Mengatur akses dengan memigrasikan model peran organisasi ke Tata Kelola ID Microsoft Entra
Kontrol akses berbasis peran (RBAC) menyediakan kerangka kerja untuk mengklasifikasikan pengguna dan sumber daya IT. Kerangka kerja ini memungkinkan Anda untuk membuat hubungan mereka secara eksplisit dan hak akses yang sesuai dengan klasifikasi tersebut. Misalnya, dengan menetapkan ke atribut pengguna yang menentukan jabatan pekerjaan pengguna dan penetapan proyek, pengguna dapat diberikan akses ke alat yang diperlukan untuk pekerjaan dan data pengguna yang perlu dikontribusikan pengguna ke proyek tertentu. Ketika pengguna mengasumsikan pekerjaan yang berbeda dan penetapan proyek yang berbeda, mengubah atribut yang menentukan jabatan dan proyek pengguna secara otomatis memblokir akses ke sumber daya hanya diperlukan untuk posisi pengguna sebelumnya.
Di MICROSOFT Entra ID, Anda dapat menggunakan model peran dalam beberapa cara untuk mengelola akses dalam skala besar melalui tata kelola identitas.
- Anda dapat menggunakan paket akses untuk mewakili peran organisasi di organisasi Anda, seperti "perwakilan penjualan". Paket akses yang mewakili peran organisasi tersebut akan mencakup semua hak akses yang biasanya dibutuhkan perwakilan penjualan, di beberapa sumber daya.
- Aplikasi dapat menentukan peran mereka sendiri. Misalnya, jika Anda memiliki aplikasi penjualan, dan aplikasi tersebut menyertakan peran aplikasi "tenaga penjual" dalam manifesnya, Anda kemudian dapat menyertakan peran tersebut dari manifes aplikasi dalam paket akses. Aplikasi juga dapat menggunakan grup keamanan dalam skenario di mana pengguna dapat memiliki beberapa peran khusus aplikasi secara bersamaan.
- Anda dapat menggunakan peran untuk mendelegasikan akses administratif. Jika Anda memiliki katalog untuk semua paket akses yang diperlukan oleh penjualan, Anda dapat menetapkan seseorang untuk bertanggung jawab atas katalog tersebut, dengan menetapkan peran khusus katalog kepada mereka.
Artikel ini membahas cara memodelkan peran organisasi, menggunakan paket akses pengelolaan pemberian hak, sehingga Anda dapat memigrasikan definisi peran Anda ke ID Microsoft Entra untuk menerapkan akses.
Memigrasikan model peran organisasi
Tabel berikut ini menggambarkan bagaimana konsep dalam definisi peran organisasi yang mungkin Anda kenal dalam produk lain sesuai dengan kemampuan dalam pengelolaan pemberian hak.
| Konsep dalam pemodelan peran organisasi | Representasi dalam Pengelolaan Pemberian Izin |
|---|---|
| Manajemen peran yang didelegasikan | Mendelegasikan ke pembuat katalog |
| Pengumpulan izin di satu atau beberapa aplikasi | Membuat paket akses dengan peran sumber daya |
| Membatasi durasi akses yang disediakan peran | Mengatur pengaturan siklus hidup kebijakan paket akses agar memiliki tanggal kedaluwarsa |
| Penugasan individual ke peran | Membuat penugasan langsung ke paket akses |
| Penetapan peran kepada pengguna berdasarkan properti (seperti departemen mereka) | Menetapkan penugasan otomatis ke paket akses |
| Pengguna dapat meminta dan disetujui untuk peran | Mengonfigurasi pengaturan kebijakan untuk siapa yang dapat meminta paket akses |
| Mengakses sertifikasi ulang anggota peran | Mengatur pengaturan tinjauan akses berulang dalam kebijakan paket akses |
| Pemisahan tugas antar peran | Tentukan dua atau beberapa paket akses sebagai tidak kompatibel |
Misalnya, organisasi mungkin memiliki model peran organisasi yang sudah ada yang mirip dengan tabel berikut.
