Che cos'è la gestione del ciclo di vita delle identità?

Identity Governance consente alle organizzazioni trovare un equilibrio tra produttività (la velocità con cui una persona può accedere alle risorse necessarie, ad esempio quando inizia a collaborare con un'azienda) e sicurezza (in che modo dovrebbe cambiare nel tempo l'accesso degli utenti, ad esempio a causa di cambiamenti nello status lavorativo).

La gestione del ciclo di vita delle identità rappresenta la base per Identity Governance e per una governance efficace su larga scala occorre modernizzare l'infrastruttura di gestione del ciclo di vita delle identità per le applicazioni. Gestione del ciclo di vita delle identità mira ad automatizzare e gestire l'intero processo del ciclo di vita dell'identità digitale per le persone affiliate a un'organizzazione.

Che cos'è un'identità digitale?

Un'identità digitale è un'entità usata da una o più risorse di calcolo, ad esempio sistemi operativi o applicazioni. Queste entità possono rappresentare persone, organizzazioni, applicazioni o dispositivi. L'identità viene in genere descritta dagli attributi associati, ad esempio il nome, gli identificatori e le proprietà, ad esempio i ruoli usati per la gestione degli accessi. Questi attributi aiutano i sistemi a determinare chi può accedere a determinate risorse e chi è autorizzato a usarle.

Gestione del ciclo di vita delle identità digitali

La gestione delle identità digitali è un'attività complessa, in particolare per quanto riguarda la correlazione di oggetti reali, ad esempio una persona e la sua relazione con un'organizzazione come dipendente, con una rappresentazione digitale. Nelle organizzazioni piccole conservare la rappresentazione digitale delle persone che richiedono un'identità può essere un processo manuale. Ad esempio, quando qualcuno viene assunto o arriva un terzista, uno specialista IT può creare un account per loro in una directory e assegnare loro l'accesso necessario. Tuttavia, nelle organizzazioni di dimensioni medio-grandi, l'automazione può garantire una scalabilità più efficiente e garantire l'accuratezza delle identità.

Il processo tipico per la definizione della gestione del ciclo di vita delle identità in un'organizzazione segue questi passaggi:

1. Determinare se sono già presenti sistemi di record, ovvero origini dati che l'organizzazione considera autorevoli. Ad esempio, l'organizzazione può avere un sistema di gestione delle risorse umane, come Workday o SuccessFactors, che può essere usato come fonte ufficiale e fornire l'elenco aggiornato di dipendenti, insieme ad alcune delle relative proprietà, come il nome o il reparto. Inoltre, un sistema di posta elettronica come Exchange Online può essere usato come fonta ufficiale per altri attributi, come l'indirizzo di posta elettronica del dipendente.

2. Connettere tali sistemi di record con Microsoft Entra ID e risolvere eventuali incoerenze tra gli utenti esistenti in Microsoft Entra ID e i sistemi di record. Ad esempio, Microsoft Entra ID potrebbe essere stato popolato con dati ormai obsoleti, come account utente di ex dipendenti che non sono più associati all'organizzazione.

3. Una volta che Microsoft Entra ID ha in memoria gli utenti corretti, connettere Microsoft Entra ID con una o più directory e database usati dalle applicazioni e risolvere eventuali incoerenze tra tali directory e la copia del sistema di dati di record in Microsoft Entra ID. Ad esempio, una directory per un'applicazione disconnessa in precedenza potrebbe avere dati obsoleti, come account utente di ex dipendenti.

4. Determinare quali processi possono essere usati per fornire informazioni autorevoli in assenza di un sistema di record. Se ad esempio sono presenti identità digitali per i visitatori, ma l'organizzazione non ha un apposito database, potrebbe essere necessario trovare un metodo alternativo per determinare quando un'identità digitale per un visitatore non è più necessaria.

5. Assicurarsi che le modifiche apportate dal sistema di record o altri processi vengano replicate tramite Microsoft Entra ID in ognuna delle directory o dei database che richiedono un aggiornamento.

Gestione del ciclo di vita delle identità per rappresentare i dipendenti e altri individui con una relazione con l'organizzazione

Quando si pianifica la gestione del ciclo di vita delle identità per i dipendenti o per altri individui con una relazione con l'organizzazione, ad esempio terzisti o studenti, molte organizzazioni adottano il modello "ingresso, spostamento e uscita" illustrato di seguito:

• Ingresso: quando un utente entra in un ambito per cui è richiesto l'accesso, queste applicazioni richiedono un'identità digitale, quindi potrebbe essere necessario crearne una nuova, se non ne è già disponibile una.
• Spostamento: quando un utente si sposta tra limiti che richiedono di aggiungere o rimuovere autorizzazioni di accesso all'identità digitale
• Uscita: quando un utente lascia l'ambito per cui è richiesto l'accesso, può essere necessario rimuovere l'accesso e successivamente l'identità potrebbe non essere più richiesta da applicazioni diverse da quelle usate per motivi legali o di controllo

