Co je správa životního cyklu identit?

Zásady správného řízení identit pomáhají organizacím dosáhnout rovnováhy mezi produktivitou – jak rychle může mít osoba přístup k potřebným prostředkům, například když se připojí k mé organizaci? A zabezpečení – jak by se měl jejich přístup v průběhu času měnit, například kvůli změnám pracovního stavu dané osoby?

Správa životního cyklu identit je základem zásad správného řízení identit a efektivní zásady správného řízení ve velkém měřítku vyžadují modernizaci infrastruktury správy životního cyklu identit pro aplikace. Správa životního cyklu identit má za cíl automatizovat a spravovat celý proces životního cyklu digitální identity pro jednotlivce přidružené k organizaci.

Co je digitální identita?

Digitální identita je informace o entitě používané jedním nebo více výpočetními prostředky, jako jsou operační systémy nebo aplikace. Tyto entity mohou představovat osoby, organizace, aplikace nebo zařízení. Identitu obvykle popisují atributy, které jsou k ní přidružené, například název, identifikátory a vlastnosti, jako jsou role používané pro správu přístupu. Tyto atributy pomáhají systémům určit, kdo má přístup k čemu a kdo smí tento prostředek používat.

Správa životního cyklu digitálních identit

Správa digitálních identit je složitý úkol, zejména v souvislosti s korelací skutečných objektů, jako je osoba a jejich vztah s organizací jako zaměstnanec dané organizace, s digitální reprezentací. V malých organizacích může být digitální reprezentace jednotlivců, kteří vyžadují identitu, ručním procesem. Když je například někdo přijat nebo dorazí dodavatel, může it specialista vytvořit účet pro něj v adresáři a přiřadit mu přístup, který potřebuje. Automatizace ale může v středně velkých a velkých organizacích umožnit organizaci efektivněji škálovat a udržovat identity přesné.

Typický proces pro vytvoření správy životního cyklu identit v organizaci se řídí těmito kroky:

1. Určete, jestli už existují systémy záznamů – zdroje dat, které organizace považuje za autoritativní. Organizace může mít například systém personálního oddělení, jako je Workday nebo SuccessFactors, a tento systém je autoritativní pro poskytování aktuálního seznamu zaměstnanců a některé jejich vlastnosti, jako je jméno nebo oddělení zaměstnance. Kromě toho může být e-mailový systém, jako je Exchange Online, autoritativní pro další atributy, e-mailovou adresu zaměstnance.

2. Připojení tyto systémy záznamu s ID Microsoft Entra a přeloží případné nekonzistence mezi stávajícími uživateli v Microsoft Entra ID a systémy záznamu. Například Id Microsoft Entra bylo naplněno zastaralými daty, například uživatelským účtem bývalého zaměstnance, který už není přidružený k organizaci.

3. Jakmile má MICROSOFT Entra ID správné uživatele, připojte Microsoft Entra ID s jedním nebo více adresáři a databázemi používanými aplikacemi a vyřešte případné nekonzistence mezi těmito adresáři a kopií systému dat záznamů v Microsoft Entra ID. Například adresář aplikace, která byla dříve odpojena, může obsahovat zastaralá data, například účet bývalého zaměstnance.

4. Určete, jaké procesy je možné použít k poskytování autoritativních informací v případě, že neexistuje systém záznamů. Pokud jsou například pro návštěvníky digitální identity, ale organizace nemá pro návštěvníky žádnou databázi, může být nutné najít alternativní způsob, jak určit, kdy už není potřeba digitální identita návštěvníka.

5. Ujistěte se, že se změny systému záznamů nebo jiných procesů replikují prostřednictvím ID Microsoft Entra do všech adresářů nebo databází, které vyžadují aktualizaci.

Správa životního cyklu identit pro reprezentaci zaměstnanců a dalších jednotlivců s organizačním vztahem

Při plánování správy životního cyklu identit pro zaměstnance nebo jiné jednotlivce s organizačním vztahem, jako je dodavatel nebo student, řada organizací modeluje následující proces:

• Připojení – když jednotlivec spadá do rozsahu potřeb přístupu, tyto aplikace potřebují identitu, takže pokud ještě není dostupná, bude možná potřeba vytvořit novou digitální identitu.
• Přesunutí – když se jednotlivec přesune mezi hranicemi, které vyžadují přidání nebo odebrání dalších autorizací přístupu k digitální identitě
• Nechejte - když jednotlivec opustí rozsah potřeb přístupu, může být potřeba odebrat přístup a následně už identita nemusí být vyžadována jinými aplikacemi než pro účely auditu nebo forenzních účelů.

