Controlar o acesso migrando um modelo de função organizacional para o Microsoft Entra ID Governance
O controle de acesso baseado em função (RBAC) fornece uma estrutura para classificar usuários e recursos de TI. Essa estrutura permite que você explicite seu relacionamento e os direitos de acesso que são apropriados de acordo com essa classificação. Por exemplo, atribuindo a um usuário atributos que especificam o título do trabalho do usuário e as atribuições do projeto, o usuário pode ter acesso às ferramentas necessárias para o trabalho do usuário e aos dados que o usuário precisa para contribuir com um projeto específico. Quando o usuário assume um trabalho diferente e atribuições de projeto diferentes, alterar os atributos que especificam o título do trabalho e os projetos do usuário bloqueia automaticamente o acesso aos recursos necessários apenas para a posição anterior do usuário.
No Microsoft Entra ID, você pode usar modelos de função de várias maneiras para gerenciar o acesso em escala por meio da governança de identidade.
- Você pode usar pacotes de acesso para representar funções organizacionais em sua organização, como "representante de vendas". Um pacote de acesso que represente essa função organizacional incluiria todos os direitos de acesso que um representante de vendas normalmente precisa, em vários recursos.
- Os aplicativos podem definir suas próprias funções. Por exemplo, se você tivesse um aplicativo de vendas e esse aplicativo incluísse a função de aplicativo "vendedor" em seu manifesto, você poderia incluir essa função do manifesto do aplicativo em um pacote de acesso. Os aplicativos também podem usar grupos de segurança em cenários em que um usuário pode ter várias funções específicas do aplicativo simultaneamente.
- Você pode usar funções para delegar acesso administrativo. Se você tiver um catálogo para todos os pacotes de acesso necessários para as vendas, poderá atribuir alguém para ser responsável por esse catálogo, atribuindo-lhe uma função específica do catálogo.
Este artigo descreve como modelar funções organizacionais, usando pacotes de acesso de gerenciamento de direitos, para que você possa migrar suas definições de função para o Microsoft Entra ID para impor o acesso.
Migrando um modelo de função organizacional
A tabela a seguir ilustra como os conceitos nas definições de função organizacional com os quais você pode estar familiarizado em outros produtos correspondem aos recursos no gerenciamento de direitos.
Por exemplo, uma organização pode ter um modelo de função organizacional existente semelhante à tabela a seguir.
| Nome da Função | Permissões que a função fornece | Atribuição automática à função | Atribuição baseada em solicitação à função | Controlo da separação de funções |
|---|---|---|---|---|
| Vendedor | Membro da Equipa Comercial | Sim | No | Nenhuma |
| Gerente de Soluções de Vendas | As permissões do aplicativo Vendedor e Gerenciador de soluções no aplicativo Vendas | Nenhuma | Um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral | O solicitante não pode ser um Gerente de Conta de Vendas |
| Gerente de Contas de Vendas | As permissões de Vendedor e a função do aplicativo Gerenciador de conta no aplicativo Vendas | Nenhuma | Um vendedor pode solicitar, requer aprovação do gerente e revisão trimestral | A solicitação não pode ser um Gerente de Soluções de Vendas |
| Suporte de vendas | Mesmas permissões que um vendedor | Nenhuma | Qualquer não vendedor pode solicitar, requer aprovação do gerente e revisão trimestral | O solicitante não pode ser um vendedor |
Isso pode ser representado no Microsoft Entra ID Governance como um catálogo de pacotes de acesso contendo quatro pacotes de acesso.
| Pacote de acesso | Funções do recurso | Políticas | Pacotes de acesso incompatíveis |
|---|---|---|---|
| Vendedor | Membro da Equipa Comercial | Atribuição automática | |
| Gerente de Soluções de Vendas | Função do aplicativo gerenciador de soluções no aplicativo Sales | Baseado em solicitação | Gerente de Contas de Vendas |
| Gerente de Contas de Vendas | Função do aplicativo Gerenciador de contas no aplicativo Vendas | Baseado em solicitação | Gerente de Soluções de Vendas |
| Suporte de vendas | Membro da Equipa Comercial | Baseado em solicitação | Vendedor |
As próximas seções descrevem o processo de migração, criando os artefatos Microsoft Entra ID e Microsoft Entra ID Governance para implementar o acesso equivalente de um modelo de função organizacional.
Conectar aplicativos cujas permissões são referenciadas nas funções organizacionais à ID do Microsoft Entra
Se suas funções organizacionais forem usadas para atribuir permissões que controlam o acesso a aplicativos SaaS que não sejam da Microsoft, aplicativos locais ou seus próprios aplicativos na nuvem, você precisará conectar seus aplicativos ao Microsoft Entra ID.