| Nama Peran | Izin yang disediakan peran | Penugasan otomatis ke peran | Penetapan berbasis permintaan ke peran | Pemisahan pemeriksaan tugas |
|---|---|---|---|---|
| Penjual | Anggota Tim Penjualan | Ya | Tidak | Tidak ada |
| Manajer Solusi Penjualan | Izin peran aplikasi Salesperson, dan Manajer solusi dalam aplikasi Penjualan | Tidak ada | Staf penjualan dapat meminta, memerlukan persetujuan manajer dan peninjauan triwulanan | Pemohon tidak dapat menjadi Manajer Akun Penjualan |
| Manajer Akun Penjualan | Izin peran aplikasi Salesperson, dan Manajer akun dalam aplikasi Penjualan | Tidak ada | Staf penjualan dapat meminta, memerlukan persetujuan manajer dan peninjauan triwulanan | Permintaan tidak dapat menjadi Manajer Solusi Penjualan |
| Dukungan Penjualan | Izin yang sama dengan Salesperson | Tidak ada | Setiap nonsalesperson dapat meminta, memerlukan persetujuan manajer dan peninjauan triwulanan | Pemohon tidak boleh menjadi Salesperson |
Ini dapat diwakili dalam Tata Kelola ID Microsoft Entra sebagai katalog paket akses yang berisi empat paket akses.
| Paket akses | Peran Sumber Daya | Kebijakan | Paket akses yang tidak kompatibel |
|---|---|---|---|
| Penjual | Anggota Tim Penjualan | Penetapan otomatis | |
| Manajer Solusi Penjualan | Peran aplikasi manajer solusi dalam aplikasi Penjualan | Berbasis permintaan | Manajer Akun Penjualan |
| Manajer Akun Penjualan | Peran aplikasi manajer akun dalam aplikasi Penjualan | Berbasis permintaan | Manajer Solusi Penjualan |
| Dukungan Penjualan | Anggota Tim Penjualan | Berbasis permintaan | Penjual |
Bagian berikutnya menguraikan proses migrasi, membuat ID Microsoft Entra dan Tata Kelola ID Microsoft Entra artefak untuk mengimplementasikan akses yang setara dari model peran organisasi.
Koneksi aplikasi yang izinnya dirujuk dalam peran organisasi ke ID Microsoft Entra
Jika peran organisasi Anda digunakan untuk menetapkan izin yang mengontrol akses ke aplikasi non-Microsoft SaaS, aplikasi lokal, atau aplikasi cloud Anda sendiri, maka Anda harus menghubungkan aplikasi Anda ke ID Microsoft Entra.
Agar paket akses yang mewakili peran organisasi dapat merujuk ke peran aplikasi sebagai izin untuk disertakan dalam peran, untuk aplikasi yang memiliki beberapa peran dan mendukung standar modern seperti SCIM, Anda harus mengintegrasikan aplikasi dengan ID Microsoft Entra dan memastikan bahwa peran aplikasi tercantum dalam manifes aplikasi.
Jika aplikasi hanya memiliki satu peran, maka Anda masih harus mengintegrasikan aplikasi dengan ID Microsoft Entra. Untuk aplikasi yang tidak mendukung SCIM, MICROSOFT Entra ID dapat menulis pengguna ke direktori aplikasi yang sudah ada atau database SQL, atau menambahkan pengguna AD ke dalam grup AD.
Mengisi skema Microsoft Entra yang digunakan oleh aplikasi dan untuk aturan cakupan pengguna dalam peran organisasi
Jika definisi peran Anda menyertakan pernyataan formulir "semua pengguna dengan nilai atribut ini ditetapkan ke peran secara otomatis" atau "pengguna dengan nilai atribut ini diizinkan untuk meminta", maka Anda harus memastikan atribut tersebut ada di ID Microsoft Entra.
Anda dapat memperluas skema Microsoft Entra lalu mengisi atribut tersebut baik dari AD lokal, melalui Microsoft Entra Koneksi, atau dari sistem SDM seperti Workday atau SuccessFactors.
Membuat katalog untuk delegasi
Jika pemeliharaan peran yang sedang berlangsung didelegasikan, maka Anda dapat mendelegasikan administrasi paket akses dengan membuat katalog untuk setiap bagian organisasi yang akan Anda delegasikan.
