Styra åtkomsten genom att migrera en organisationsrollmodell till Microsoft Entra ID-styrning
Rollbaserad åtkomstkontroll (RBAC) tillhandahåller ett ramverk för klassificering av användare och IT-resurser. Med det här ramverket kan du uttryckligen ange deras relation och de åtkomsträttigheter som är lämpliga enligt den klassificeringen. Genom att till exempel tilldela till ett användarattribut som anger användarens jobbtitel och projekttilldelningar kan användaren beviljas åtkomst till verktyg som behövs för användarens jobb och data som användaren behöver för att bidra till ett visst projekt. När användaren antar ett annat jobb och olika projekttilldelningar blockerar ändring av attributen som anger användarens jobbtitel och projekt automatiskt åtkomsten till de resurser som endast krävs för användarnas tidigare position.
I Microsoft Entra-ID kan du använda förebilder på flera sätt för att hantera åtkomst i stor skala via identitetsstyrning.
- Du kan använda åtkomstpaket för att representera organisationsroller i din organisation, till exempel "säljare". Ett åtkomstpaket som representerar den organisationsrollen skulle innehålla alla åtkomsträttigheter som en säljare vanligtvis behöver, över flera resurser.
- Program kan definiera sina egna roller. Om du till exempel hade ett försäljningsprogram och programmet inkluderade approllen "säljare" i manifestet kan du sedan inkludera rollen från appmanifestet i ett åtkomstpaket. Program kan också använda säkerhetsgrupper i scenarier där en användare kan ha flera programspecifika roller samtidigt.
- Du kan använda roller för att delegera administrativ åtkomst. Om du har en katalog för alla åtkomstpaket som krävs av försäljningen kan du tilldela någon som ansvarar för katalogen genom att tilldela dem en katalogspecifik roll.
I den här artikeln beskrivs hur du modellerar organisationsroller med hjälp av åtkomstpaket för berättigandehantering, så att du kan migrera dina rolldefinitioner till Microsoft Entra-ID för att framtvinga åtkomst.
Migrera en organisationsrollmodell
I följande tabell visas hur begrepp i organisationsrolldefinitioner som du kanske är bekant med i andra produkter motsvarar funktioner i berättigandehantering.
| Koncept inom organisationsrollmodellering | Representation i Berättigandehantering |
|---|---|
| Delegerad rollhantering | Delegera till katalogskapare |
| Samling behörigheter i ett eller flera program | Skapa ett åtkomstpaket med resursroller |
| Begränsa varaktigheten för åtkomst som en roll ger | Ange att ett åtkomstpakets principlivscykelinställningar ska ha ett förfallodatum |
| Individuell tilldelning till en roll | Skapa en direkttilldelning till ett åtkomstpaket |
| Tilldelning av roller till användare baserat på egenskaper (till exempel deras avdelning) | Upprätta automatisk tilldelning till ett åtkomstpaket |
| Användare kan begära och godkännas för en roll | Konfigurera principinställningar för vem som kan begära ett åtkomstpaket |
| Åtkomst till omcertifiering av rollmedlemmar | Ange inställningar för återkommande åtkomstgranskning i en princip för åtkomstpaket |
| Ansvarsfördelning mellan roller | Definiera två eller flera åtkomstpaket som inkompatibla |
En organisation kan till exempel ha en befintlig organisationsrollmodell som liknar följande tabell.
| Rollnamn | Behörigheter som rollen ger | Automatisk tilldelning till rollen | Begärandebaserad tilldelning till rollen | Ansvarsfördelningskontroller |
|---|---|---|---|---|
| Säljare | Medlem i säljteamet | Ja | Nej | Ingen |
| Sales Solution Manager | Behörigheterna för salesperson- och Solution Manager-approllen i sales-programmet | Ingen | En säljare kan begära, kräver godkännande av chefen och kvartalsvis granskning | Beställaren får inte vara försäljningschef |
| Sales Account Manager | Behörigheterna för salesperson- och account manager-approllen i sales-programmet | Ingen | En säljare kan begära, kräver godkännande av chefen och kvartalsvis granskning | Begäran kan inte vara en Sales Solution Manager |
| Försäljningssupport | Samma behörigheter som säljare | Ingen | Alla icke-säljare kan begära, kräver chefens godkännande och kvartalsgranskning | Beställaren kan inte vara säljare |
Detta kan representeras i Microsoft Entra ID Governance som en åtkomstpaketkatalog som innehåller fyra åtkomstpaket.
| Åtkomstpaket | Resursroller | Policyer | Inkompatibla åtkomstpaket |
|---|---|---|---|
| Säljare | Medlem i säljteamet | Automatisk tilldelning | |
| Sales Solution Manager | Solution Manager-approllen i sales-programmet | Begärandebaserad | Sales Account Manager |
| Sales Account Manager | Kontohanterarens approll i sales-programmet | Begärandebaserad | Sales Solution Manager |
| Försäljningssupport | Medlem i säljteamet | Begärandebaserad | Säljare |
I nästa avsnitt beskrivs processen för migrering, vilket skapar Microsoft Entra-ID och Microsoft Entra ID-styrningsartefakter för att implementera motsvarande åtkomst till en organisationsrollmodell.
