Process Pro användarlivscykelhantering

Användarlivscykelhantering (ULM) är en nyckelkomponent i identitetsstyrning och administration, med fokus på att hantera hela livscykeln för användaridentiteter inom en organisation.

ULM omfattar olika processer och steg, allt från den initiala onboardingen av en användare till deras slutliga avboarding eller avprovisionering. Det primära målet med ULM är att säkerställa att både interna och externa användare har de åtkomsträttigheter och behörigheter som krävs för deras roller inom eller i samarbete med en organisation, samtidigt som säkerhetsriskerna minimeras.

Användarens livscykel består vanligtvis av följande steg:

• Onboarding: Detta är det första steget när en ny användare ansluter sig till organisationen. Under onboardingen skapar IGA -systemet (Identity Governance and Administration) en användaridentitet, tilldelar nödvändiga åtkomsträttigheter och behörigheter baserat på användarens roll och ansvarsområden, och konfigurerar autentiseringsuppgifter (t.ex. användarnamn, lösenord eller andra autentiseringsmetoder).
• Användning och spårning: Att spåra användaraktiviteter och åtkomst är avgörande för att upptäcka avvikelser eller säkerhetshot. IGA system kan övervaka användarbeteende, generera loggar och ge insikter i misstänkta aktiviteter.
• Hantering av användaruppdateringar: När användare byter roller, avdelningar eller ansvarsområden inom organisationen måste deras åtkomsträttigheter uppdateras i enlighet därmed. Detta steg innebär att ändra användarbehörigheter så att de överensstämmer med deras nya krav samtidigt som onödig åtkomst återkallas.
• Offboarding: När en användare lämnar organisationen eller inte längre behöver åtkomst till specifika resurser initieras offboardingprocessen. Detta innebär att återkalla åtkomsträttigheter, inaktivera konton och säkerställa att den avgående användaren inte längre utgör en säkerhetsrisk. Det är avgörande att offboarda användare omedelbart för att förhindra obehörig åtkomst.
• Arkivering och datalagring: I vissa fall kan organisationer behöva arkivera användardata och behålla den av juridiska skäl eller efterlevnadsskäl även efter att en användare har lämnat organisationen. Detta steg inkluderar säker lagring och hantering av arkiverade användardata.
• Rapportering och efterlevnad: Under hela användarlivscykeln måste organisationer föra register över åtkomst och vidtagna åtgärder för revisions- och efterlevnadsändamål.

ULM hjälper organisationer att säkerställa säkerhet, efterlevnad och operativ effektivitet. Med ULM anpassas användaråtkomsten till affärsbehov och säkerhetspolicyer i alla skeden av användarens resa inom organisationen. Automatiserad ULM kan effektivisera många av dessa processer, vilket gör dem mer effektiva och mindre benägna att orsaka mänskliga fel.

Typiska utmaningar som europeiska organisationer står inför med ULM:

• Försenad offboarding: 90 % av organisationerna rapporterar att offboarding tar flera dagar, vilket ökar säkerhetsriskerna.
• Manuell användarskapande: Användarskapande sker ofta med manuellt arbete eller anpassade skript i Active Directory , vilka inte stöder uppdateringar. Denna metod kan leda till säkerhetsrisker och bristande efterlevnad av nya EU-förordningar.
• Täta användaruppdateringar: Användaruppdateringar, särskilt för tillfälligt anställda eller avdelningsbyten, måste göras ofta. Manuella metoder är både kostsamma och riskabla.
• Inkonsekvent åtkomstkontroll: Det är svårt att hantera och upprätthålla konsekventa åtkomstkontrollpolicyer över en organisations resurser under hela användarens livscykel.
• Manuell kontohantering: IT-administratörer hanterar ofta användarkonton manuellt, vilket ökar kostnader och säkerhetsrisker.
• Identifiering av inkonsekvenser: IT-administratörer måste manuellt identifiera inkonsekvenser mellan användarinformation från HR-system och kontoinformation i kundkataloger. Denna uppgift är svår, kostsam och leder ofta till att oanvända eller föräldralösa konton förblir oidentifierade.
• Hantering av åtkomsträttigheter vid långtidsfrånvaro: Manuell hantering av åtkomsträttigheter under långtidsfrånvaro, såsom föräldraledighet eller sjukledighet, kan leda till säkerhetsproblem om åtkomsten inte inaktiveras korrekt.

Efecte IGA erbjuder användningsområden och funktioner som hanterar de tidigare nämnda utmaningarna:

Enkel onboarding: Onboarding kan enkelt hanteras via Efecte IGA Self-Service med hjälp av användningsfallet " Skapa ny användare ".
Alternativt är helautomatiserad onboarding möjlig när integration med HR-system är på plats, vilket utnyttjar användningsfallet för användarlivscykelhantering .

Enkla uppdateringar: Uppdateringar kan hanteras via Efecte Self-Service med hjälp av användningsfallet " Uppdatera användarinformation ".
Helautomatiska uppdateringar är också tillgängliga vid integration med HR-system, med hjälp av användningsfall för användarlivscykelhantering .
Dessa uppdateringar kan innefatta personlig information, såsom ändringar av för- eller efternamn, där IGA -lösningen genererar nya katalogattribut för användaren. För uppdateringar av anställningsinformation, såsom titeländringar, validerar och uppdaterar IGA lösningen katalogerna och justerar användarens åtkomsträttigheter (berättiganden) om automatiserade regler finns på plats.

Enkel offboarding: Offboarding kan hanteras via Efecte Self-Service med hjälp av användningsfallet " Uppdatera avgående användarinformation ".
Helautomatiserad offboarding är också möjlig vid integration med HR-system, återigen med hjälp av användningsfallet User Lifecycle Management .

• Offboarding innebär vanligtvis att användarens arbetsperiod(er) avslutas, relaterade katalogkonton inaktiveras och åtkomsträttigheter återkallas. Denna process initieras genom att anställningens slutdatum för användarens arbetsperiod anges.
  • Om fysisk åtkomst hanteras via IGA lösningen inkluderar offboarding även återlämnande av nycklar, brickor etc.
  • Offboarding kan utökas med ITSM/ESM (Enterprise Service Management) användningsområden, såsom retur av enheter, arbetskläder etc.

Hantering av arbetsperioder : Kunder kan definiera åtgärder relaterade till informationen som tas emot av IGA lösningen, inklusive hantering av användare med flera aktiva arbetsperioder.

Kontohantering : Definierar vilken information som levereras och till vilken/vilka av kundens katalog/kataloger.

Automatiserade regler : Efectes IGA lösning låter administratörer definiera automatiserade regler baserade på information relaterad till organisationsenheter, kostnadsställen och jobbtitlar. Omfattningen inkluderar attributbaserad åtkomstkontroll (ABAC), rollbaserad åtkomstkontroll (RBAC) och organisationsbaserad åtkomstkontroll (OrBAC).

Administratörsrapportering och åtgärder: IGA administratörsrapportering och andra nödvändiga åtgärder beskrivs i användningsfall för användarlivscykelhantering (se kapitlet om användningsfall för IGA administratörer).

Användarens personuppgifter och anställningsuppgifter kan tas emot från självbetjäning (till exempel för externa användare) eller från HR-lösningen via en färdig koppling , Efecte Integration Service eller Open API integration.

Följande figur illustrerar de användningsfall som är specifika för ULM-processen i Efecte IGA . ULM bygger på ARM-användningsfall och -funktioner, inklusive rapportering för ULM-efterlevnadsbehov.