Jika Anda memiliki beberapa katalog untuk dibuat, Anda dapat menggunakan skrip PowerShell untuk membuat setiap katalog.
Jika Anda tidak berencana untuk mendelegasikan administrasi paket akses, maka Anda dapat menyimpan paket akses dalam satu katalog.
Menambahkan sumber daya ke katalog
Sekarang setelah Anda mengidentifikasi katalog, tambahkan aplikasi, grup, atau situs yang disertakan dalam paket akses yang mewakili peran organisasi ke katalog.
Jika Anda memiliki banyak sumber daya, Anda dapat menggunakan skrip PowerShell untuk menambahkan setiap sumber daya ke katalog.
Membuat paket akses yang sesuai dengan definisi peran organisasi
Setiap definisi peran organisasi dapat diwakili dengan paket akses dalam katalog tersebut.
Anda dapat menggunakan skrip PowerShell untuk membuat paket akses dalam katalog.
Setelah Anda membuat paket akses, maka Anda menautkan satu atau beberapa peran sumber daya dalam katalog ke paket akses. Ini mewakili izin peran organisasi.
Selain itu, Anda akan membuat kebijakan untuk penetapan langsung, sebagai bagian dari paket akses yang dapat digunakan untuk melacak pengguna yang sudah memiliki penetapan peran organisasi individual.
Membuat penetapan paket akses untuk penetapan peran organisasi individual yang ada
Jika beberapa pengguna Anda sudah memiliki keanggotaan peran organisasi, yang tidak akan mereka terima melalui penugasan otomatis, maka Anda harus membuat penugasan langsung untuk pengguna tersebut ke paket akses yang sesuai.
Jika Anda memiliki banyak pengguna yang memerlukan penugasan, Anda dapat menggunakan skrip PowerShell untuk menetapkan setiap pengguna ke paket akses. Ini akan menautkan pengguna ke kebijakan penetapan langsung.
Menambahkan kebijakan ke paket akses tersebut untuk penetapan otomatis
Jika definisi peran organisasi Anda menyertakan aturan berdasarkan atribut pengguna untuk menetapkan dan menghapus akses secara otomatis berdasarkan atribut tersebut, Anda dapat mewakilinya menggunakan kebijakan penugasan otomatis. Paket akses dapat memiliki paling banyak satu kebijakan penugasan otomatis.
Jika Anda memiliki banyak definisi peran yang masing-masing memiliki definisi peran, Anda dapat menggunakan skrip PowerShell untuk membuat setiap kebijakan penetapan otomatis di setiap paket akses.
Mengatur paket akses sebagai tidak kompatibel untuk pemisahan tugas
Jika Anda memiliki pemisahan batasan tugas yang mencegah pengguna mengambil satu peran organisasi ketika mereka sudah memiliki peran lain, maka Anda dapat mencegah pengguna meminta akses dalam pengelolaan pemberian hak dengan menandai kombinasi paket akses tersebut sebagai tidak kompatibel.
Untuk setiap paket akses yang akan ditandai sebagai tidak kompatibel dengan paket lain, Anda dapat menggunakan skrip PowerShell untuk mengonfigurasi paket akses sebagai tidak kompatibel.
Menambahkan kebijakan untuk mengakses paket agar pengguna diizinkan untuk meminta
Jika pengguna yang belum memiliki peran organisasi diizinkan untuk meminta dan disetujui untuk mengambil peran, maka Anda juga dapat mengonfigurasi pengelolaan pemberian hak untuk memungkinkan pengguna meminta paket akses. Anda dapat menambahkan kebijakan tambahan ke paket akses, dan di setiap kebijakan menentukan pengguna mana yang dapat meminta dan siapa yang harus menyetujui.
Mengonfigurasi tinjauan akses dalam kebijakan penetapan paket akses
Jika peran organisasi Anda memerlukan peninjauan reguler keanggotaan mereka, Anda dapat mengonfigurasi tinjauan akses berulang dalam kebijakan penugasan berbasis permintaan dan langsung.