Para que um pacote de acesso que representa uma função organizacional possa se referir às funções de um aplicativo como as permissões a serem incluídas na função, para um aplicativo que tenha várias funções e ofereça suporte a padrões modernos, como SCIM, você deve integrar o aplicativo com o ID do Microsoft Entra e garantir que as funções do aplicativo estejam listadas no manifesto do aplicativo.
Se o aplicativo tiver apenas uma única função, você ainda deverá integrá-lo ao Microsoft Entra ID. Para aplicativos que não oferecem suporte a SCIM, a ID do Microsoft Entra pode gravar usuários no diretório ou banco de dados SQL existente de um aplicativo ou adicionar usuários do AD a um grupo do AD.
Preencher o esquema do Microsoft Entra usado por aplicativos e para regras de escopo do usuário nas funções organizacionais
Se suas definições de função incluírem instruções do formulário "todos os usuários com esses valores de atributo são atribuídos à função automaticamente" ou "usuários com esses valores de atributo têm permissão para solicitar", você precisará garantir que esses atributos estejam presentes no ID do Microsoft Entra.
Você pode estender o esquema do Microsoft Entra e, em seguida, preencher esses atributos do AD local, via Microsoft Entra Connect ou de um sistema de RH, como Workday ou SuccessFactors.
Criar catálogos para delegação
Se a manutenção contínua de funções for delegada, você poderá delegar a administração de pacotes de acesso criando um catálogo para cada parte da organização à qual estará delegando.
Se você tiver vários catálogos para criar, poderá usar um script do PowerShell para criar cada catálogo.
Se você não estiver planejando delegar a administração dos pacotes de acesso, poderá manter os pacotes de acesso em um único catálogo.
Adicionar recursos aos catálogos
Agora que você identificou os catálogos, adicione os aplicativos, grupos ou sites incluídos nos pacotes de acesso que representam as funções da organização aos catálogos.
Se você tiver muitos recursos, poderá usar um script do PowerShell para adicionar cada recurso a um catálogo. Para obter mais informações, consulte Criar um pacote de acesso no gerenciamento de direitos para um aplicativo com uma única função usando o PowerShell.
Criar pacotes de acesso correspondentes às definições de função organizacional
Cada definição de função organizacional pode ser representada com um pacote de acesso nesse catálogo.
Você pode usar um script do PowerShell para criar um pacote de acesso em um catálogo.
Depois de criar um pacote de acesso, vincule uma ou mais das funções dos recursos no catálogo ao pacote de acesso. Isso representa as permissões da função organizacional.
Além disso, você criará uma política para atribuição direta, como parte desse pacote de acesso que pode ser usado para controlar os usuários que já têm atribuições de função organizacional individuais.
Criar atribuições de pacote de acesso para atribuições de função organizacional individuais existentes
Se alguns de seus usuários já tiverem associações de função organizacional, que eles não receberiam por meio de atribuição automática, você deverá criar atribuições diretas para esses usuários para os pacotes de acesso correspondentes.
Se você tiver muitos usuários que precisam de atribuições, poderá usar um script do PowerShell para atribuir cada usuário a um pacote de acesso. Isso vincularia os usuários à política de atribuição direta.
Adicionar políticas a esses pacotes de acesso para atribuição automática
Se sua definição de função organizacional incluir uma regra baseada nos atributos do usuário para atribuir e remover o acesso automaticamente com base nesses atributos, você poderá representar isso usando uma política de atribuição automática. Um pacote de acesso pode ter, no máximo, uma política de atribuição automática.
Se você tiver muitas definições de função que cada uma tem uma definição de função, você pode usar um script do PowerShell para criar cada política de atribuição automática em cada pacote de acesso.
Definir pacotes de acesso como incompatíveis para separação de funções
Se você tiver restrições de separação de tarefas que impeçam um usuário de assumir uma função organizacional quando já tiver outra, poderá impedir que o usuário solicite acesso no gerenciamento de direitos marcando essas combinações de pacotes de acesso como incompatíveis.
Para cada pacote de acesso a ser marcado como incompatível com outro, você pode usar um script do PowerShell para configurar pacotes de acesso como incompatíveis.
Adicionar políticas para acessar pacotes para que os usuários possam solicitar
Se os usuários que ainda não têm uma função organizacional tiverem permissão para solicitar e ser aprovados para assumir uma função, você também poderá configurar o gerenciamento de direitos para permitir que os usuários solicitem um pacote de acesso. Você pode adicionar políticas adicionais a um pacote de acesso e, em cada política, especificar quais usuários podem solicitar e quem deve aprovar.
Configurar revisões de acesso em políticas de atribuição de pacotes de acesso
Se suas funções organizacionais exigirem revisão regular de suas associações, você poderá configurar revisões de acesso recorrentes nas políticas de atribuição direta e baseadas em solicitação.