Se, ad esempio, nell'organizzazione entra un nuovo dipendente che non è mai stato affiliato in precedenza, sarà necessario fornirgli una nuova identità digitale, rappresentata come account utente in Microsoft Entra ID. La creazione di questo account rientrerà in un processo di "aggiunta", che può essere automatizzato se è presente un sistema di record, come Workday, che potrebbe indicare quando può iniziare a lavorare il nuovo dipendente. In seguito, se un dipendente viene spostato, ad esempio dalle vendite al marketing, rientrerà nel processo di "spostamento". Questo spostamento richiederebbe la rimozione dei diritti di accesso che avevano nell'organizzazione Sales, che non sono più necessari, concedendo loro i diritti nell'organizzazione marketing di cui ora hanno bisogno.

Gestione del ciclo di vita delle identità per gli utenti guest

Sono necessari processi simili anche per identità aggiuntive, partner, fornitori e altri guest, per consentire loro di collaborare o avere accesso alle risorse. La gestione entitlement di Microsoft Entra usa Microsoft Entra per ID esterno business-to-business (B2B) per fornire i controlli del ciclo di vita necessari per collaborare con persone esterne all'organizzazione che richiedono l'accesso alle risorse dell'organizzazione. Con Microsoft Entra B2B, gli utenti esterni eseguono l'autenticazione nella home directory o nel provider di identità, ma hanno sono rappresentati nella directory dell'organizzazione. La rappresentazione nella directory dell'organizzazione consente all'utente di accedere alle risorse. La gestione entitlement consente a singoli individui esterni all'organizzazione di richiedere l'accesso, creando se necessario un'apposita identità digitale. Queste identità digitali vengono rimosse automaticamente quando l'utente perde l'accesso.

In che modo Microsoft Entra ID automatizza la gestione del ciclo di vita delle identità?

In Microsoft Entra ID Governance è possibile automatizzare i processi del ciclo di vita delle identità usando:

• Il provisioning in ingresso dalle origini HR dell'organizzazione recupera le informazioni sul ruolo di lavoro da Workday e SuccessFactors per mantenere automaticamente le identità utente sia in Active Directory che in Microsoft Entra ID.
• Gli utenti già presenti in Active Directory possono essere creati e gestiti automaticamente in Microsoft Entra ID usando il provisioning tra directory.
• I flussi di lavoro del ciclo di vita automatizzano le attività del flusso di lavoro eseguite in determinati eventi chiave, ad esempio prima che un nuovo dipendente inizi a lavorare all'interno dell'organizzazione, man mano che cambiano lo stato durante il loro tempo nell'organizzazione e quando lasciano l'organizzazione. Ad esempio, un flusso di lavoro può essere configurato per inviare un messaggio di posta elettronica con un pass di accesso temporaneo al manager di un nuovo utente o un messaggio di posta elettronica di benvenuto all'utente, che ricevono il primo giorno di lavoro.
• I criteri di assegnazione automatica nella gestione entitlement aggiungono e rimuovono le appartenenze ai gruppi di un utente, i ruoli dell'applicazione e i ruoli del sito di SharePoint, in base alle modifiche apportate agli attributi dell'utente. Gli utenti possono anche essere assegnati a gruppi, Teams, ruoli di Microsoft Entra, ruoli delle risorse di Azure e siti di SharePoint Online, usando la gestione entitlement e Privileged Identity Management.
• Quando gli utenti si trovano in Microsoft Entra ID con le appartenenze ai gruppi e le assegnazioni di ruolo dell'app corrette, il provisioning utenti può creare, aggiornare e rimuovere gli account utente in altre applicazioni, con connettori a centinaia di applicazioni cloud e locali tramite SCIM, LDAP e SQL.
• Per il ciclo di vita guest, è possibile specificare nella gestione entitlement le altre organizzazioni i cui utenti sono autorizzati a richiedere l'accesso alle risorse dell'organizzazione. Quando una delle richieste di questi utenti viene approvata, queste vengono aggiunte automaticamente dalla gestione entitlement come guest B2B alla directory dell'organizzazione e assegnate l'accesso appropriato. La gestione entitlement rimuove automaticamente l'utente guest B2B dalla directory dell'organizzazione quando i diritti di accesso scadono o vengono revocati.
• Le verifiche di accesso automatizzano le verifiche ricorrenti dei guest esistenti già nella directory dell'organizzazione e li rimuove dalla directory dell'organizzazione quando non hanno più bisogno di accesso.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID Governance. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.

Passaggi successivi

• Cos'è il provisioning?
• Gestire l'accesso per gli utenti esterni nella gestione entitlement di Microsoft Entra
• Che cos'è il provisioning basato su risorse umane?
• Che cos'è il provisioning delle app?
• Che cos'è il provisioning tra directory?