Hozzáférés szabályozása szervezeti szerepkörmodell migrálásával Microsoft Entra ID-kezelés

A szerepköralapú hozzáférés-vezérlés (RBAC) keretrendszert biztosít a felhasználók és az informatikai erőforrások besorolásához. Ez a keretrendszer lehetővé teszi, hogy explicit módon adja meg a kapcsolatukat és az adott besorolásnak megfelelő hozzáférési jogosultságokat. Ha például hozzárendel egy felhasználói attribútumot, amely megadja a felhasználói feladat címét és a projekt-hozzárendeléseket, a felhasználó hozzáférést kaphat a felhasználó feladatához szükséges eszközökhöz, valamint azokhoz az adatokhoz, amelyekhez a felhasználónak hozzá kell járulnia egy adott projekthez. Ha a felhasználó más feladatot és különböző projekt-hozzárendeléseket feltételez, a felhasználó beosztását és a projekteket meghatározó attribútumok módosítása automatikusan letiltja a hozzáférést azokhoz az erőforrásokhoz, amelyek csak az előző felhasználók számára szükségesek.

A Microsoft Entra ID-ban több módon is használhat szerepkörmodelleket a hozzáférés nagy léptékű kezeléséhez az identitásszabályozással.

• Hozzáférési csomagokkal képviselheti a szervezet szervezeti szerepköreit, például az "értékesítési képviselőt". Az adott szervezeti szerepkört képviselő hozzáférési csomag magában foglalná az összes hozzáférési jogosultságot, amelyekre egy értékesítési képviselőnek általában szüksége lehet, több erőforrásra kiterjedően.
• Az alkalmazások saját szerepköröket határozhatnak meg. Ha például volt egy értékesítési alkalmazása, és az alkalmazás belefoglalta a jegyzékbe az "értékesítő" alkalmazásszerepkört, akkor ezt a szerepkört egy hozzáférési csomagba is felveheti az alkalmazásjegyzékből. Az alkalmazások olyan helyzetekben is használhatnak biztonsági csoportokat, ahol egy felhasználó egyszerre több alkalmazásspecifikus szerepkörrel is rendelkezhet.
• A rendszergazdai hozzáférés delegálásához szerepköröket használhat. Ha rendelkezik katalógussal az értékesítéshez szükséges összes hozzáférési csomaghoz, hozzárendelhet valakit az adott katalógusért felelős személyhez egy katalógusspecifikus szerepkör hozzárendelésével.

Ez a cikk bemutatja, hogyan modellezheti a szervezeti szerepköröket jogosultságkezelési hozzáférési csomagok használatával, hogy a hozzáférés kényszerítése érdekében migrálhassa a szerepkördefiníciókat a Microsoft Entra-azonosítóba.

Szervezeti szerepkörmodell migrálása

Az alábbi táblázat bemutatja, hogyan felelnek meg a más termékekben ismerős szervezeti szerepkör-definíciók fogalmai a jogosultságkezelés képességeinek.

A szervezeti szerepkörök modellezésének fogalma	Képviselet a jogosultságkezelésben
Delegált szerepkör-kezelés	Delegálás katalóguskészítőknek
Engedélyek gyűjteménye egy vagy több alkalmazásban	Hozzáférési csomag létrehozása erőforrás-szerepkörökkel
A szerepkörökhöz való hozzáférés időtartamának korlátozása	Hozzáférési csomag szabályzat-életciklus-beállításainak beállítása lejárati dátumra
Szerepkörhöz való egyéni hozzárendelés	Közvetlen hozzárendelés létrehozása hozzáférési csomaghoz
Szerepkörök hozzárendelése a felhasználókhoz tulajdonságok (például részlegük) alapján	Automatikus hozzárendelés létrehozása hozzáférési csomaghoz
A felhasználók szerepkört kérhetnek és hagyhatnak jóvá	Hozzáférési csomag igénylésére jogosultak házirend-beállításainak konfigurálása
Szerepkörtagok hozzáférésének újraengedélyezése	Ismétlődő hozzáférés-ellenőrzési beállítások beállítása hozzáférési csomag szabályzatában
Feladatok elkülönítése a szerepkörök között	Két vagy több hozzáférési csomag definiálása nem kompatibilisként

Előfordulhat például, hogy egy szervezet rendelkezik az alábbi táblázathoz hasonló szervezeti szerepkörmodellel.

