Controlar o acesso migrando um modelo de função organizacional para a Governança do Microsoft Entra ID
O RBAC (controle de acesso baseado em função) fornece uma estrutura para classificar usuários e recursos de TI. Essa estrutura permite que você torne explícito o relacionamento entre eles e os direitos de acesso apropriados de acordo com essa classificação. Por exemplo, ao atribuir a um usuário atributos que especificam o cargo do usuário e as atribuições do projeto, o usuário pode receber acesso às ferramentas necessárias para o trabalho do usuário e aos dados que ele precisa para contribuir em um projeto específico. Quando o usuário assume um trabalho diferente e atribuições de projeto diferentes, alterar os atributos que especificam o cargo e os projetos do usuário bloqueia automaticamente o acesso aos recursos que eram necessários apenas para a posição anterior do usuário.
No Microsoft Entra ID, você pode usar modelos de função de várias maneiras para gerenciar o acesso em escala por meio da governança de identidade.
- Você pode usar pacotes de acesso para representar funções organizacionais em sua organização, como "representante de vendas". Um pacote de acesso que representa essa função organizacional incluiria todos os direitos de acesso de que um representante de vendas normalmente precisa, em vários recursos.
- Os aplicativos podem definir suas próprias funções. Por exemplo, se você tivesse um aplicativo de vendas e esse aplicativo incluísse a função de aplicativo "vendedor" no manifesto, você poderia incluir essa função do manifesto do aplicativo em um pacote de acesso. Os aplicativos também podem usar grupos de segurança nos cenários em que um usuário pode ter várias funções específicas do aplicativo simultaneamente.
- Você pode usar funções para delegar acesso administrativo. Se você tiver um catálogo para todos os pacotes de acesso necessários para vendas, é possível atribuir alguém para ser responsável por esse catálogo, atribuindo a eles uma função específica do catálogo.
Este artigo aborda como modelar funções organizacionais, usando pacotes de acesso de gerenciamento de direitos, para que você possa migrar definições de função para o Microsoft Entra ID para impor o acesso.
Migrando um modelo de função organizacional
A tabela a seguir ilustra como os conceitos nas definições de funções organizacionais com os quais você pode estar familiarizado em outros produtos correspondem aos recursos de gerenciamento de direitos.
Por exemplo, uma organização pode ter um modelo de função organizacional existente semelhante à tabela a seguir.
| Nome da função | Permissões que a função fornece | Atribuição automática à função | Atribuição baseada em solicitação para a função | Verificações de separação de deveres |
|---|---|---|---|---|
| Salesperson | Membro da Equipe de Vendas | Sim | Não | Nenhum |
| Gerente de Solução de Vendas | As permissões das funções de aplicativo Vendedor e Gerente de solução no aplicativo de Vendas | Nenhum | Um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral | O solicitante não pode ser um Gerente de Conta de Vendas |
| Gerente de Conta de Vendas | As permissões das funções de aplicativo Vendedor e Gerente de conta no aplicativo de Vendas | Nenhum | Um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral | A solicitação não pode ser de um Gerente de Solução de Vendas |
| Suporte de Vendas | Mesmas permissões que um Vendedor | Nenhum | Qualquer pessoa que não seja um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral | O solicitante não pode ser um Vendedor |
Isso pode ser representado na Governança do Microsoft Entra ID como um catálogo do pacote de acesso que contém quatro pacotes de acesso.
| Pacote de acesso | Funções de recurso | Políticas | Pacotes de acesso incompatíveis |
|---|---|---|---|
| Salesperson | Membro da Equipe de Vendas | Atribuição automática | |
| Gerente de Solução de Vendas | Função de aplicativo Gerente de solução no aplicativo de Vendas | Baseado em solicitação | Gerente de Conta de Vendas |
| Gerente de Conta de Vendas | Função de aplicativo Gerente de conta no aplicativo de Vendas | Baseado em solicitação | Gerente de Solução de Vendas |
| Suporte de Vendas | Membro da Equipe de Vendas | Baseado em solicitação | Salesperson |
As próximas seções descrevem o processo de migração, criando os artefatos do Microsoft Entra ID e da Governança do Microsoft Entra ID para implementar o acesso equivalente de um modelo de função organizacional.
Conectar aplicativos cujas permissões são referenciadas nas funções organizacionais para o Microsoft Entra ID
Se as funções organizacionais forem usadas para atribuir permissões que controlam o acesso a aplicativos SaaS não Microsoft, aplicativos locais ou seus aplicativos de nuvem, você precisará conectar seus aplicativos aoMicrosoft Entra ID.
