使用 ID 验证使新的远程员工入职

企业在引入用户时面临重大挑战，尤其是在引入尚未在信任边界内的远程用户时。 Microsoft Entra 验证 ID 可以帮助面临这些情况的客户，因为它可以使用政府颁发的身份证明来建立信任。

何时使用此模式

• 你有一个具有 API 支持的新式人力资源 （HR） 系统。
• 你的 HR 系统允许通过编程集成来查询 HR 系统，以执行准确的用户配置文件匹配。
• 组织正在采用无密码技术。

解决方案

1. 用于新员工入职的自定义门户。

2. 后端作业为新员工提供 (A) 中的员工加入门户的唯一可识别链接，代表新员工的特定流程。 对于此用例，应已在 Microsoft Entra ID 中预配新员工帐户。 请考虑将 生命周期工作流 用作此流的触发点。

3. 新员工选择 (A) 中的门户链接，并通过类似向导的体验获得引导：

4. 新员工被重定向，以从身份验证合作伙伴获取验证 ID。 若要详细了解身份验证合作伙伴：https://aka.ms/verifiedidisv）

5. 新员工提供在步骤 1 中获取的验证 ID

6. 系统接收来自身份验证合作伙伴的索赔，查找新员工用户账户并执行验证。

7. 系统执行加入逻辑以查找用户的 Microsoft Entra 帐户，并使用 MS Graph 生成临时访问密码。

高级流程关系图

问题和注意事项

• 用于启动该过程的链接需要满足一些条件：
  • 该链接应特定于每个远程员工。
  • 此链接应仅在短时间内有效。
  • 用户完成流程后，它应该变得无效。
  • 链接应设计为与唯一 HR 记录标识符相关联
• 应为每个用户预创建Microsoft Entra 帐户。 该帐户应用作站点请求验证流程的一部分。
• 管理员经常处理公司 IT 系统中保存的用户信息（如人力资源应用程序或标识管理解决方案）与用户提供的信息之间的差异。 例如，员工可能以“James”作为其名字，但其个人资料的名称为“Jim”。 对于这些情境：
  • 在 HR 流程开始时，候选人必须使用与政府颁发文件中的显示完全相同的名字。 采用此方法可简化验证逻辑。
  • 设计验证逻辑以包含更有可能与 HR 系统完全匹配的属性。 常见属性包括街道地址、出生日期、国籍、国家/地区标识号（如果适用），以及名字和姓氏。
  • 作为备用计划，安排人工审查来解决模棱两可或非决定性的结果。 此过程可能包括暂时存储 VC 中显示的属性、与用户进行电话呼叫等。
• 跨国组织可能需要根据用户的区域与不同的标识证明合作伙伴合作。
• 假设用户与加入合作伙伴之间的初始交互不受信任。 入职门户应为所有已处理的请求生成可用于审核目的的详细日志。

其他资源

• 适用于通用帐户加入的公共体系结构文档：规划 Microsoft Entra 验证 ID 验证解决方案