Pokud se například nový zaměstnanec připojí k vaší organizaci a tento zaměstnanec ještě nikdy nebyl přidružený k vaší organizaci, bude tento zaměstnanec vyžadovat novou digitální identitu reprezentovanou jako uživatelský účet v Microsoft Entra ID. Vytvoření tohoto účtu by se dostalo do procesu "Joiner", který by mohl být automatizovaný, pokud existuje systém záznamů, například Workday, který by mohl znamenat, kdy nový zaměstnanec začíná pracovat. Pokud by se vaše organizace později přesunula z prodeje na marketing, přešel by do procesu "Mover". Tento přesun by vyžadoval odebrání přístupových práv, která měli v organizaci Prodej, kterou už nevyžadují, a udělení práv v marketingové organizaci, která vyžadují.

Správa životního cyklu identit pro hosty

Podobné procesy jsou také potřeba pro další identity, pro partnery, dodavatele a další hosty, aby mohli spolupracovat nebo mít přístup k prostředkům. Správa nároků Microsoft Entra využívá Microsoft Entra Externí ID B2B (business-to-business) k zajištění řízení životního cyklu potřebného ke spolupráci s lidmi mimo vaši organizaci, kteří vyžadují přístup k prostředkům vaší organizace. S Microsoft Entra B2B se externí uživatelé ověřují ve svém domovském adresáři nebo zprostředkovateli identity, ale mají reprezentaci v adresáři vaší organizace. Reprezentace v adresáři vaší organizace umožňuje uživateli přiřadit přístup k vašim prostředkům. Správa nároků umožňuje jednotlivcům mimo vaši organizaci požádat o přístup a podle potřeby pro ně vytvořit digitální identitu. Tyto digitální identity se automaticky odeberou, když uživatel ztratí přístup.

Jak Microsoft Entra ID automatizuje správu životního cyklu identit?

V zásadách správného řízení microsoft Entra ID můžete automatizovat procesy životního cyklu identit pomocí:

• Příchozí zřizování ze zdrojů lidských zdrojů vaší organizace načte pracovní informace z Workday a SuccessFactors, aby se automaticky udržovaly identity uživatelů ve službě Active Directory i v Microsoft Entra ID.
• Uživatelé, kteří již existují ve službě Active Directory, je možné automaticky vytvořit a udržovat v Microsoft Entra ID pomocí zřizování mezi adresáři.
• Pracovní postupy životního cyklu automatizují úlohy pracovního postupu, které se spouštějí na určitých klíčových událostech, například před naplánováným zahájením práce v organizaci novým zaměstnancem, protože mění stav během své doby v organizaci a při opuštění organizace. Pracovní postup je například možné nakonfigurovat tak, aby v prvním dni poslal e-mail s dočasným přístupem vedoucímu nového uživatele nebo uvítací e-mail pro uživatele.
• Zásady automatického přiřazení ve správě nároků přidávají a odebírají členství uživatele ve skupinách, aplikačních rolích a rolích sharepointového webu na základě změn atributů uživatele. Uživatelé můžou být také na vyžádání přiřazeni ke skupinám, Teams, rolím Microsoft Entra, rolím prostředků Azure a webům SharePointu Online pomocí správy nároků a Privileged Identity Management.
• Jakmile jsou uživatelé v Microsoft Entra ID se správným členstvím ve skupinách a přiřazením rolí aplikací, může zřizování uživatelů vytvářet, aktualizovat a odebírat uživatelské účty v jiných aplikacích s konektory pro stovky cloudových a místních aplikací prostřednictvím SCIM, LDAP a SQL.
• V případě životního cyklu hosta můžete určit správu nároků v jiných organizacích, jejichž uživatelé mají povoleno žádat o přístup k prostředkům vaší organizace. Pokud je žádost některého z těchto uživatelů schválena, automaticky se přidají správou nároků jako hostA B2B do adresáře vaší organizace a přiřadí se jim odpovídající přístup. Správa nároků automaticky odebere uživatele typu host B2B z adresáře vaší organizace, když jejich přístupová práva vyprší nebo se odvolají.
• Kontroly přístupu automatizují opakované kontroly stávajících hostů, kteří už jsou v adresáři vaší organizace, a odebere uživatele z adresáře vaší organizace, když už nepotřebují přístup.

Požadavky na licenci

Použití této funkce vyžaduje licence zásad správného řízení Microsoft Entra ID. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Další kroky

• Co je zřizování?
• Řízení přístupu pro externí uživatele ve správě nároků Microsoft Entra
• Co je zřizování řízené personálním oddělením?
• Co je zřizování aplikací?
• Co je zřizování mezi adresáři?