Para que um pacote de acesso que representa uma função organizacional possa se referir às funções de um aplicativo como as permissões a serem incluídas na função, para um aplicativo que tem várias funções e dá suporte a padrões modernos como SCIM, você deve integrar o aplicativo ao Microsoft Entra ID e garantir que as funções do aplicativo estejam listadas no manifesto do aplicativo.
Se o aplicativo tiver apenas uma função, você ainda deverá integrar o aplicativo ao Microsoft Entra ID. Para aplicativos que não dão suporte ao SCIM, o Microsoft Entra ID pode gravar usuários no diretório ou no banco de dados SQL existente de um aplicativo ou adicionar usuários do AD a um grupo do AD.
Preencher o esquema do Microsoft Entra usado por aplicativos e para regras de escopo de usuário nas funções organizacionais
Se suas definições de função incluírem instruções no formato "todos os usuários com esses valores de atributo são atribuídos à função automaticamente" ou "usuários com esses valores de atributo têm permissão para solicitar", você precisará garantir que esses atributos estejam presentes no Microsoft Entra ID.
Você pode estender o esquema do Microsoft Entra e preencher esses atributos do AD local, por meio do Microsoft Entra Connect ou de um sistema de RH, como Workday ou SuccessFactors.
Criar catálogos para delegação
Se a manutenção contínua das funções for delegada, você poderá delegar a administração de pacotes de acesso criando um catálogo para cada parte da organização à qual delegará.
Se você tiver vários catálogos a serem criados, poderá usar um script do PowerShell para criar cada catálogo.
Se você não estiver planejando delegar a administração dos pacotes de acesso, poderá manter os pacotes de acesso em um só catálogo.
Adicionar recursos aos catálogos
Agora que você tem os catálogos identificados, adicione os aplicativos, grupos ou sites incluídos nos pacotes de acesso que representam as funções da organização para os catálogos.
Se você tiver muitos recursos, poderá usar um script do PowerShell para adicionar cada recurso a um catálogo. Para obter mais informações, confira Criar um pacote de acesso no gerenciamento de direitos de um aplicativo com uma só função usando o PowerShell.
Criar pacotes de acesso correspondentes às definições de função organizacional
Cada definição de função organizacional pode ser representada com um pacote de acesso nesse catálogo.
Você pode usar um script do PowerShell para criar um pacote de acesso em um catálogo.
Depois de criar um pacote de acesso, você vinculará uma ou mais funções dos recursos no catálogo ao pacote de acesso. Isso representa as permissões da função organizacional.
Além disso, você criará uma política para atribuição direta, como parte desse pacote de acesso que pode ser usado para acompanhar os usuários que já têm atribuições de função organizacional individuais.
Criar atribuições de pacote de acesso para atribuições de função organizacional individuais existentes
Se alguns de seus usuários já tiverem associações de função organizacional, que eles não receberiam por meio da atribuição automática, você deverá criar atribuições diretas para esses usuários para os pacotes de acesso correspondentes.
Se você tiver muitos usuários que precisam de atribuições, poderá usar um script do PowerShell para atribuir cada usuário a um pacote de acesso. Isso vincularia os usuários à política de atribuição direta.
Adicionar políticas a esses pacotes de acesso para atribuição automática
Se a definição de função organizacional incluir uma regra com base nos atributos do usuário para atribuir e remover o acesso automaticamente com base nesses atributos, você poderá representá-la usando uma política de atribuição automática. Um pacote de acesso pode ter no máximo uma política de atribuição automática.
Se você tiver muitas definições de função que cada uma tem uma definição de função, poderá usar um script do PowerShell para criar cada política de atribuição automática em cada pacote de acesso.
Definir pacotes de acesso como incompatíveis para separação de deveres
Se você tiver restrições de separação de deveres que impedem um usuário de assumir uma função organizacional quando ele já tem outra, poderá impedir que o usuário solicite acesso no gerenciamento de direitos marcando essas combinações de pacote de acesso como incompatíveis.
Para cada pacote de acesso que deve ser marcado como incompatível com outro, você pode usar um script do PowerShell para configurar pacotes de acesso como incompatíveis.
Adicionar políticas a pacotes de acesso para que os usuários possam solicitar
Se usuários que ainda não têm uma função organizacional tiverem permissão para solicitar e forem aprovados para assumir uma função, você também poderá configurar o gerenciamento de direitos para permitir que os usuários solicitem um pacote de acesso. Você pode adicionar políticas adicionais a um pacote de acesso e, em cada política, especificar quais usuários podem solicitar e quem deve aprovar.
Configurar revisões de acesso em políticas de atribuição de pacote de acesso
Se suas funções organizacionais exigirem a revisão regular de sua associação, você poderá configurar revisões de acesso recorrentes nas políticas de atribuição diretas e baseadas em solicitação.