标识生命周期管理是什么?

  • 项目

Identity Governance 可帮助组织在以下需求之间实现平衡:工作效率 - 用户可以多快地访问所需的资源(例如在刚入职时)? 安全性 - 用户的访问权限会不断发生怎样的变化(例如,由于该用户的雇佣状态发生变化)?

标识生命周期管理是 Identity Governance 的基石,大规模的有效监管需要将应用程序的标识生命周期管理基础结构现代化。 标识生命周期管理旨在自动化和管理组织附属个人的整个数字身份生命周期进程。

Diagram of the Microsoft Entra relationship in provisioning with other sources and targets.

什么是数字标识?

数字标识是关于由一个或多个计算资源使用的实体的信息,例如操作系统或应用程序。 这些实体可以代表人员、组织、应用程序或设备。 标识通常是通过与其相关联的特性(如名称、标识符和用于访问管理的角色等属性)进行描述的。 这些特性可帮助系统做出决策,例如决定谁有权访问哪些内容或者谁可以使用此资源。

管理数字标识的生命周期

管理数字标识是一项复杂的任务,尤其是当它将相关的实际对象(例如某位组织的员工以及该员工与组织的关系)与数字表示形式相关联时。 在小型组织中,保留需要标识的个人的数字表示形式可以采用手动操作。 例如,当某人被雇用或合同工到达时,IT 专家可以在目录中为其创建帐户,并为其分配所需的访问权限。 但是,在中型和大型组织中,自动化可让组织更有效地进行缩放并保持标识的准确性。

在组织中建立标识生命周期管理的典型过程遵循以下步骤:

  1. 确定是否已经存在组织将其视为权威的记录系统 - 数据源。 例如,组织可能具有 Workday 或 SuccessFactors 等 HR 系统 ,并且该系统在提供当前的员工列表及其某些属性(如员工姓名或部门)方面具有权威性。 此外,诸如 Exchange Online 之类的电子邮件系统可能在提供其他属性(如员工电子邮件地址)方面具有权威性。

  2. 将那些记录系统与 Microsoft Entra ID 连接,并解决 Microsoft Entra ID 中的现有用户与记录系统之间的任何不一致问题。 例如,Microsoft Entra ID 可能填充了已过时的数据,例如不再隶属于组织的前员工的用户帐户。

  3. Microsoft Entra ID 拥有正确的用户后,将 Microsoft Entra ID 连接到应用程序使用的一个或多个目录和数据库,并解决这些目录与 Microsoft Entra ID 中记录数据系统的副本之间的任何不一致问题。 例如,先前断开连接的应用程序目录可能具有过时的数据,例如前员工的帐户。

  4. 确定在没有记录系统的情况下,可以使用哪些过程来提供权威信息。 例如,如果只有访问者的数字标识,但组织没有可提供给访问者的数据库,则可能需要找到另一种方法来确定何时不再需要访问者的数字标识。

  5. 确保从记录系统或其他进程进行的更改通过 Microsoft Entra ID 复制到每个需要更新的目录或数据库。

用于表示员工和具有组织关系的其他人员的标识生命周期管理

为员工或具有组织关系的其他人员(如合同工或学生)计划标识生命周期管理时,许多组织会对“加入、移动和离开”过程进行建模,如下所示:

  • 加入 - 当个人需要访问权限时,这些应用程序需要标识,如果此人还没有标识,则可能需要创建一个新的数字标识
  • 移动 - 当个人在边界之间移动时,需要向其数字标识添加额外的访问授权或从中删除访问授权
  • 离开 - 当个人不需要访问权限时,可能需要删除访问权限,随后,除了审计或取证目的之外,应用程序可能不再需要标识

例如,如果一个新员工加入了你的组织,并且该员工从未加入过你的组织,则该员工需要一个新的数字标识,以 Microsoft Entra ID 中的用户帐户表示。 创建此帐户属于“加入”过程,如果有记录系统(例如可以表示新员工何时入职的 Workday),则会自动执行此操作。 之后,如果组织中的某员工有职位变动,比如从销售部转到市场营销部,这就是“移动”过程。 在此移动过程中,需要删除他们在销售组织中的访问权限,他们已不再需要这些权限,然后授予他们当前所需的市场营销组织的权限。

来宾的标识生命周期管理

合作伙伴、供应商和其他来宾的其他标识还需要类似的流程,以便他们能够协作或有权访问资源。 Microsoft Entra 权利管理利用 Microsoft Entra 外部 ID 企业对企业 (B2B) 提供与需要访问组织资源的组织外部人员进行协作所需的生命周期控制。 使用 Microsoft Entra B2B 解决方案时,外部用户会向其主目录或标识提供者进行身份验证,但在组织目录中会有一个表示形式。 可以通过组织目录中的该表示形式为用户分配资源访问权限。 权利管理使组织外部的人员能够请求访问权限,并根据需要为他们创建数字标识。 当用户失去访问权限时,会自动删除这些数字标识。

Microsoft Entra ID 如何自动执行标识生命周期管理?

在Microsoft Entra ID 治理中,可以使用以下方法自动执行标识生命周期进程:

  • 来自组织 HR 源的入站设置,从 Workday 和 SuccessFactors 检索辅助角色信息,以自动维护 Active Directory 和 Microsoft Entra ID 中的用户标识。
  • 可使用目录间预配在 Microsoft Entra ID 中自动创建和维护 Active Directory 中已存在的用户。
  • 生命周期工作流,可自动执行某些关键事件中运行的工作流任务,例如,安排新员工在组织中开始工作之前、他们在组织中工作期间更改状态时以及他们离开组织时。 例如,可以配置工作流,向新用户的管理员发送一封带有临时访问密码的电子邮件,或者在第一天向该用户发送欢迎电子邮件。
  • 权利管理中的自动分配策略,可根据对用户属性的更改情况,添加和删除用户的组成员身份、应用程序角色和 SharePoint 站点角色。 还可以根据请求,使用权利管理Privileged Identity Management 将用户分配到组、Teams、Microsoft Entra 角色、Azure 资源角色和 SharePoint Online 站点。
  • 一旦用户处于具有正确组成员身份和应用角色分配的 Microsoft Entra ID 中, 用户预配 就可以在其他应用程序中创建、更新和删除用户帐户,并通过 SCIM、LDAP 和 SQL 将连接器连接到数百个云和本地应用程序。
  • 对于来宾生命周期,可在权利管理中指定允许其用户请求访问组织资源的其他组织。 当其中一个用户的请求获得批准时,权利管理会自动将其作为 B2B 来宾添加到组织的目录中,并为其分配适当的访问权限。 B2B 来宾用户的访问权限过期或被撤销时,权利管理会自动从组织的目录中删除该用户。
  • 访问评审,可对组织中已存在的现有来宾进行定期评审,并在这些用户不再需要访问权限时将其从组织的目录中移除。

许可要求

使用此功能需要 Microsoft Entra ID Governance 许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

后续步骤