Was ist Identity Lifecycle Management?

Identity Governance hilft Organisationen, ein Gleichgewicht herzustellen zwischen der Produktivität – wie schnell eine Person auf die benötigten Ressourcen zugreifen kann (beispielsweise, wenn sie der Organisation beitritt) – Und Sicherheit – Wie sollte sich ihr Zugang im Laufe der Zeit ändern, z. B. aufgrund von Änderungen des Beschäftigungsstatus der betreffenden Person?

Identity Lifecycle Management ist die Grundlage für Identity Governance. Eine effektive Governance im großen Stil erfordert eine Modernisierung der Identity Lifecycle Management-Infrastruktur für Anwendungen. Das Ziel bei Identity Lifecycle Management besteht darin, den gesamten Lebenszyklusprozess der digitalen Identität zu automatisieren und zu verwalten.

Was ist eine digitale Identität?

Bei einer digitalen Identität handelt es sich um Informationen zu einer Entität, die von einer oder mehreren Computingressourcen genutzt wird, z. B. von Betriebssystemen oder Anwendungen. Diese Entitäten können Personen, Organisationen, Anwendungen oder Geräte sein. Die Identität wird normalerweise durch die ihr zugeordneten Attribute beschrieben, beispielsweise Namen, Bezeichner und Eigenschaften (darunter etwa Rollen für die Zugriffsverwaltung). Anhand dieser Attribute kann in Systemen beispielsweise festgelegt werden, wer worauf Zugriff hat und wer diese Ressource nutzen darf.

Verwalten des Lebenszyklus von digitalen Identitäten

Die Verwaltung von digitalen Identitäten ist eine komplexe Aufgabe. Dies ist vor allem der Fall, weil hierbei reale Objekte, z. B. eine Person und ihre Beziehung zu einer Organisation (Mitarbeiter), mit einer digitalen Darstellung korreliert werden. In kleinen Organisationen kann die Verwaltung der digitalen Darstellung von Personen, die eine Identität benötigen, ein manueller Prozess sein. Wenn eine Person eingestellt wird oder ein Auftragnehmer eintrifft, kann ein IT-Spezialist ein Konto in einem Verzeichnis erstellen und die benötigten Zugriffsberechtigungen für die Person zuweisen. In mittleren und großen Unternehmen kann die Automatisierung eine Organisation aber in die Lage versetzen, die Skalierung effektiver durchzuführen und die Identitäten präzise zu pflegen.

Bei einem typischen Prozess zum Einrichten von Identity Lifecycle Management in einer Organisation werden die folgenden Schritte ausgeführt:

1. Ermitteln, ob bereits „Systems of Record“ vorhanden sind: Dies ist die Bezeichnung für Datenquellen, die von der Organisation als autoritativ angesehen werden. Beispielsweise kann die Organisation über Workday als System für die Personalverwaltung verfügen. Dieses System wird in Bezug auf die Bereitstellung der aktuellen Mitarbeiterliste als Autorität angesehen, einschließlich einiger zugehöriger Eigenschaften wie der Name oder die Abteilung eines Mitarbeiters. Ein anderes Beispiel ist ein E-Mail-System, z.B. Exchange Online, das als autoritativ in Bezug auf die E-Mail-Adresse eines Mitarbeiters angesehen wird.

2. Verbinden diese Datensatzsysteme mit Microsoft Entra-ID, und lösen Sie alle Inkonsistenzen zwischen vorhandenen Benutzern in Microsoft Entra ID und den Datensatzsystemen auf. Beispielsweise wurde die Microsoft Entra-ID möglicherweise mit veralteten Daten aufgefüllt, z. B. mit einem Benutzerkonto für einen ehemaligen Mitarbeiter, der nicht mehr mit der Organisation verbunden ist.