Ansluta appar vars behörigheter refereras i organisationsrollerna till Microsoft Entra-ID
Om dina organisationsroller används för att tilldela behörigheter som styr åtkomsten till saaS-appar som inte kommer från Microsoft, lokala appar eller dina egna molnappar måste du ansluta dina program till Microsoft Entra-ID.
För att ett åtkomstpaket som representerar en organisationsroll ska kunna referera till ett programs roller som behörigheter att inkludera i rollen, för ett program som har flera roller och stöder moderna standarder som SCIM, bör du integrera programmet med Microsoft Entra-ID och se till att programmets roller visas i programmanifestet.
Om programmet bara har en enda roll bör du fortfarande integrera programmet med Microsoft Entra-ID. För program som inte stöder SCIM kan Microsoft Entra-ID skriva användare till ett programs befintliga katalog eller SQL-databas eller lägga till AD-användare i en AD-grupp.
Fylla i Microsoft Entra-schemat som används av appar och för användaromfångsregler i organisationsrollerna
Om dina rolldefinitioner innehåller instruktioner för formuläret "alla användare med dessa attributvärden tilldelas rollen automatiskt" eller "användare med dessa attributvärden tillåts begära", måste du se till att attributen finns i Microsoft Entra-ID.
Du kan utöka Microsoft Entra-schemat och sedan fylla i dessa attribut antingen från lokal AD, via Microsoft Entra Connect eller från ett HR-system som Workday eller SuccessFactors.
Skapa kataloger för delegering
Om det pågående underhållet av roller delegeras kan du delegera administrationen av åtkomstpaket genom att skapa en katalog för varje del av organisationen som du delegerar till.
Om du har flera kataloger att skapa kan du använda ett PowerShell-skript för att skapa varje katalog.
Om du inte planerar att delegera administrationen av åtkomstpaketen kan du behålla åtkomstpaketen i en enda katalog.
Lägga till resurser i katalogerna
Nu när du har identifierat katalogerna lägger du till de program, grupper eller webbplatser som ingår i de åtkomstpaket som representerar organisationsrollerna i katalogerna.
Om du har många resurser kan du använda ett PowerShell-skript för att lägga till varje resurs i en katalog. Mer information finns i Skapa ett åtkomstpaket i berättigandehantering för ett program med en enda roll med hjälp av PowerShell.
Skapa åtkomstpaket som motsvarar definitioner för organisationsroll
Varje definition av organisationsrollen kan representeras med ett åtkomstpaket i katalogen.
Du kan använda ett PowerShell-skript för att skapa ett åtkomstpaket i en katalog.
När du har skapat ett åtkomstpaket länkar du en eller flera av resursernas roller i katalogen till åtkomstpaketet. Detta representerar behörigheterna för organisationsrollen.
Dessutom skapar du en princip för direkttilldelning som en del av det åtkomstpaketet som kan användas för att spåra de användare som redan har enskilda organisationsrolltilldelningar.
Skapa åtkomstpakettilldelningar för befintliga enskilda organisationsrolltilldelningar
Om vissa av dina användare redan har medlemskap i organisationsrollen, som de inte skulle få via automatisk tilldelning, bör du skapa direkta tilldelningar för dessa användare till motsvarande åtkomstpaket.
Om du har många användare som behöver tilldelningar kan du använda ett PowerShell-skript för att tilldela varje användare till ett åtkomstpaket. Detta skulle länka användarna till principen för direkttilldelning.
Lägga till principer i dessa åtkomstpaket för automatisk tilldelning
Om din organisationsrolldefinition innehåller en regel som baseras på användarens attribut för att tilldela och ta bort åtkomst automatiskt baserat på dessa attribut, kan du representera detta med hjälp av en automatisk tilldelningsprincip. Ett åtkomstpaket kan ha högst en automatisk tilldelningsprincip.
Om du har många rolldefinitioner som var och en har en rolldefinition kan du använda ett PowerShell-skript för att skapa varje automatisk tilldelningsprincip i varje åtkomstpaket.
Ange åtkomstpaket som inkompatibla för ansvarsfördelning
Om du har ansvarsbegränsningar som hindrar en användare från att ta på sig en organisationsroll när de redan har en annan, kan du förhindra att användaren begär åtkomst i berättigandehantering genom att markera dessa kombinationer av åtkomstpaket som inkompatibla.
För varje åtkomstpaket som ska markeras som inkompatibelt med ett annat kan du använda ett PowerShell-skript för att konfigurera åtkomstpaket som inkompatibla.
Lägga till principer för åtkomstpaket för användare som ska kunna begära
Om användare som inte redan har en organisationsroll får begära och godkännas för att ta på sig en roll kan du även konfigurera berättigandehantering så att användare kan begära ett åtkomstpaket. Du kan lägga till ytterligare principer i ett åtkomstpaket och i varje princip anger du vilka användare som kan begära och vem som måste godkänna.
Konfigurera åtkomstgranskningar i tilldelningsprinciper för åtkomstpaket
Om dina organisationsroller kräver regelbunden granskning av deras medlemskap kan du konfigurera återkommande åtkomstgranskningar i de begärandebaserade och direkta tilldelningsprinciperna.