Role Name	A szerepkör által biztosított engedélyek	Automatikus hozzárendelés a szerepkörhöz	Kérelemalapú hozzárendelés a szerepkörhöz	A vámellenőrzések elkülönítése
Üzletkötő	Az értékesítési csapat tagja	Igen	Nem	None
Értékesítési megoldáskezelő	A Salesperson és a Solution Manager alkalmazás szerepkör engedélyei a Sales alkalmazásban	None	Az értékesítő kérhet, vezetői jóváhagyást és negyedéves felülvizsgálatot igényelhet	A kérelmező nem lehet Sales Account Manager
Sales Account Manager	A Salesperson és az Account Manager alkalmazás szerepkör engedélyei a Sales alkalmazásban	None	Az értékesítő kérhet, vezetői jóváhagyást és negyedéves felülvizsgálatot igényelhet	A kérelem nem lehet Sales Solution Manager
Értékesítési támogatás	Ugyanazok az engedélyek, mint egy értékesítő	None	Bármely nem értékesítő kérhet, vezetői jóváhagyást és negyedéves felülvizsgálatot igényel	A kérelmező nem lehet értékesítő

Ez Microsoft Entra ID-kezelés négy hozzáférési csomagot tartalmazó hozzáférési csomagkatalógusként jelenhet meg.

Hozzáférési csomag	Erőforrás-szerepkörök	Policies	Inkompatibilis hozzáférési csomagok
Üzletkötő	Az értékesítési csapat tagja	Automatikus hozzárendelés
Értékesítési megoldáskezelő	Megoldáskezelő alkalmazásszerepkör a Sales alkalmazásban	Kérelemalapú	Sales Account Manager
Sales Account Manager	Fiókkezelői alkalmazásszerepkör a Sales alkalmazásban	Kérelemalapú	Értékesítési megoldáskezelő
Értékesítési támogatás	Az értékesítési csapat tagja	Kérelemalapú	Üzletkötő

A következő szakaszok ismertetik a migrálás folyamatát, létrehozva a Microsoft Entra-azonosítót és Microsoft Entra ID-kezelés összetevőket a szervezeti szerepkörmodell egyenértékű hozzáférésének implementálásához.

Csatlakozás olyan alkalmazások, amelyek engedélyére a szervezeti szerepkörök hivatkoznak a Microsoft Entra ID-ra

Ha a szervezeti szerepkörök a nem Microsoft SaaS-alkalmazásokhoz, helyszíni alkalmazásokhoz vagy saját felhőalkalmazásokhoz való hozzáférést szabályozó engedélyek hozzárendelésére szolgálnak, akkor az alkalmazásokat a Microsoft Entra-azonosítóhoz kell csatlakoztatnia.

Ahhoz, hogy egy szervezeti szerepkört képviselő hozzáférési csomag hivatkozhasson egy alkalmazás szerepkörére, mint a szerepkörbe belefoglalandó engedélyekre, egy olyan alkalmazás esetében, amely több szerepkörrel rendelkezik, és támogatja az olyan modern szabványokat, mint az SCIM, integrálnia kell az alkalmazást a Microsoft Entra-azonosítóval, és gondoskodnia kell arról, hogy az alkalmazás szerepkörei szerepeljenek az alkalmazásjegyzékben.

Ha az alkalmazás csak egyetlen szerepkörrel rendelkezik, akkor is integrálnia kell az alkalmazást a Microsoft Entra-azonosítóval. Az SCIM-t nem támogató alkalmazások esetén a Microsoft Entra ID képes felhasználókat írni egy alkalmazás meglévő könyvtárába vagy SQL-adatbázisába, vagy AD-felhasználókat vehet fel egy AD-csoportba.

Töltse ki az alkalmazások által használt Microsoft Entra-sémát és a szervezeti szerepkörök felhasználói hatókörkezelési szabályait

Ha a szerepkördefiníciók tartalmazzák a "minden ilyen attribútumértékkel rendelkező felhasználó automatikusan hozzá lesz rendelve a szerepkörhöz" vagy "az ilyen attribútumértékekkel rendelkező felhasználók kérhetik", akkor gondoskodnia kell arról, hogy ezek az attribútumok megtalálhatók legyenek a Microsoft Entra-azonosítóban.

Kibővítheti a Microsoft Entra sémát, majd feltöltheti ezeket az attribútumokat a helyszíni AD-ből, a Microsoft Entra Csatlakozás keresztül, vagy egy HR-rendszerből, például a Workdayből vagy a SuccessFactorsből.

Katalógusok létrehozása delegáláshoz

Ha a szerepkörök folyamatos karbantartása delegálva van, akkor a hozzáférési csomagok felügyeletét úgy delegálhatja, hogy létrehoz egy katalógust a szervezet minden olyan részére, amelybe delegálni fog.

Ha több katalógust szeretne létrehozni, powerShell-szkripttel hozhatja létre az egyes katalógusokat.

