¿Qué es la administración del ciclo de vida de la identidad?
La gobernanza de identidades ayuda a las organizaciones a alcanzar un equilibrio entre productividad (con qué rapidez puede obtener acceso una persona a los recursos que necesita; por ejemplo, cuando se une a una organización) y seguridad (cómo debe cambiar el acceso de esa persona a lo largo del tiempo; por ejemplo, cuando varía su estado laboral).
La administración del ciclo de vida de la identidad es la base de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a gran escala, es preciso modernizar la infraestructura de administración del ciclo de vida de la identidad en las aplicaciones. La administración del ciclo de vida de la identidad tiene como objetivo automatizar y administrar todo el proceso del ciclo de vida de la identidad digital de los individuos afiliados a una organización.
¿Qué es una identidad digital?
Una identidad digital es información sobre una entidad utilizada por uno o más recursos informáticos, como sistemas operativos o aplicaciones. Estas entidades pueden representar personas, organizaciones, aplicaciones o dispositivos. La identidad se describe normalmente mediante los atributos asociados a ella, como el nombre, los identificadores, así como las propiedades, como los roles que se usan para la administración del acceso. Estos atributos ayudan a los sistemas a tomar decisiones como quién tienen acceso a qué y quién puede usar ese recurso.
Administración del ciclo de vida de las identidades digitales
La administración de identidades digitales es una tarea compleja, especialmente porque correlaciona objetos del mundo real, como una persona y su relación con una organización como empleado de esa organización, con una representación digital. En las organizaciones pequeñas, el mantenimiento de la representación digital de las personas que necesitan una identidad puede ser un proceso manual. Por ejemplo, cuando se contrata a alguien, o cuando llega un contratista, un especialista en TI puede crear una cuenta para ellos en un directorio y asignarles el acceso que necesitan. Sin embargo, en las organizaciones de tamaño medio y grande, la automatización puede permitir que la organización escale de forma más eficaz y mantenga las identidades con precisión.
El proceso típico para establecer la administración del ciclo de vida de la identidad en una organización sigue estos pasos:
Determinar si ya hay sistemas de registro: orígenes de datos que la organización trata como autoritativos. Por ejemplo, la organización puede tener un sistema de RR. HH. como Workday o SuccessFactors, que sea autoritativo para proporcionar la lista actual de empleados y algunas de sus propiedades, como el nombre o el departamento del empleado. Además, un sistema de correo electrónico como Exchange Online puede ser autoritativo para un atributo adicional de la dirección de correo electrónico de un empleado.
Conecte esos sistemas de registro con Microsoft Entra ID y resuelva las incoherencias entre los usuarios existentes en Microsoft Entra ID y los sistemas de registro. Por ejemplo, es posible que Microsoft Entra ID se haya rellenado con datos obsoletos ahora, como una cuenta de usuario para un antiguo empleado que ya no esté afiliado a la organización.
Una vez que Microsoft Entra ID tiene los usuarios correctos, conecte Microsoft Entra ID con uno o varios directorios y bases de datos usados por las aplicaciones, y resuelva las incoherencias entre esos directorios y la copia del sistema de datos de registro en Microsoft Entra ID. Por ejemplo, un directorio para una aplicación que se desconectó anteriormente puede tener datos obsoletos, como la cuenta de un antiguo empleado.
Determinar qué procesos se pueden usar para proporcionar información autoritativa en ausencia de un sistema de registro. Por ejemplo, si hay identidades digitales para los visitantes, pero la organización no tiene ninguna base de datos para visitantes, puede que sea necesario encontrar una forma alternativa de determinar si ya no se necesita una identidad digital para un visitante.
Asegúrese de que los cambios del sistema de registro u otros procesos se repliquen mediante Microsoft Entra ID en cada uno de los directorios o bases de datos que requieren una actualización.
