Gouverner le cycle de vie des employés et des invités avec la Gouvernance Microsoft Entra ID

Identity Governance aide les organisations à trouver un équilibre entre productivité (vitesse à laquelle des personnes peuvent accéder aux ressources dont elles ont besoin, par exemple pour joindre mon organisation) et sécurité (comment leur accès doit évoluer au fil du temps, par exemple à la suite de modifications de leur statut professionnel).

Gestion du cycle de vie des identités

La gestion du cycle de vie des identités constitue le fondement d’Identity Governance. Une gouvernance efficace à grande échelle implique la modernisation de l’infrastructure de gestion du cycle de vie des identités pour les applications. La gestion du cycle de vie des identités vise à automatiser et à gérer l’intégralité du processus de cycle de vie des identités numériques pour les personnes affiliées à une organisation.

Diagramme de la relation Microsoft Entra dans l’approvisionnement avec d’autres sources et cibles.

Qu’est-ce qu’une identité numérique ?

Une identité numérique est une information sur une entité utilisée par une ou plusieurs ressources de calcul comme des systèmes d’exploitation ou des applications. Ces entités peuvent représenter des personnes, des organisations, des applications ou des appareils. L’identité est généralement décrite par les attributs qui lui sont associés comme le nom, les identificateurs et les propriétés telles que les rôles utilisés pour la gestion des accès. Ces attributs permettent aux systèmes de déterminer notamment qui a accès à quoi et qui est autorisé à utiliser cette ressource.

Gestion du cycle de vie des identités numériques

La gestion des identités numériques est une tâche complexe, en particulier en ce qui concerne la corrélation des objets réels, tels qu’une personne et sa relation avec une organisation en tant qu’employé de celle-ci, avec une représentation numérique. Dans les petites organisations, la représentation numérique des individus qui nécessitent une identité peut être un processus manuel. Par exemple, quand une personne est recrutée ou qu’un prestataire intervient, un spécialiste informatique peut leur créer un compte dans un annuaire et leur attribuer l’accès dont ils ont besoin. Toutefois, dans les organisations de taille moyenne et grande, l’automatisation peut permettre à l’organisation de se mettre à l’échelle plus efficacement et d’assurer la précision des identités.

La procédure classique d’établissement de la gestion du cycle de vie des identités dans une organisation est la suivante :

  1. Déterminez s’il existe déjà des systèmes d’enregistrement : des sources de données que l’organisation considère comme faisant autorité. Par exemple, l’organisation peut avoir un système RH tel que Workday ou SuccessFactors, et ce système fait autorité pour fournir la liste actuelle des employés et certaines de leurs propriétés, telles que le nom ou le service de l’employé. De plus, un système de messagerie tel qu’Exchange Online peut faire autorité pour les attributs supplémentaires, l’adresse e-mail d’un employé.

  2. Connecter ces systèmes d’enregistrement avec l’ID Microsoft Entra et résolvez les incohérences entre les utilisateurs existants dans Microsoft Entra ID et les systèmes d’enregistrement. Par exemple, l’ID Microsoft Entra a peut-être été rempli avec des données désormais obsolètes, telles qu’un compte d’utilisateur pour un ancien employé qui n’est plus affilié à l’organisation.

  3. Une fois que l’ID Microsoft Entra dispose des utilisateurs appropriés, connectez l’ID Microsoft Entra avec un ou plusieurs répertoires et bases de données utilisés par les applications, et résolvez toutes les incohérences entre ces répertoires et la copie du système de données d’enregistrement dans l’ID Microsoft Entra. Par exemple, un annuaire pour une application ayant précédemment été déconnectée peut contenir des données obsolètes telles qu’un compte pour un ancien employé.

  4. Identifiez les processus qui peuvent être utilisés pour fournir des informations faisant autorité en l’absence d’un système d’enregistrement. Par exemple, s’il existe des identités numériques pour des visiteurs et que l’organisation n’a pas de base de données pour les visiteurs, il peut être nécessaire de trouver une autre façon de déterminer quand l’identité numérique d’un visiteur n’est plus nécessaire.

  5. Assurez-vous que les modifications du système d’enregistrement ou d’autres processus sont répliquées via Microsoft Entra ID vers chaque répertoire ou base de données nécessitant une mise à jour.

Gestion du cycle de vie des identités pour représenter des employés et d’autres personnes ayant une relation avec l’organisation

Au moment de la planification de la gestion du cycle de vie des identités pour les employés ou d’autres personnes ayant une relation avec l’organisation comme un prestataire ou un étudiant, de nombreuses organisations modélisent le processus « rejoindre, bouger et quitter » comme suit :

  • Rejoindre : quand une personne a besoin d’un accès, une identité est requise par ces applications et une identité numérique doit peut-être être créée s’il n’en existe aucune déjà disponible
  • Bouger : quand une personne se déplace entre des limites, il peut être nécessaire d’ajouter ou de supprimer des autorisations d’accès à son identité numérique
  • Quitter : quand une personne n’a plus besoin d’un accès, il est possible que celui-ci doive être supprimé et, par la suite, l’identité peut ne plus être requise par les applications, si ce n’est à des fins d’audit ou d’investigation

Par exemple, si un nouvel employé qui n’a jamais été affilié à votre organisation auparavant la rejoint, il aura besoin d’une nouvelle identité numérique, représentée sous la forme d’un compte d’utilisateur dans Microsoft Entra ID. La création de ce compte relève d’un processus « Recrutement », qui peut être automatisé s’il existe un système d’enregistrement, tel que Workday, pour indiquer le moment auquel le nouvel employé commence à travailler. Par la suite, si un employé de votre organisation passe par exemple du service Ventes à Marketing, cette opération relève d’un processus « Transfert ». Ce déplacement nécessite la suppression des droits d’accès associés au service Ventes dont il n’a plus besoin et l’octroi de droits dans le service Marketing qu’il nécessite à présent.

Gestion du cycle de vie des identités pour les invités

Des processus similaires sont également nécessaires pour les identités supplémentaires, pour les partenaires, les fournisseurs et d’autres invités, pour leur permettre de collaborer ou d’avoir accès aux ressources. La gestion des droits d’utilisation Microsoft Entra utilise un ID externe Microsoft Entra B2B (Business-to-Business) pour fournir les contrôles de cycle de vie nécessaires à la collaboration avec des personnes extérieures à votre organisation qui requièrent l’accès aux ressources de votre organisation. Avec Microsoft Entra B2B, les utilisateurs externes s'authentifient auprès de leur répertoire personnel ou de leur fournisseur d’identité, mais disposent d'une représentation dans votre répertoire. La représentation dans l’annuaire de votre organisation permet à l’utilisateur d’avoir accès à vos ressources. La gestion des droits d’utilisation permet à des personnes extérieures à votre organisation de demander l’accès, en créant une identité numérique pour celles-ci en fonction des besoins. Ces identités numériques sont automatiquement supprimées lorsque l’utilisateur perd l’accès.

Conditions de licence :

L’utilisation de cette fonctionnalité nécessite des licences Gouvernance Microsoft Entra ID ou Suite Microsoft Entra. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.

Étapes suivantes