Ha nem tervezi a hozzáférési csomagok felügyeletének delegálását, akkor a hozzáférési csomagokat egyetlen katalógusban tarthatja.

Erőforrások hozzáadása a katalógusokhoz

Most, hogy azonosította a katalógusokat, adja hozzá a szervezeti szerepköröket képviselő hozzáférési csomagokban szereplő alkalmazásokat, csoportokat vagy webhelyeket a katalógusokhoz.

Ha sok erőforrással rendelkezik, powerShell-szkripttel adhat hozzá minden erőforrást egy katalógushoz.

Szervezeti szerepkör-definícióknak megfelelő hozzáférési csomagok létrehozása

Minden szervezeti szerepkör-definíció megjeleníthető egy hozzáférési csomaggal a katalógusban.

PowerShell-szkripttel létrehozhat egy hozzáférési csomagot egy katalógusban.

Miután létrehozott egy hozzáférési csomagot, csatolja a katalógusban lévő erőforrások egy vagy több szerepkörét a hozzáférési csomaghoz. Ez a szervezeti szerepkör engedélyeit jelöli.

Emellett létrehoz egy szabályzatot a közvetlen hozzárendeléshez, ennek a hozzáférési csomagnak a részeként, amellyel nyomon követheti azokat a felhasználókat, akik már rendelkeznek egyéni szervezeti szerepkör-hozzárendelésekkel.

Hozzáférési csomag-hozzárendelések létrehozása meglévő egyéni szervezeti szerepkör-hozzárendelésekhez

Ha néhány felhasználója már rendelkezik szervezeti szerepkör-tagsággal, és nem kapják meg őket automatikus hozzárendeléssel, akkor közvetlen hozzárendeléseket kell létrehoznia ezekhez a felhasználókhoz a megfelelő hozzáférési csomagokhoz.

Ha sok felhasználóhoz van szüksége hozzárendelésre, powerShell-szkripttel hozzárendelheti az egyes felhasználókat egy hozzáférési csomaghoz. Ez összekapcsolja a felhasználókat a közvetlen hozzárendelési szabályzattal.

Szabályzatok hozzáadása ezekhez a hozzáférési csomagokhoz automatikus hozzárendeléshez

Ha a szervezeti szerepkör definíciója tartalmaz egy olyan szabályt, amely a felhasználó attribútumai alapján automatikusan hozzárendeli és eltávolítja a hozzáférést ezen attribútumok alapján, ezt egy automatikus hozzárendelési szabályzattal jelölheti. Egy hozzáférési csomag legfeljebb egy automatikus hozzárendelési szabályzattal rendelkezhet.

Ha számos szerepkördefinícióval rendelkezik, amelyek mindegyike rendelkezik szerepkördefinícióval, powerShell-szkripttel minden egyes hozzáférési csomagban létrehozhat minden automatikus hozzárendelési szabályzatot .

A hozzáférési csomagok beállítása nem kompatibilisként a vámok elkülönítéséhez

Ha különválasztja a kötelezettségeket, amelyek megakadályozzák, hogy a felhasználó egy szervezeti szerepkört vállaljon, amikor már van egy másik, akkor megakadályozhatja, hogy a felhasználó hozzáférést kérjen a jogosultságkezelésben, ha a hozzáférési csomag kombinációit nem kompatibilisként jelöli meg.

Minden olyan hozzáférési csomag esetében, amelyet nem kompatibilisként szeretne megjelölni egy másikkal, PowerShell-szkripttel inkompatibilisként konfigurálhatja a hozzáférési csomagokat.

Szabályzatok hozzáadása a kéréshez engedélyezni kívánt csomagok eléréséhez

Ha azok a felhasználók, akik még nem rendelkeznek szervezeti szerepkörrel, kérhetik és hagyhatják jóvá a szerepkört, akkor a jogosultságkezelést úgy is konfigurálhatja, hogy a felhasználók hozzáférési csomagot igényelhessenek. További szabályzatokat is hozzáadhat egy hozzáférési csomaghoz, és minden szabályzatban megadhatja, hogy mely felhasználók igényelhetnek és kinek kell jóváhagynia őket.

Hozzáférési felülvizsgálatok konfigurálása a hozzáférési csomag hozzárendelési szabályzataiban

Ha a szervezeti szerepkörei rendszeres felülvizsgálatot igényelnek a tagságukról, a kérelemalapú és a közvetlen hozzárendelési szabályzatokban konfigurálhatja az ismétlődő hozzáférési felülvizsgálatokat .

További lépések

• Mi a Microsoft Entra jogosultságkezelése?
• Szabályozási szabályzatok definiálása
• Alkalmazás integrálása a Microsoft Entra-azonosítóval
• Szabályozási szabályzatok üzembe helyezése