den första interaktionen mellan användaren och onboarding-partnern inte är betrodd. Onboarding-portalen bör generera detaljerade loggar för alla begäranden som bearbetas och som kan användas i granskningssyfte.

Ytterligare resurser

• Offentligt arkitekturdokument för generaliserad kontoregistrering: Planera din Microsoft Entra – verifierat ID verifieringslösning