定义标识管理

  • 3 分钟

标识管理是在标识存在的生存期内管理标识对象的方式。 此管理可以手动完成或自动执行。 但是需要完成它。 下面是一个简单的示例,说明在没有管理标识的情况下会发生什么情况。

故事 - 标识的一生

你有个用户叫 Juan。 Juan 在你的公司中有个用了几年的帐户。 在此期间,用户获得了管理员访问权限来部署应用程序。 后来 Juan 受尊重地离开了公司:但是,该帐户未从系统中删除。 经理忘记提交文件来关闭该帐户。 没有治理系统来留意到帐户未使用,而 Juan 也不再列在 HR 系统中。 一年后,Juan 成为钓鱼电子邮件的受害者,并且他的个人用户名和密码遭到盗用。 和许多人一样,Juan 为他的个人生活帐户和工作帐户使用了类似的密码。 猜怎么着,现在系统可能遭到入侵。 攻击来自看似有效的帐户!

标识的一生关系图。启动,无访问权限。然后创建具有访问权限和标识的作业。离开公司,然后返回无访问权限。

标识管理提供

  • 围绕业务流程高度可配置的系统
  • 根据需求缩放资源的敏捷性
  • 通过分发和管理自动化节省成本
  • 同步、扩散和更改控制方面的灵活性

常见标识管理任务

在标识管理期间执行许多常见任务。

标识扩散 - 处理环境中的标识对象的存储。 通常,组织在 Active Directory、其他目录服务和应用程序特定的标识存储等位置具有标识。 预配和取消预配 - 实际上是两个单独的功能。 预配说明如何在系统中创建标识对象。 取消预配专注于移除标识的权限(删除、禁用安全原则或删除访问权限)。 标识更新 - 围绕在整个环境中更新标识信息的方式。 想法是从手动转为更自动化和简化的方法。 同步 - 确保环境中的标识系统与最新的标识信息同步。 此信息对于确定访问权限通常至关重要。 影响此功能的关键因素是同步的执行方式,即手动同步、基于时间的同步或事件驱动的同步。 密码管理 - 专注于在整个标识基础结构中设置密码的位置和方式。 在大多数组织中,服务台仍是处理忘记密码的中心。 组管理 - 重点介绍组织如何管理其环境中的组(例如 Active Directory)。 组是用于确定对资源的访问权限的一种最常见形式,并且管理和运营成本很高。 应用程序权利管理 - 定义如何向标识授予对应用程序的访问权限。 它侧重于提供粗粒度的应用程序权利,这些权利作为“授权”部分中包含的功能强制执行。 另一方面,细粒度权利作为与标识相关的属性进行管理。 用户界面 - 最终用户请求、生成标识信息或对其进行更新的方式。 在许多环境中,用户继续联系服务台以获取其标识信息的任意更新。 更改控制 - 该功能侧重于环境的更改流是否由服务台专业人员手动完成。 可以使用或不使用工作流来实现自动化,从而推动更改过程。 某些组织仍发送电子邮件以完成请求,而另一些组织则具有丰富且成熟的流程来执行更改。

标识管理自动化

PowerShell CLI(命令行接口)
跨平台 PowerShell 在 Windows、macOS 和 Linux 上运行 跨平台命令行接口,可在 Windows、macOS、Linux 上安装
需要 Windows PowerShell 或 PowerShell 在 Windows PowerShell、命令提示符、Bash 和其他 Unix shell 中运行
脚本语言 行动 Command
Azure CLI 创建用户 az ad user create --display-name "New User" --password "Password" --user-principal-name NewUser@contoso.com
Microsoft Graph 创建用户 New-MgUser -DisplayName "New User" -PasswordProfile Password -UserPrincipalName "NewUser@contoso.com" -AccountEnabled $true -MailNickName "Newuser“

选择正确的工具时,请考虑过去的经验和当前工作环境。 Azure CLI 语法类似于 Bash 脚本的语法。 如果主要使用 Linux 系统,Azure CLI 感觉更自然。 PowerShell 是 Microsoft 脚本引擎。 如果你主要使用 Windows 系统,那么 PowerShell 就很适合。 命令遵循谓词名词命名方案,并将数据作为对象返回。

Microsoft Graph

Microsoft Graph 功能关系图。使用图形从 Microsoft Entra ID 拉取标识信息。

Microsoft Graph 公开 REST API 和客户端库,以访问以下 Microsoft 云服务(例如 Microsoft Entra ID、Microsoft 365、设备和许多其他服务)的数据。

  • Microsoft Graph API 提供单一终结点 https://graph.microsoft.com,以便访问 Microsoft 云中以人为本的丰富数据和见解,包括 Microsoft 365、Windows 11 和企业移动性与安全。 可以使用 REST API 或 SDK 来访问终结点,并构建支持 Microsoft 365 场景的应用。 访问范围涵盖生产力、协作和教育。 Microsoft Graph 还包括一组功能强大的服务,用于管理用户和设备标识。 可以确定和配置访问权限、符合性和安全性,并帮助保护组织免遭数据泄露或丢失。
  • Microsoft Graph 连接器在传入方向工作,将 Microsoft 云外部的数据传递到 Microsoft Graph 服务和应用程序中,以增强 Microsoft 365 体验,如 Microsoft 搜索。 连接器适用于许多常用的数据源,例如 Box、Google Drive、Jira 和 Salesforce。
  • Microsoft Graph Data Connect 提供了一组工具,用于简化将 Microsoft Graph 数据安全且可缩放的传送到常用的 Azure 数据存储。 缓存数据用作 Azure 开发工具的数据源,你可以用它来生成智能应用程序。

Microsoft 图形 API、连接器和数据连接一起为 Microsoft 云服务平台提供支持。 通过访问 Microsoft Graph 数据和其他数据集的功能,可以构建独特的智能应用程序来获取见解和分析、扩展 Azure 和 Microsoft 365。