Wat is identiteitslevenscyclusbeheer?

Met Identity Governance kunnen organisaties een balans vinden tussen productiviteit: hoe snel kunnen personen toegang krijgen tot de resources die ze nodig hebben, bijvoorbeeld wanneer ze deel uit gaan maken van mijn organisatie? En veiligheid: hoe moet de toegang in de loop van de tijd worden aangepast, bijvoorbeeld als gevolg van wijzigingen in de werknemersstatus van die persoon?

Beheer van identiteitslevenscycli vormt de basis voor Identity Governance en voor een effectief beheer op schaal moet de infrastructuur voor het identiteitslevenscyclusbeheer voor toepassingen worden gemoderniseerd. Identiteitslevenscyclusbeheer is gericht op het automatiseren en beheren van het volledige levenscyclusproces voor digitale identiteiten voor personen die zijn gekoppeld aan een organisatie.

Diagram of the Microsoft Entra relationship in provisioning with other sources and targets.

Wat is een digitale identiteit?

Een digitale identiteit is informatie over een entiteit die wordt gebruikt door een of meer computerresources, zoals besturingssystemen of toepassingen. Deze entiteiten kunnen personen, organisaties, toepassingen of apparaten vertegenwoordigen. De identiteit wordt meestal beschreven door de kenmerken die eraan zijn gekoppeld, zoals de naam, id's en eigenschappen zoals rollen die worden gebruikt voor toegangsbeheer. Deze kenmerken helpen systemen te bepalen wie er toegang heeft tot wat en wie die resource mag gebruiken.

De levenscyclus van digitale identiteiten beheren

Het beheren van digitale identiteiten is een complexe taak, met name omdat het te maken heeft met zaken in de echte wereld, zoals een persoon en zijn relatie met een organisatie als werknemer van die organisatie. Deze worden digitaal vertegenwoordigd. In kleine organisaties kan het bijhouden van de digitale weergave van personen die een identiteit vereisen een handmatig proces zijn. Wanneer bijvoorbeeld iemand wordt aangenomen of wanneer een contractant arriveert, kan een IT-specialist voor deze persoon een account in een map maken en de benodigde toegang toewijzen aan deze persoon. In middelgrote bedrijven kan automatisering de organisatie echter helpen om effectiever te schalen en de identiteiten op een nauwkeurige manier te beheren.

Het gebruikelijke proces voor het opzetten van Beheer van identiteitslevenscycli volgt de volgende stappen:

  1. Bepaal of er al recordsystemen zijn: gegevensbronnen die door de organisatie als leidend worden beschouwd. De organisatie kan bijvoorbeeld een HR-systeem hebben, zoals Workday of SuccessFactors, en dat systeem is gezaghebbend voor het opgeven van de huidige lijst met werknemers en sommige van hun eigenschappen, zoals de naam of afdeling van de werknemer. Daarnaast kan een e-mailsysteem zoals Exchange Online gezaghebbend zijn voor een extra kenmerk, het e-mailadres van de werknemer.

  2. Verbinding maken die systemen van record met Microsoft Entra ID en los eventuele inconsistenties tussen bestaande gebruikers in Microsoft Entra ID en de recordsystemen op. Microsoft Entra-id kan bijvoorbeeld zijn gevuld met nu verouderde gegevens, zoals een gebruikersaccount voor een voormalige werknemer die niet meer is gekoppeld aan de organisatie.

  3. Zodra Microsoft Entra ID de juiste gebruikers heeft, verbindt u Microsoft Entra-id met een of meer directory's en databases die door toepassingen worden gebruikt en lost u inconsistenties tussen deze mappen en de kopie van het systeem van recordgegevens in Microsoft Entra ID op. Een map voor een toepassing die eerder is verbroken, kan bijvoorbeeld verouderde gegevens bevatten, zoals een account voor een voormalige werknemer.

  4. Bepaal welke processen kunnen worden gebruikt om leidende informatie te leveren als er nog geen recordsysteem is. Als er bijvoorbeeld digitale identiteiten voor bezoekers zijn, maar de organisatie geen database voor bezoekers heeft, kan het nodig zijn om te zoeken naar een andere manier om te bepalen wanneer een digitale identiteit voor een bezoeker niet meer nodig is.

  5. Zorg ervoor dat wijzigingen van het recordsysteem of andere processen worden gerepliceerd via Microsoft Entra-id naar elk van de directory's of databases waarvoor een update is vereist.

Beheer van identiteitslevenscycli voor het weergeven van werknemers en andere personen die een relatie hebben met een organisatie

Bij het plannen van het beheer van identiteitslevenscycli voor werknemers of andere personen die een relatie hebben met een organisatie, zoals een contractant of student, gebruiken veel organisaties het volgende proces 'toetreden, verplaatsen en verlaten'.