3. Sobald die Microsoft Entra-ID über die richtigen Benutzer verfügt, verbinden Sie die Microsoft Entra-ID mit einem oder mehreren Verzeichnissen und Datenbanken, die von Anwendungen verwendet werden, und lösen Sie alle Inkonsistenzen zwischen diesen Verzeichnissen und der Kopie des Systems der Datensatzdaten in der Microsoft Entra-ID auf. Beispielsweise kann ein Verzeichnis veraltete Daten enthalten, etwa ein Konto für einen ausgeschiedenen Mitarbeiter, das nicht mehr benötigt wird.

4. Ermitteln, welche Prozesse verwendet werden können, um bei einem fehlenden System of Record autoritative Informationen bereitzustellen. Wenn beispielsweise digitale Identitäten für Besucher verwendet werden und die Organisation über keine Datenbank für Besucher verfügt, muss ggf. auf andere Weise ermittelt werden, wann eine digitale Identität für einen Besucher nicht mehr benötigt wird.

5. Stellen Sie sicher, dass Änderungen aus dem Aufzeichnungssystem oder anderen Prozessen durch Microsoft Entra ID in alle Verzeichnisse oder Datenbanken repliziert werden, die eine Aktualisierung erfordern.

Identity Lifecycle Management zur Darstellung von Mitarbeitern und anderen Personen mit einer Beziehung zur Organisation

Beim Planen von Identity Lifecycle Management für Mitarbeiter oder andere Personen mit einer Beziehung zur Organisation, z. B. Auftragnehmer oder Studenten, nutzen viele Organisationen einen Prozess nach dem Muster „Eintritt, Versetzung und Austritt“:

• Beitritt – wenn eine Person in einen Bereich eintritt, in dem sie Zugriff benötigt, wird für diese Anwendungen eine Identität benötigt, so dass eine neue digitale Identität erstellt werden muss, wenn noch keine vorhanden ist
• Wechsel – wenn sich eine Person zwischen Grenzen bewegt, die das Hinzufügen oder Entfernen zusätzlicher Zugriffsberechtigungen zu ihrer digitalen Identität erfordern
• Austritt – wenn eine Person aus dem Bereich austritt, in dem sie Zugriff benötigte, muss der Zugriff allenfalls entfernt werden, und anschließend wird die Identität von Anwendungen nicht mehr benötigt, es sei denn zu Überprüfungs- oder forensischen Zwecken

Wenn beispielsweise ein neuer Mitarbeiter in Ihre Organisation eintritt, der bisher noch keinerlei Beziehung zur Organisation hatte, benötigt er eine neue digitale Identität (ein Benutzerkonto in Microsoft Entra ID). Die Erstellung dieses Kontos ist ein Vorgang vom Typ „Eintritt“, der automatisiert werden kann, wenn ein System of Record vorhanden ist (z. B. Workday). Mit diesem System kann angegeben werden, wann der neue Mitarbeiter mit der Arbeit beginnt. Wenn ein Mitarbeiter in Ihrer Organisation dann beispielsweise aus der Vertriebs- in die Marketingabteilung wechselt, ist dies ein Vorgang vom Typ „Übergang“. Dieser Wechsel würde es erforderlich machen, die nicht mehr benötigten Zugriffsrechte für die Vertriebsabteilung zu entfernen und die erforderlichen Rechte für die Marketingabteilung zu gewähren.

Identity Lifecycle Management für Gäste

Ähnliche Prozesse sind auch für zusätzliche Identitäten, für Partner, Lieferanten und andere Gäste erforderlich, damit sie zusammenarbeiten oder Zugriff auf Ressourcen haben können. Microsoft Entra Entitlement Management nutzt Microsoft Entra External ID Business-to-Business (B2B), um die Lebenszykluskontrollen zu gewährleisten, die für die Zusammenarbeit mit Personen außerhalb Ihrer Organisation erforderlich sind, die Zugriff auf die Ressourcen Ihrer Organisation benötigen. Externe Benutzer*innen verwenden Microsoft Entra B2B für die Authentifizierung gegenüber ihrem Basisverzeichnis oder Identitätsanbieter, aber sie werden in Ihrem Verzeichnis der Organisation dargestellt. Die Darstellung in Ihrem Verzeichnis der Organisation ermöglicht dem Benutzer den Zugriff auf Ihre Ressourcen. Bei der Berechtigungsverwaltung können Personen außerhalb Ihrer Organisation Zugriff anfordern, und bei Bedarf wird für sie dann eine digitale Identität erstellt. Diese digitalen Identitäten werden automatisch entfernt, wenn der Benutzer keinen Zugriff mehr hat.

