使用識別碼驗證讓新遠端員工上線

讓使用者上線的企業，在讓尚未位於信任界限內的遠端使用者上線時，面臨了重大的挑戰。 Microsoft Entra 驗證識別碼可協助客戶面對這些案例，因為這可以使用政府核發的身分證類型證明作為建立信任的方式。

使用此模式的時機

• 您有一個具有 API 支援的新式人力資源 (HR) 系統。
• 您的 HR 系統允許程式設計整合來查詢 HR 系統，以執行可靠的使用者設定檔比對。
• 您的組織已開始無密碼的旅程。

解決方案

1. 新員工上線用的自訂入口網站。

2. 後端工作為新進員工提供了與員工上線入口網站的唯一可識別連結，該連結來自 (A) 代表新進員工的特定流程。 針對此使用案例，新進員工帳戶應該已在 Microsoft Entra ID 中佈建。 請考慮使用生命週期工作流程作為此流程的觸發點。

3. 新進員工會選取上述 (A) 中入口網站的連結，並接受引導完成類似精靈的體驗：

4. 系統會將新進員工重新導向，以便從身分識別驗證合作夥伴 (也稱為 IDV) 取得驗證識別碼。(若要深入了解身分識別驗證合作夥伴，請參閱：https://aka.ms/verifiedidisv）

5. 新進員工出示在步驟 1 中取得的驗證識別碼

6. 系統從身分識別驗證合作夥伴接收宣告、查閱新進員工的使用者帳戶並執行驗證。

7. 系統執行上線邏輯來找出使用者的 Microsoft Entra 帳戶，並使用 MS Graph 產生臨時存取密碼。

問題和考量

• 用來起始流程的連結必須符合一些準則：
  • 連結應專屬於每個遠端員工。
  • 連結應該只在短時間內有效。
  • 使用者完成該流程後，該連結應該就會失效。
  • 連結應該設計為與唯一的 HR 記錄識別碼相互關聯
• 應該為每位使用者預先建立 Microsoft Entra 帳戶。 帳戶應該用來作為網站要求驗證流程的一部分。
• 系統管理員經常處理公司 IT 系統中保留的使用者資訊差異，例如人力資源應用程式或身分識別管理解決方案，以及使用者提供的資訊。 例如，員工可能名字為 James，但設定檔裡其名字為 Jim。 在這些案例中：
  1. 在人力資源流程開始時，候選人使用名字時必須完全如政府核發文件所登載。 採用此方法可簡化驗證邏輯。
  2. 設計驗證邏輯，以包含更可能與 HR 系統完全相符的屬性。 常見的屬性包括街道地址、出生日期、國籍、國家/地區身分證號碼 (如果適用)，以及名字和姓氏。
  3. 作為後援，規劃人工檢閱，以解決模棱兩可/無定論的結果。 這個流程可能包括暫時儲存在 VC 中顯示的屬性、與使用者通話等。
• 跨國組織可能需要根據使用者的區域，使用不同的身分識別證明合作夥伴。
• 假設使用者與上線合作夥伴之間的初始互動不受信任。 上線入口網站應該針對可用於稽核用途的所有已處理要求產生詳細記錄。

其他資源

• 一般化帳戶上線的公用架構文件：規劃 Microsoft Entra 驗證識別碼的驗證解決方案