Hozzáférés szabályozása szervezeti szerepkörmodell migrálásával Microsoft Entra ID-kezelés
A szerepköralapú hozzáférés-vezérlés (RBAC) keretrendszert biztosít a felhasználók és az informatikai erőforrások besorolásához. Ez a keretrendszer lehetővé teszi, hogy explicit módon adja meg a kapcsolatukat és az adott besorolásnak megfelelő hozzáférési jogosultságokat. Ha például hozzárendel egy felhasználói attribútumot, amely megadja a felhasználói feladat címét és a projekt-hozzárendeléseket, a felhasználó hozzáférést kaphat a felhasználó feladatához szükséges eszközökhöz, valamint azokhoz az adatokhoz, amelyekhez a felhasználónak hozzá kell járulnia egy adott projekthez. Ha a felhasználó más feladatot és különböző projekt-hozzárendeléseket feltételez, a felhasználó beosztását és a projekteket meghatározó attribútumok módosítása automatikusan letiltja a hozzáférést azokhoz az erőforrásokhoz, amelyek csak az előző felhasználók számára szükségesek.
A Microsoft Entra ID-ban több módon is használhat szerepkörmodelleket a hozzáférés nagy léptékű kezeléséhez az identitásszabályozással.
- Hozzáférési csomagokkal képviselheti a szervezet szervezeti szerepköreit, például az "értékesítési képviselőt". Az adott szervezeti szerepkört képviselő hozzáférési csomag magában foglalná az összes hozzáférési jogosultságot, amelyekre egy értékesítési képviselőnek általában szüksége lehet, több erőforrásra kiterjedően.
- Az alkalmazások saját szerepköröket határozhatnak meg. Ha például volt egy értékesítési alkalmazása, és az alkalmazás belefoglalta a jegyzékbe az "értékesítő" alkalmazásszerepkört, akkor ezt a szerepkört egy hozzáférési csomagba is felveheti az alkalmazásjegyzékből. Az alkalmazások olyan helyzetekben is használhatnak biztonsági csoportokat, ahol egy felhasználó egyszerre több alkalmazásspecifikus szerepkörrel is rendelkezhet.
- A rendszergazdai hozzáférés delegálásához szerepköröket használhat. Ha rendelkezik katalógussal az értékesítéshez szükséges összes hozzáférési csomaghoz, hozzárendelhet valakit az adott katalógusért felelős személyhez egy katalógusspecifikus szerepkör hozzárendelésével.
Ez a cikk bemutatja, hogyan modellezheti a szervezeti szerepköröket jogosultságkezelési hozzáférési csomagok használatával, hogy a hozzáférés kényszerítése érdekében migrálhassa a szerepkördefiníciókat a Microsoft Entra-azonosítóba.
Szervezeti szerepkörmodell migrálása
Az alábbi táblázat bemutatja, hogyan felelnek meg a más termékekben ismerős szervezeti szerepkör-definíciók fogalmai a jogosultságkezelés képességeinek.
Előfordulhat például, hogy egy szervezet rendelkezik az alábbi táblázathoz hasonló szervezeti szerepkörmodellel.
Role Name | A szerepkör által biztosított engedélyek | Automatikus hozzárendelés a szerepkörhöz | Kérelemalapú hozzárendelés a szerepkörhöz | A vámellenőrzések elkülönítése |
---|---|---|---|---|
Üzletkötő | Az értékesítési csapat tagja | Igen | Nem | None |
Értékesítési megoldáskezelő | A Salesperson és a Solution Manager alkalmazás szerepkör engedélyei a Sales alkalmazásban | None | Az értékesítő kérhet, vezetői jóváhagyást és negyedéves felülvizsgálatot igényelhet | A kérelmező nem lehet Sales Account Manager |
Sales Account Manager | A Salesperson és az Account Manager alkalmazás szerepkör engedélyei a Sales alkalmazásban | None | Az értékesítő kérhet, vezetői jóváhagyást és negyedéves felülvizsgálatot igényelhet | A kérelem nem lehet Sales Solution Manager |
Értékesítési támogatás | Ugyanazok az engedélyek, mint egy értékesítő | None | Bármely nem értékesítő kérhet, vezetői jóváhagyást és negyedéves felülvizsgálatot igényel | A kérelmező nem lehet értékesítő |
Ez Microsoft Entra ID-kezelés négy hozzáférési csomagot tartalmazó hozzáférési csomagkatalógusként jelenhet meg.