Wie automatisiert Microsoft Entra ID die Verwaltung des Identitätslebenszyklus?

In Microsoft Entra ID Governance können Sie Identitätslebenszyklusprozesse mithilfe von:

• Eingehende Bereitstellung aus den HR-Quellen, Ihrer Organisation, ruft Arbeitsinformationen von Workday und SuccessFactors ab, um benutzeridentitäten in Active Directory und Microsoft Entra ID automatisch zu Standard.
• Benutzer*innen, die in Active Directory bereits vorhanden sind, können in Microsoft Entra ID per Bereitstellung zwischen Verzeichnissen automatisch erstellt und verwaltet werden.
• Lebenszyklusworkflows automatisieren Workflowaufgaben, die bei bestimmten wichtigen Ereignissen ausgeführt werden, z. B. bevor ein neuer Mitarbeiter mit der Arbeit in der Organisation beginnen soll, während sie den Status während ihrer Zeit in der Organisation ändern und die Organisation verlassen. Beispielsweise kann ein Workflow so konfiguriert werden, dass am ersten Tag gesendet eine E-Mail mit einem temporären Kennwort an den Manager eines neuen Benutzers oder eine Willkommens-E-Mail an den Benutzer wird.
• Hinzufügen und Entfernen von Gruppenmitgliedschaften, Anwendungsrollen und SharePoint-Websiterollen eines Benutzers basierend auf Änderungen an den Attributen des Benutzers. Benutzer können auf Anfrage auch mithilfe der Berechtigungsverwaltung und Privileged Identity Management Gruppen, Teams, Microsoft Entra-Rollen, Azure-Ressourcenrollen und SharePoint Online-Sites zugewiesen werden.
• Sobald sich die Benutzer in der Microsoft Entra-ID mit den richtigen Gruppenmitgliedschaften und App-Rollenzuweisungen befinden, kann die Benutzerbereitstellung Benutzerkonten in anderen Anwendungen erstellen, aktualisieren und entfernen, mit Connectors zu Hunderten von Cloud- und lokalen Anwendungen über SCIM, LDAP und SQL.
• Für den Gastlebenszyklus können Sie in der Berechtigungsverwaltung die anderen Organisationen angeben, deren Benutzer den Zugriff auf die Ressourcen Ihrer Organisation anfordern dürfen. Wenn eine dieser Benutzer genehmigt wurde, werden sie automatisch von der Berechtigungsverwaltung als B2B-Gast zum Verzeichnis Ihrer Organisation hinzugefügt und dem entsprechenden Zugriff zugewiesen. Und die Berechtigungsverwaltung entfernt den B2B-Gastbenutzer automatisch aus dem Verzeichnis Ihrer Organisation, wenn seine Zugriffsrechte ablaufen oder widerrufen werden.
• Access-Rezensionen automatisieren wiederkehrende Überprüfungen vorhandener Gäste, die sich bereits im Verzeichnis Ihrer Organisation befinden, und entfernt diese Benutzer aus dem Verzeichnis Ihrer Organisation, wenn sie keinen Zugriff mehr benötigen.

Lizenzanforderungen

Die Nutzung dieser Funktion erfordert Microsoft Entra ID Governance Lizenzen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Governance-Lizenzierungsgrundlagen.

Nächste Schritte

• Was ist die Identitätsbereitstellung?
• Steuern des Zugriffs für externe Benutzer in der Microsoft Entra-Berechtigungsverwaltung
• Worum handelt es sich bei der personalbasierten Bereitstellung?
• Worum handelt es sich bei der App-Bereitstellung?
• Worum handelt es sich bei der Bereitstellung zwischen Verzeichnissen?