Microsoft Entra kerää kaikki identiteetin- ja pääsynhallinnan työkalut yhden katon alle. Monet suomalaiset yritykset luottavat identiteetin ja pääsynhallinnassa Azure Active Directory (Azure AD) tuotteeseen, mutta eivät välttämättä ole tietoisia mitä kaikkea se tarjoaa tai muista Microsoft Entran tuoteperheen palveluista. Me autamme yrityksiä Microsoft Entran palveluiden kanssa.
Azure AD (Active Directory)
Azure Active Directory identiteettipalvelu on osa Microsoft Entra tuoteperhettä, joka tarjoaa kertakirjautumisen, kaksivaiheisen tunnistautumisen ja ehdolliset käyttöoikeukset yritysten käyttöön.
Microsoft tarjoaa ilmaista kokeilujaksoa Microsoft Entralle, löydät sen täältä.
Entitlement Management
Entitlement Management on palvelu, joka auttaa organisaatioita hallitsemaan käyttöoikeuksia pilvipalveluihin ja sovelluksiin, kuten Office 365, Salesforce ja Dropbox. Käyttöoikeuksia voidaan myös määrittää resursseihin, kuten SharePoint-sivustoihin, tiedostoihin ja kansioihin.
Privileged Identity Management
Privileged Identity Management auttaa organisaatioita hallitsemaan korkean tason käyttöoikeuksia omaavia henkilöitä tehokkaasti ja turvallisesti, vähentäen tietoturvariskejä ja varmistaen, että käyttöoikeudet ovat tarpeelliset ja rajoitetut.
Access Reviews
Access Reviews on työkalu Microsoft Entrassa, jonka avulla voit määrittää säännöllisiä tarkastuksia nähdäksesi onko organisaation käyttäjien nykyinen pääsy resursseihin on edelleen perusteltua. Voit käyttää työkalua tarkistaaksesi pääsyn Azure AD:n ryhmiin, yrityksen sovelluksiin, korkean tason rooleihin ja kohdistaa tarkistuksen organisaation sisäisiin ja ulkopuolisiin käyttäjiin.
B2B Collaboration
Voit kutsua kenet tahansa kirjautumaan organisaatiosi Azure AD -palveluun omilla tunnistetiedoillaan, jotta he voivat käyttää niitä sovelluksia, jotka haluat heille jakaa. Voit esimerkiksi antaa ulkopuoliselle käyttäjälle pääsyn Office365 -sovelluksiin, SaaS -palveluihin ja liiketoimintasovelluksiin. Käyttö ei myöskään vaadi kumppanilta Azure AD:n käyttöä.
Lifecycle Management
Microsoft Identity Managerin elinkaari päättyi tammikuussa 2021. Azure AD Premium -käyttäjät saavat kuitenkin pidennetyn tuen vuoteen 2026 asti. Nyt on hyvä aika tehdä selvitystyö, siitä miten MIM korvataan tulevaisuudessa.
Tarvitseko apua Microsoft Entran kanssa?
Tunnistuspalvelu, eli Identity Provider (IdP) on OpenId Connect (OIDC) ja SAML2 -tunnistuskäytänteitä toteuttava palvelu, joka tunnistaa käyttäjät mahdollistaen heidän pääsynsä järjestelmiin ja sovelluksiin. IdP:n avulla voidaan toteuttaa kertakirjautuminen (Single Sign On – SSO), jonka avulla käyttäjä pääsee yhden tunnistustapahtuman perusteella käyttämään kaikkia tunnistamisen piiriin kuuluvia sovelluksia ilman eri tunnistautumista.
IdP kytkeytyy tunnistusmenetelmiin tarpeen mukaan. WeAre on toteuttanut tunnistamisen välityspalvelumallin, jossa tukeudutaan olemassaoleviin OIDC-tunnistuslähteisiin (esim. Azure AD, Google, Facebook jne). Tunnistusmenetelmien tuottamaa käyttäjätietoa voidaan rikastaa muista lähteistä, kuten organisaation IdM-järjestelmästä.
IdP on toteutettu avoimen lähdekoodin Shibboleth Identity Provider -ohjelmistolla.
Tunnistamisen rikastaminen
Tunnistamisen kulkuun on mahdollista toteuttaa vaiheita, joissa tunnistusmenetelmästä saatavan käyttäjän yksilöintitiedon oheen lisätään käyttäjätietoa ulkoisista lähteistä. Esimerkiksi, jos asiakkaan käyttäjien tunnistus on toteutettu Azure AD -tunnistuspalveluun tukeutuen, mutta käyttäjien roolitieto on tallennettu erilliseen järjestelmään, voidaan varsinaisen tunnistustapahtuman jälkeen hakea roolitieto toisesta järjestelmästä (esim. CRM) ja lisätä se tunnistukseen tukeutuvaan palveluun luovutettaan tunnistusvastaukseen. Ratkaisu käyttäjän pääsystä sovellukseen voidaan tehdä roolitiedon perusteella.
Tunnistustiedon rikastaminen tunnistustapahtuman yhteydessä säästää erillisen synkronoinnin toteuttamisen palveluun, kun käyttäjärooli välitetään tunnistustapahtuman yhteydessä.
Tunnistusadapteri
Asiakkaalla saattaa olla käytössään tunnistusmenetelmänä järjestelmä, joka ei ole yhteensopiva tunnistukseen tukeutuvan palvelun kanssa. Tyypillisesti asiakkaalla on SAML2-tunnistusratkaisu, mutta palveluun on toteutettu vain OIDC-pääsynhallinta. Tai tapaus voi olla päin vastoin.
Tunnistuspalvelu voi toimia adapterina, eli välittäjänä, jossa tunnistusmenetelmä sovitetaan palvelulle siinä muodossa, kuin mihin siinä on valmiit ratkaisut. Myös kovin omintakeisetkin palvelut voidaan monesti suojata tunnistamisella, vaikka niihin ei alun perin olisikaan toteutettu kertakirjautumisen menetelmää tai kytkentää moderneihin tunnistusprotokolliin.
