O que é o gerenciamento do ciclo de vida de identidades?

O Identity Governance ajuda as organizações a alcançar um equilíbrio entre produtividade – Com que rapidez uma pessoa pode ter acesso aos recursos de que precisa, por exemplo, quando entra em minha organização? E segurança – Como o acesso deve mudar ao longo do tempo, como devido a alterações ao status de emprego da pessoa?

O gerenciamento do ciclo de vida de identidades é a base para o Identity Governance e a governança efetiva em escala requer modernizar a infraestrutura de gerenciamento do ciclo de vida de identidades para aplicativos. O objetivo do Gerenciamento do Ciclo de Vida de Identidades é automatizar e gerenciar todo o processo de ciclo de vida de identidade digital para indivíduos afiliados a uma organização.

O que é uma identidade digital?

Uma identidade digital é uma informação em uma entidade usada por um ou mais recursos de computação, como sistemas operacionais ou aplicativos. Essas entidades podem representar pessoas, organizações, aplicativos ou dispositivos. A identidade geralmente é descrita pelos atributos associados a ela, como o nome, identificadores e propriedades, como funções usadas para gerenciamento de acesso. Esses atributos ajudam os sistemas a fazer as determinações, que têm acesso ao que e a quem tem permissão para usar esse ou aquele recurso.

Gerenciar o ciclo de vida de identidades digitais

O gerenciamento de identidades digitais é uma tarefa complexa, principalmente como ele relaciona a correlação de objetos do mundo real, como uma pessoa e seu relacionamento com uma organização, como um funcionário da organização, com uma representação digital. Em pequenas organizações, manter a representação digital de pessoas que precisam ter uma identidade pode ser um processo manual. Por exemplo, quando alguém é contratado ou um prestador de serviços chega, um especialista em TI pode criar uma conta para ele em um diretório e atribuir a ele o acesso necessário. No entanto, em organizações de médio e grande porte, a automação pode permitir que a organização seja escalada com mais eficiência e mantenha as identidades precisas.

O processo típico para estabelecer o gerenciamento do ciclo de vida de identidades em uma organização segue estas etapas:

1. Determinar se já existem sistemas de registro: fontes de dados que a organização trata como autoritativa. Por exemplo, a organização pode ter um sistema de RH Workday ou SuccessFactors, e esse sistema é autoritativo para fornecer a lista atual de funcionários e algumas propriedades deles, como o nome ou o departamento do funcionário. Além disso, um sistema de email, como o Exchange Online, pode ser autoritativo para atributos adicionais, um endereço de email do funcionário.

2. Conecte esses sistemas de registro com o Microsoft Entra ID e resolva quaisquer inconsistências entre os usuários existentes no Microsoft Entra ID e os sistemas de registro. Por exemplo, o Microsoft Entra ID pode ter sido preenchido com dados agora obsoletos, como uma conta de usuário para um ex-funcionário que não é mais afiliado à organização.

3. Depois que o Microsoft Entra ID tiver os usuários corretos, conecte o Microsoft Entra ID a um ou mais diretórios e bancos de dados usados por aplicativos e resolva quaisquer inconsistências entre esses diretórios e a cópia do sistema de dados de registro no Microsoft Entra ID. Por exemplo, um diretório de um aplicativo que foi desconectado anteriormente pode conter dados obsoletos, como a conta de um ex-funcionário.

4. Determine quais processos podem ser usados para fornecer informações autorizadas na ausência de um sistema de registro. Por exemplo, se houver identidades digitais para visitantes, mas a organização não tiver nenhum banco de dados para visitantes, talvez seja necessário encontrar uma forma alternativa de determinar quando a identidade digital de um visitante não é mais necessária.

5. Certifique-se de que as alterações do sistema de registro ou de outros processos sejam replicadas pelo Microsoft Entra ID para cada um dos diretórios ou bancos de dados que exigem uma atualização.

Gerenciamento do ciclo de vida de identidades para representar funcionários e outros indivíduos com uma relação organizacional

Ao planejar o gerenciamento do ciclo de vida de identidades para funcionários ou outros indivíduos com uma relação organizacional, como um prestador de serviço ou aluno, muitas organizações modelam o processo "ingressar, mover e sair" da seguinte forma:

• Ingressar - quando uma pessoa entra no escopo da necessidade de acesso, uma identidade é exigida por esses aplicativos, ou seja, uma nova identidade digital talvez precise ser criada se ainda não houver uma disponível
• Mover - quando uma pessoa se move entre limites, que exigem autorizações de acesso adicionais a serem adicionadas ou removidas à sua identidade digital
• Sair - quando uma pessoa sai do escopo de necessidade de acesso, talvez o acesso precise ser removido e, subsequentemente, a identidade pode não ser mais exigida por aplicativos que não sirvam para auditoria ou perícia forense