Administración del ciclo de vida de la identidad para representar a los empleados y otras personas con una relación con la organización
Al planear la administración del ciclo de vida de la identidad para los empleados, u otras personas con una relación con la organización como un contratista o un estudiante, muchas organizaciones modelan el proceso de "unirse, trasladar y abandonar" del siguiente modo:
- Unirse: cuando una persona entra en el ámbito de la necesidad de acceso, esas aplicaciones necesitan una identidad, por lo que es posible que sea necesario crear una identidad digital si todavía no hay una disponible
- Trasladar: cuando una persona se mueve entre límites, lo que requiere que se agreguen o eliminen autorizaciones de acceso adicionales a su identidad digital
- Abandonar: cuando un individuo deja el ámbito de la necesidad de acceso, es posible que sea necesario eliminar el acceso y, en consecuencia, es posible que las aplicaciones ya no necesiten la identidad salvo con fines de auditoría o forense
Por ejemplo, si un nuevo empleado se une a la organización y nunca ha estado afiliado a su organización antes, ese empleado necesitará una nueva identidad digital, representada como una cuenta de usuario en Microsoft Entra ID. La creación de esta cuenta se podría incluir en el proceso de "unión", que se podría automatizar si se cuenta con un sistema de registro como Workday que pudiera indicar cuándo comienza a trabajar el nuevo empleado. Más adelante, si la organización tiene un empleado que pasa, por ejemplo, de ventas a marketing, se encontrarían en un proceso de "traslado". Este movimiento requeriría la eliminación de los derechos de acceso que tenía en la organización de ventas y que ya no necesita y la concesión de los derechos en la organización de marketing que requiera.
Administración del ciclo de vida de la identidad para invitados
También se necesitan procesos similares para identidades adicionales, para asociados, proveedores y otros invitados, para permitirles colaborar o tener acceso a los recursos. La administración de derechos de Microsoft Entra utiliza el identificador externo de Microsoft Entra de negocio a negocio (B2B) para proporcionar los controles de ciclo de vida necesarios para colaborar con personas ajenas a su organización que requieren acceso a los recursos de su organización. Con Microsoft Entra B2B, los usuarios externos se autentican en su directorio particular o proveedor de identidades, pero están representados en el directorio de la organización. La representación en el directorio de la organización permite asignar al usuario acceso a los recursos. La administración de derechos permite a personas ajenas a la organización solicitar acceso y crear una identidad digital para ellos según sea necesario. Estas identidades digitales se eliminan automáticamente cuando el usuario pierde el acceso.
¿Cómo automatiza Microsoft Entra ID la administración del ciclo de vida de la identidad?
En Microsoft Entra ID Governance, puede automatizar los procesos de ciclo de vida de identidad mediante:
- Aprovisionamiento entrante de los orígenes de RR. HH. de la organización recupera información de trabajo de Workday y SuccessFactors para mantener automáticamente las identidades de usuario en Active Directory y Microsoft Entra ID.
- Los usuarios que ya están presentes en Active Directory se pueden crear y mantener automáticamente en Microsoft Entra ID con el aprovisionamiento entre directorios.
- Flujos de trabajo del ciclo de vida automatizan las tareas de flujo de trabajo que se ejecutan en determinados eventos clave, como antes de que un nuevo empleado se programe para iniciar el trabajo en la organización, a medida que cambian el estado durante su estancia en la organización y a medida que abandonan la organización. Por ejemplo, un flujo de trabajo se puede configurar para enviar un correo electrónico con un pase de acceso temporal al administrador de un nuevo usuario o un correo electrónico de bienvenida al usuario en su primer día.
- Directivas de asignación automática en la administración de derechos añaden y eliminan la pertenencia a grupos, roles de aplicación y roles de sitio de SharePoint de un usuario, en función de los cambios en los atributos del usuario. Los usuarios también pueden, previa solicitud, ser asignados a grupos, equipos, roles de Microsoft Entra, roles de recursos de Azure y sitios de SharePoint Online, utilizando la administración de derechos y Privileged Identity Management.
- Una vez que los usuarios estén en Microsoft Entra ID con las asignaciones de roles de aplicación y pertenencia a grupos correctas, el aprovisionamiento de usuarios puede crear, actualizar y quitar cuentas de usuario en otras aplicaciones, con conectores a cientos de aplicaciones locales y en la nube a través de SCIM, LDAP y SQL.
- Para el ciclo de vida de los invitados, puede especificar en la administración de derechos las otras organizaciones cuyos usuarios pueden solicitar acceso a los recursos de su organización. Cuando se aprueba la solicitud de esos usuarios, la administración de derechos los agrega automáticamente como invitado B2B al directorio de la organización y se les asigna el acceso adecuado. Y la administración de derechos quita automáticamente al usuario invitado B2B del directorio de la organización cuando expiran sus derechos de acceso o se revocan.
- Revisiones de acceso automatiza las revisiones periódicas de los invitados ya existentes en el directorio de la organización y quitan a esos usuarios del directorio de la organización cuando ya no necesitan acceso.
Requisitos de licencia
El uso de esta característica requiere licencias de Microsoft Entra ID Governance. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.