Hozzáférési csomag | Erőforrás-szerepkörök | Policies | Inkompatibilis hozzáférési csomagok |
---|---|---|---|
Üzletkötő | Az értékesítési csapat tagja | Automatikus hozzárendelés | |
Értékesítési megoldáskezelő | Megoldáskezelő alkalmazásszerepkör a Sales alkalmazásban | Kérelemalapú | Sales Account Manager |
Sales Account Manager | Fiókkezelői alkalmazásszerepkör a Sales alkalmazásban | Kérelemalapú | Értékesítési megoldáskezelő |
Értékesítési támogatás | Az értékesítési csapat tagja | Kérelemalapú | Üzletkötő |
A következő szakaszok ismertetik a migrálás folyamatát, létrehozva a Microsoft Entra-azonosítót és Microsoft Entra ID-kezelés összetevőket a szervezeti szerepkörmodell egyenértékű hozzáférésének implementálásához.
Csatlakozás olyan alkalmazások, amelyek engedélyére a szervezeti szerepkörök hivatkoznak a Microsoft Entra ID-ra
Ha a szervezeti szerepkörök a nem Microsoft SaaS-alkalmazásokhoz, helyszíni alkalmazásokhoz vagy saját felhőalkalmazásokhoz való hozzáférést szabályozó engedélyek hozzárendelésére szolgálnak, akkor az alkalmazásokat a Microsoft Entra-azonosítóhoz kell csatlakoztatnia.
Ahhoz, hogy egy szervezeti szerepkört képviselő hozzáférési csomag hivatkozhasson egy alkalmazás szerepkörére, mint a szerepkörbe belefoglalandó engedélyekre, egy olyan alkalmazás esetében, amely több szerepkörrel rendelkezik, és támogatja az olyan modern szabványokat, mint az SCIM, integrálnia kell az alkalmazást a Microsoft Entra-azonosítóval, és gondoskodnia kell arról, hogy az alkalmazás szerepkörei szerepeljenek az alkalmazásjegyzékben.
Ha az alkalmazás csak egyetlen szerepkörrel rendelkezik, akkor is integrálnia kell az alkalmazást a Microsoft Entra-azonosítóval. Az SCIM-t nem támogató alkalmazások esetén a Microsoft Entra ID képes felhasználókat írni egy alkalmazás meglévő könyvtárába vagy SQL-adatbázisába, vagy AD-felhasználókat vehet fel egy AD-csoportba.
Töltse ki az alkalmazások által használt Microsoft Entra-sémát és a szervezeti szerepkörök felhasználói hatókörkezelési szabályait
Ha a szerepkördefiníciók tartalmazzák a "minden ilyen attribútumértékkel rendelkező felhasználó automatikusan hozzá lesz rendelve a szerepkörhöz" vagy "az ilyen attribútumértékekkel rendelkező felhasználók kérhetik", akkor gondoskodnia kell arról, hogy ezek az attribútumok megtalálhatók legyenek a Microsoft Entra-azonosítóban.
Kibővítheti a Microsoft Entra sémát, majd feltöltheti ezeket az attribútumokat a helyszíni AD-ből, a Microsoft Entra Csatlakozás keresztül, vagy egy HR-rendszerből, például a Workdayből vagy a SuccessFactorsből.
Katalógusok létrehozása delegáláshoz
Ha a szerepkörök folyamatos karbantartása delegálva van, akkor a hozzáférési csomagok felügyeletét úgy delegálhatja, hogy létrehoz egy katalógust a szervezet minden olyan részére, amelybe delegálni fog.
Ha több katalógust szeretne létrehozni, powerShell-szkripttel hozhatja létre az egyes katalógusokat.
Ha nem tervezi a hozzáférési csomagok felügyeletének delegálását, akkor a hozzáférési csomagokat egyetlen katalógusban tarthatja.
Erőforrások hozzáadása a katalógusokhoz
Most, hogy azonosította a katalógusokat, adja hozzá a szervezeti szerepköröket képviselő hozzáférési csomagokban szereplő alkalmazásokat, csoportokat vagy webhelyeket a katalógusokhoz.