  • Toetreden: wanneer een persoon voor het eerst toegang nodig heeft, is er een identiteit nodig voor de betreffende toepassingen, waardoor er mogelijk een nieuwe digitale identiteit moet worden gemaakt als deze nog niet beschikbaar is
  • Verplaatsen: wanneer een persoon andere taken krijgt waarvoor extra toegangsmachtigingen moeten worden toegevoegd aan of verwijderd uit hun digitale identiteit
  • Verlaten: wanneer een persoon geen toegang meer nodig heeft, kan het zijn dat de toegang moet worden verwijderd en is het mogelijk dat de identiteit alleen nog noodzakelijk is voor audit- of forensische doeleinden

Als een nieuwe werknemer bijvoorbeeld lid wordt van uw organisatie en die werknemer nog nooit eerder is gekoppeld aan uw organisatie, heeft die werknemer een nieuwe digitale identiteit nodig, vertegenwoordigd als een gebruikersaccount in Microsoft Entra ID. Het maken van dit account is een 'toetredingsproces', wat kan worden geautomatiseerd als er een recordsysteem zoals Workday wordt gebruikt dat kan aangeven wanneer de nieuwe werknemer met zijn functie begint. Als uw organisatie een medewerker in de toekomst verplaatst van de verkoop- naar de marketingafdeling, is er sprake van een 'verplaatsingsproces'. Hiervoor moet u de toegangsrechten die hij of zij had op de verkoopafdeling en die hij niet meer nodig heeft, verwijderen. Vervolgens moet u hem of haar de rechten verlenen die hij of zij op de marketingafdeling nodig heeft.

Beheer van identiteitslevenscycli voor gasten

Vergelijkbare processen zijn ook nodig voor extra identiteiten, voor partners, leveranciers en andere gasten, om ze in staat te stellen samen te werken of toegang te hebben tot resources. Microsoft Entra-rechtenbeheer maakt gebruik van Microsoft Entra Externe ID business-to-business (B2B) om de levenscycluscontroles te bieden die nodig zijn om samen te werken met personen buiten uw organisatie die toegang nodig hebben tot de resources van uw organisatie. Met Microsoft Entra B2B verifiëren externe gebruikers zich bij hun basismap of id-provider, maar hebben ze een weergave in de adreslijst van uw organisatie. Met de weergave in de adreslijst van uw organisatie kan de gebruiker toegang krijgen tot uw resources. Met rechtenbeheer kunnen personen buiten uw organisatie toegang aanvragen en kan er zo nodig een digitale identiteit worden gemaakt. Deze digitale identiteiten worden automatisch verwijderd wanneer de gebruiker geen toegang meer nodig heeft.

Hoe automatiseert Microsoft Entra ID identiteitslevenscyclusbeheer?

In Microsoft Entra ID-governance kunt u processen voor de levenscyclus van identiteiten automatiseren met behulp van:

  • Binnenkomende inrichting vanuit hr-bronnen van uw organisatie, haalt werkrolgegevens op uit Workday en SuccessFactors om automatisch gebruikersidentiteiten te onderhouden in zowel Active Directory als Microsoft Entra-id.
  • Gebruikers die al aanwezig zijn in Active Directory, kunnen automatisch worden gemaakt en onderhouden in Microsoft Entra-id met behulp van inrichting tussen directory's.
  • Werkstromen voor levenscyclus automatiseren werkstroomtaken die worden uitgevoerd op bepaalde belangrijke gebeurtenissen, zoals voordat een nieuwe werknemer wordt gepland om aan de slag te gaan in de organisatie, wanneer ze de status wijzigen tijdens hun tijd in de organisatie en wanneer ze de organisatie verlaten. Een werkstroom kan bijvoorbeeld worden geconfigureerd voor het verzenden van een e-mail met een tijdelijke toegangspas aan de manager van een nieuwe gebruiker, of een welkomstbericht aan de gebruiker op de eerste dag.
  • Beleidsregels voor automatische toewijzing in rechtenbeheer voegen groepslidmaatschappen van een gebruiker, toepassingsrollen en SharePoint-siterollen toe en verwijderen op basis van wijzigingen in de kenmerken van de gebruiker. Gebruikers kunnen ook op verzoek worden toegewezen aan groepen, Teams, Microsoft Entra-rollen, Azure-resourcerollen en SharePoint Online-sites, met behulp van rechtenbeheer en Privileged Identity Management.
  • Zodra de gebruikers zich in Microsoft Entra ID bevinden met de juiste groepslidmaatschappen en app-roltoewijzingen, kunnen gebruikersinrichting gebruikersaccounts in andere toepassingen maken, bijwerken en verwijderen, met connectors naar honderden cloud- en on-premises toepassingen via SCIM, LDAP en SQL.
  • Voor de levenscyclus van gasten kunt u opgeven in rechtenbeheer de andere organisaties waarvan gebruikers toegang mogen aanvragen tot de resources van uw organisatie. Wanneer een van de aanvragen van deze gebruikers wordt goedgekeurd, worden ze automatisch toegevoegd door rechtenbeheer als B2B-gast aan de adreslijst van uw organisatie en de juiste toegang toegewezen. En rechtenbeheer verwijdert automatisch de B2B-gastgebruiker uit de adreslijst van uw organisatie wanneer hun toegangsrechten verlopen of worden ingetrokken.
  • Met toegangsbeoordelingen worden terugkerende beoordelingen van bestaande gasten die zich al in de adreslijst van uw organisatie bevinden, geautomatiseerd en worden deze gebruikers verwijderd uit de adreslijst van uw organisatie wanneer ze geen toegang meer nodig hebben.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

Volgende stappen