Assim, por exemplo, se um novo funcionário ingressar na sua organização e nunca tiver sido afiliado a ela antes, esse funcionário exigirá uma nova identidade digital, representada como uma conta de usuário no seu Microsoft Entra ID. A criação dessa conta se enquadraria em um processo "Ingressar", que poderia ser automatizado se houvesse um sistema de registro como o Workday que pudesse indicar quando o novo funcionário começaria a trabalhar. Mais tarde, se sua organização tiver um funcionário que mudou, digamos, do departamento de Vendas para o de Marketing, ele se enquadrará em um processo "Mover". Isso exigiria a remoção dos direitos de acesso que ele tinha na organização de Vendas, que não é mais necessário, e a concessão de direitos na organização de Marketing de que ele precisa agora.

Gerenciamento do ciclo de vida de identidades para convidados

Processos semelhantes também são necessários para identidades adicionais, para parceiros, fornecedores e outros convidados, para permitir que eles colaborem ou tenham acesso a recursos. O gerenciamento de direitos do Microsoft Entra utiliza o Microsoft Entra External ID business-to-business (B2B) para fornecer os controles de ciclo de vida necessários para colaborar com pessoas de fora da organização que precisam de acesso aos recursos da organização. Com o Microsoft Entra B2B, os usuários externos autenticam-se em seu diretório inicial ou provedor de identidade, mas têm uma representação no diretório da sua organização. A representação no diretório da sua organização permite que o usuário receba acesso aos seus recursos. O gerenciamento de direitos permite que pessoas de fora da sua organização solicitem acesso, criando uma identidade digital para elas, conforme necessário. Essas identidades digitais são removidas automaticamente quando o usuário perde o acesso.

Como o Microsoft Entra ID automatiza o gerenciamento do ciclo de vida de identidades?

No Microsoft Entra ID Governance, você pode automatizar processos de ciclo de vida de identidade usando:

• O provisionamento de entrada das fontes de RH da sua organização recupera informações de trabalho do Workday e do SuccessFactors para manter automaticamente as identidades do usuário no Active Directory e no Microsoft Entra ID.
• Os usuários já presentes no Active Directory podem ser criados e mantidos automaticamente no Microsoft Entra ID usando provisionamento entre diretórios.
• Os fluxos de trabalho do ciclo de vida automatizam as tarefas de fluxo de trabalho que são executadas em determinados eventos-chave, como antes de um novo funcionário ser agendado para começar a trabalhar na organização, à medida que mudam de status durante seu tempo na organização e quando saem da organização. Por exemplo, um fluxo de trabalho pode ser configurado para enviar um e-mail com uma Senha de Acesso Temporária ao gerente de um novo usuário, ou um e-mail de boas-vindas ao usuário, no primeiro dia.
• As políticas de atribuição automática no gerenciamento de direitos adicionam e removem associações de grupo, funções de aplicativo e funções de site do SharePoint de um usuário, com base nas alterações nos atributos do usuário. Os usuários também podem, mediante solicitação, ser atribuídos a grupos, equipes, funções do Microsoft Entra, funções de recursos do Azure e sites do SharePoint Online, usando o gerenciamento de direitos e Privileged Identity Management.
• Uma vez que os usuários estejam no Microsoft Entra ID com as associações de grupo e atribuições de função de aplicativo corretas, o provisionamento de usuários pode criar, atualizar e remover contas de usuário em outros aplicativos, com conectores para centenas de aplicativos locais e na nuvem via SCIM, LDAP e SQL.
• Para o ciclo de vida do convidado, você pode especificar no gerenciamento de direitos as outras organizações cujos usuários têm permissão para solicitar acesso aos recursos da sua organização. Quando a solicitação de um desses usuários é aprovada, eles são automaticamente adicionados pelo gerenciamento de direitos como um convidado B2B ao diretório da sua organização e recebem acesso apropriado. E o gerenciamento de direitos remove automaticamente o usuário convidado B2B do diretório da sua organização quando seus direitos de acesso expiram ou são revogados.
• As revisões do Access automatizam as revisões recorrentes de convidados existentes que já estão no diretório da organização e removem esses usuários do diretório da organização quando eles não precisam mais de acesso.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.

Próximas etapas

• O que é provisionamento?
• Controlar o acesso para usuários externos no gerenciamento de direitos do Microsoft Entra
• O que é provisionamento controlado por RH?
• O que é provisionamento de aplicativos?
• O que é provisionamento entre diretórios?