Ha sok erőforrással rendelkezik, powerShell-szkripttel adhat hozzá minden erőforrást egy katalógushoz.
Szervezeti szerepkör-definícióknak megfelelő hozzáférési csomagok létrehozása
Minden szervezeti szerepkör-definíció megjeleníthető egy hozzáférési csomaggal a katalógusban.
PowerShell-szkripttel létrehozhat egy hozzáférési csomagot egy katalógusban.
Miután létrehozott egy hozzáférési csomagot, csatolja a katalógusban lévő erőforrások egy vagy több szerepkörét a hozzáférési csomaghoz. Ez a szervezeti szerepkör engedélyeit jelöli.
Emellett létrehoz egy szabályzatot a közvetlen hozzárendeléshez, ennek a hozzáférési csomagnak a részeként, amellyel nyomon követheti azokat a felhasználókat, akik már rendelkeznek egyéni szervezeti szerepkör-hozzárendelésekkel.
Hozzáférési csomag-hozzárendelések létrehozása meglévő egyéni szervezeti szerepkör-hozzárendelésekhez
Ha néhány felhasználója már rendelkezik szervezeti szerepkör-tagsággal, és nem kapják meg őket automatikus hozzárendeléssel, akkor közvetlen hozzárendeléseket kell létrehoznia ezekhez a felhasználókhoz a megfelelő hozzáférési csomagokhoz.
Ha sok felhasználóhoz van szüksége hozzárendelésre, powerShell-szkripttel hozzárendelheti az egyes felhasználókat egy hozzáférési csomaghoz. Ez összekapcsolja a felhasználókat a közvetlen hozzárendelési szabályzattal.
Szabályzatok hozzáadása ezekhez a hozzáférési csomagokhoz automatikus hozzárendeléshez
Ha a szervezeti szerepkör definíciója tartalmaz egy olyan szabályt, amely a felhasználó attribútumai alapján automatikusan hozzárendeli és eltávolítja a hozzáférést ezen attribútumok alapján, ezt egy automatikus hozzárendelési szabályzattal jelölheti. Egy hozzáférési csomag legfeljebb egy automatikus hozzárendelési szabályzattal rendelkezhet.
Ha számos szerepkördefinícióval rendelkezik, amelyek mindegyike rendelkezik szerepkördefinícióval, powerShell-szkripttel minden egyes hozzáférési csomagban létrehozhat minden automatikus hozzárendelési szabályzatot .
A hozzáférési csomagok beállítása nem kompatibilisként a vámok elkülönítéséhez
Ha különválasztja a kötelezettségeket, amelyek megakadályozzák, hogy a felhasználó egy szervezeti szerepkört vállaljon, amikor már van egy másik, akkor megakadályozhatja, hogy a felhasználó hozzáférést kérjen a jogosultságkezelésben, ha a hozzáférési csomag kombinációit nem kompatibilisként jelöli meg.
Minden olyan hozzáférési csomag esetében, amelyet nem kompatibilisként szeretne megjelölni egy másikkal, PowerShell-szkripttel inkompatibilisként konfigurálhatja a hozzáférési csomagokat.
Szabályzatok hozzáadása a kéréshez engedélyezni kívánt csomagok eléréséhez
Ha azok a felhasználók, akik még nem rendelkeznek szervezeti szerepkörrel, kérhetik és hagyhatják jóvá a szerepkört, akkor a jogosultságkezelést úgy is konfigurálhatja, hogy a felhasználók hozzáférési csomagot igényelhessenek. További szabályzatokat is hozzáadhat egy hozzáférési csomaghoz, és minden szabályzatban megadhatja, hogy mely felhasználók igényelhetnek és kinek kell jóváhagynia őket.
Hozzáférési felülvizsgálatok konfigurálása a hozzáférési csomag hozzárendelési szabályzataiban
Ha a szervezeti szerepkörei rendszeres felülvizsgálatot igényelnek a tagságukról, a kérelemalapú és a közvetlen hozzárendelési szabályzatokban konfigurálhatja az ismétlődő hozzáférési felülvizsgálatokat .
További lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: