Zarządzanie dostępem przez migrację modelu roli organizacji do Zarządzanie tożsamością Microsoft Entra
Kontrola dostępu oparta na rolach (RBAC) udostępnia platformę do klasyfikowania użytkowników i zasobów IT. Ta struktura umożliwia jawne ich relacje i prawa dostępu, które są odpowiednie zgodnie z tą klasyfikacją. Na przykład, przypisując do atrybutów użytkownika, które określają stanowisko użytkownika i przypisania projektu, użytkownik może mieć dostęp do narzędzi potrzebnych do zadania użytkownika i danych, które użytkownik musi współtworzyć w określonym projekcie. Gdy użytkownik zakłada inne zadanie i różne przypisania projektu, zmieniając atrybuty określające tytuł zadania użytkownika i projekty automatycznie blokują dostęp do zasobów wymaganych tylko dla poprzedniej pozycji użytkowników.
W usłudze Microsoft Entra ID można używać modeli ról na kilka sposobów, aby zarządzać dostępem na dużą skalę za pośrednictwem ładu tożsamości.
- Za pomocą pakietów dostępu można reprezentować role organizacyjne w organizacji, takie jak "przedstawiciel handlowy". Pakiet dostępu reprezentujący rolę organizacji będzie zawierał wszystkie prawa dostępu, których przedstawiciel handlowy może zwykle potrzebować w wielu zasobach.
- Aplikacje mogą definiować własne role. Jeśli na przykład masz aplikację sprzedaży, a aplikacja zawierała rolę aplikacji "sprzedawca" w manifeście, możesz dołączyć rolę z manifestu aplikacji w pakiecie dostępu. Aplikacje mogą również używać grup zabezpieczeń w scenariuszach, w których użytkownik może mieć wiele ról specyficznych dla aplikacji jednocześnie.
- Role można użyć do delegowania dostępu administracyjnego. Jeśli masz wykaz dla wszystkich pakietów dostępu wymaganych przez sprzedaż, możesz przypisać kogoś, kto będzie odpowiedzialny za ten wykaz, przypisując im rolę specyficzną dla wykazu.
W tym artykule omówiono sposób modelowania ról organizacyjnych przy użyciu pakietów dostępu do zarządzania upoważnieniami, dzięki czemu można migrować definicje ról do identyfikatora Entra firmy Microsoft w celu wymuszenia dostępu.
Migrowanie modelu roli organizacji
W poniższej tabeli przedstawiono, w jaki sposób pojęcia w definicjach ról organizacyjnych, które mogą być znane w innych produktach, odpowiadają możliwościom zarządzania upoważnieniami.
| Koncepcja modelowania ról organizacyjnych | Reprezentacja w zarządzaniu upoważnieniami |
|---|---|
| Zarządzanie rolami delegowanymi | Delegowanie do twórców wykazu |
| Zbieranie uprawnień w co najmniej jednej aplikacji | Tworzenie pakietu dostępu z rolami zasobów |
| Ograniczanie czasu trwania dostępu zapewnianego przez rolę | Ustawianie ustawień cyklu życia zasad pakietu dostępu w celu daty wygaśnięcia |
| Przypisanie indywidualne do roli | Tworzenie bezpośredniego przypisania do pakietu dostępu |
| Przypisywanie ról użytkownikom na podstawie właściwości (takich jak ich dział) | Ustanawianie automatycznego przypisania do pakietu dostępu |
| Użytkownicy mogą żądać i zatwierdzać rolę | Konfigurowanie ustawień zasad dla osób, które mogą zażądać pakietu dostępu |
| Uzyskiwanie dostępu do ponownego certyfikacji członków roli | Ustawianie ustawień przeglądu dostępu cyklicznego w zasadach pakietu dostępu |
| Rozdzielenie obowiązków między rolami | Definiowanie co najmniej dwóch pakietów dostępu jako niezgodnych |
Na przykład organizacja może mieć istniejący model roli organizacji podobny do poniższej tabeli.
| Nazwa roli | Uprawnienia zapewniane przez rolę | Automatyczne przypisywanie do roli | Przypisanie oparte na żądaniach do roli | Rozdzielenie kontroli obowiązków |
|---|---|---|---|---|
| Sprzedawca | Członek zespołu ds. sprzedaży | Tak | Nie. | Brak |
| Menedżer rozwiązań sprzedaży | Uprawnienia roli aplikacji Salesperson i Solution Manager w aplikacji Sales | Brak | Sprzedawca może zażądać, wymaga zatwierdzenia przez menedżera i kwartalnego przeglądu | Osoby żądającej nie mogą być menedżerem kont sprzedaży |
| Menedżer kont sprzedaży | Uprawnienia roli aplikacji Salesperson i Account Manager w aplikacji Sales | Brak | Sprzedawca może zażądać, wymaga zatwierdzenia przez menedżera i kwartalnego przeglądu | Żądanie nie może być menedżerem rozwiązań sprzedaży |
| Pomoc techniczna dotycząca sprzedaży | Takie same uprawnienia jak sprzedawca | Brak | Każdy niesprzedażowy może zażądać, wymaga zatwierdzenia menedżera i kwartalnego przeglądu | Osoby żądającej nie mogą być sprzedawcą |
Może to być reprezentowane w Zarządzanie tożsamością Microsoft Entra jako wykaz pakietów dostępu zawierający cztery pakiety dostępu.
| Pakiet dostępu | Role zasobu | Zasady | Niezgodne pakiety dostępu |
|---|---|---|---|
| Sprzedawca | Członek zespołu ds. sprzedaży | Automatyczne przypisywanie | |
| Menedżer rozwiązań sprzedaży | Rola aplikacji Menedżera rozwiązań w aplikacji Sales | Oparte na żądaniach | Menedżer kont sprzedaży |
| Menedżer kont sprzedaży | Rola aplikacji Menedżera kont w aplikacji Sales | Oparte na żądaniach | Menedżer rozwiązań sprzedaży |
| Pomoc techniczna dotycząca sprzedaży | Członek zespołu ds. sprzedaży | Oparte na żądaniach | Sprzedawca |
W następnych sekcjach opisano proces migracji, tworzenie identyfikatora Entra firmy Microsoft i Zarządzanie tożsamością Microsoft Entra artefaktów w celu zaimplementowania równoważnego dostępu do modelu roli organizacji.
Połączenie aplikacji, do których odwołuje się uprawnienia w rolach organizacyjnych do identyfikatora Entra firmy Microsoft
Jeśli role organizacyjne są używane do przypisywania uprawnień, które kontrolują dostęp do aplikacji SaaS innych niż Microsoft, aplikacji lokalnych lub własnych aplikacji w chmurze, musisz połączyć aplikacje z identyfikatorem Entra firmy Microsoft.
Aby pakiet dostępu reprezentujący rolę organizacyjną mógł odwoływać się do ról aplikacji jako uprawnień do uwzględnienia w roli, dla aplikacji, która ma wiele ról i obsługuje nowoczesne standardy, takie jak SCIM, należy zintegrować aplikację z identyfikatorem Microsoft Entra i upewnić się, że role aplikacji są wymienione w manifeście aplikacji.
Jeśli aplikacja ma tylko jedną rolę, nadal należy zintegrować aplikację z identyfikatorem Microsoft Entra. W przypadku aplikacji, które nie obsługują protokołu SCIM, identyfikator Entra firmy Microsoft może zapisywać użytkowników w istniejącym katalogu aplikacji lub bazie danych SQL albo dodawać użytkowników usługi AD do grupy usługi AD.
Wypełnij schemat Entra firmy Microsoft używany przez aplikacje i reguły określania zakresu użytkowników w rolach organizacyjnych
Jeśli definicje ról zawierają instrukcje formularza "wszyscy użytkownicy z tymi wartościami atrybutów są przypisywani automatycznie" lub "użytkownicy z tymi wartościami atrybutów mogą żądać", musisz upewnić się, że te atrybuty są obecne w identyfikatorze Entra firmy Microsoft.
Możesz rozszerzyć schemat firmy Microsoft Entra, a następnie wypełnić te atrybuty z lokalnej usługi AD, za pośrednictwem usługi Microsoft Entra Połączenie lub z systemu HR, takiego jak Workday lub SuccessFactors.
Tworzenie wykazów dla delegowania
Jeśli ciągła konserwacja ról jest delegowana, możesz delegować administrowanie pakietami dostępu, tworząc wykaz dla każdej części organizacji, do której będziesz delegować.
Jeśli masz wiele katalogów do utworzenia, możesz użyć skryptu programu PowerShell, aby utworzyć każdy wykaz.
Jeśli nie planujesz delegowania administracji pakietów dostępu, możesz zachować pakiety dostępu w jednym wykazie.
Dodawanie zasobów do wykazów
Po zidentyfikowaniu wykazów dodaj aplikacje, grupy lub witryny uwzględnione w pakietach dostępu reprezentujących role organizacji do katalogów.
Jeśli masz wiele zasobów, możesz użyć skryptu programu PowerShell, aby dodać każdy zasób do wykazu.
Tworzenie pakietów dostępu odpowiadających definicjom ról organizacyjnych
Każda definicja roli organizacyjnej może być reprezentowana przy użyciu pakietu dostępu w tym wykazie.
Możesz użyć skryptu programu PowerShell, aby utworzyć pakiet dostępu w katalogu.
Po utworzeniu pakietu dostępu połączysz co najmniej jedną rolę zasobów w katalogu z pakietem dostępu. Reprezentuje to uprawnienia roli organizacyjnej.
Ponadto utworzysz zasady dla przypisania bezpośredniego w ramach tego pakietu dostępu, który może służyć do śledzenia użytkowników, którzy mają już poszczególne przypisania ról organizacji.
Tworzenie przypisań pakietów dostępu dla istniejących przypisań ról organizacji
Jeśli niektórzy użytkownicy mają już członkostwo w rolach organizacyjnych, nie będą otrzymywać za pośrednictwem automatycznego przypisania, należy utworzyć bezpośrednie przypisania dla tych użytkowników do odpowiednich pakietów dostępu.
Jeśli masz wielu użytkowników, którzy potrzebują przypisań, możesz użyć skryptu programu PowerShell, aby przypisać każdego użytkownika do pakietu dostępu. Spowoduje to połączenie użytkowników z zasadami przypisania bezpośredniego.
Dodawanie zasad do tych pakietów dostępu na potrzeby automatycznego przypisywania
Jeśli definicja roli organizacji zawiera regułę opartą na atrybutach użytkownika w celu automatycznego przypisywania i usuwania dostępu na podstawie tych atrybutów, można je przedstawić przy użyciu zasad automatycznego przypisania. Pakiet dostępu może mieć co najwyżej jedną zasadę automatycznego przypisania.
Jeśli masz wiele definicji ról, z których każda ma definicję roli, możesz użyć skryptu programu PowerShell, aby utworzyć wszystkie zasady automatycznego przypisania w każdym pakiecie dostępu.
Ustawianie pakietów dostępu jako niezgodnych w przypadku rozdzielenia obowiązków
Jeśli masz rozdzielenie ograniczeń obowiązków, które uniemożliwiają użytkownikowi podjęcie jednej roli organizacyjnej, gdy już ma inną, możesz uniemożliwić użytkownikowi żądanie dostępu w zarządzaniu upoważnieniami, oznaczając te kombinacje pakietów dostępu jako niezgodne.
Dla każdego pakietu dostępu, który ma być oznaczony jako niezgodny z innym, można użyć skryptu programu PowerShell, aby skonfigurować pakiety dostępu jako niezgodne.
Dodawanie zasad dostępu do pakietów dla użytkowników, którzy będą mogli żądać
Jeśli użytkownicy, którzy jeszcze nie mają roli organizacyjnej, mogą żądać i być zatwierdzani do podjęcia roli, możesz również skonfigurować zarządzanie upoważnieniami, aby umożliwić użytkownikom żądanie pakietu dostępu. Możesz dodać dodatkowe zasady do pakietu dostępu, a w poszczególnych zasadach określ, którzy użytkownicy mogą żądać i którzy muszą zatwierdzić.
Konfigurowanie przeglądów dostępu w zasadach przypisywania pakietów dostępu
Jeśli role organizacyjne wymagają regularnego przeglądu ich członkostwa, możesz skonfigurować cykliczne przeglądy dostępu w zasadach przypisywania bezpośredniego i opartego na żądaniach.