9.12.2022 • Tietoturva
Microsoft Entra – tuotteet ja ominaisuudet identiteetin- ja pääsynhallintaan -webinaarisarja
Microsoft lanseerasi jokin aika sitten uuden tuotenimen Microsoft Entra. Entra-nimen alla oleva tuoteportfolio kattaa kaikki identiteetin- ja pääsynhallintaan liittyvät tuotteet ja ominaisuudet, ja tällä hetkellä näitä kokonaisuuksia on viisi:
- Azure Active Directory (nyk. Entra ID)
- Microsoft Entra Identity Governance
- Microsoft Entra Workload Identities
- Microsoft Entra Permissions Management
- Microsoft Entra Verified ID
Azure AD (huom, myöhemmin 2023 palvelun nimi muuttui muotoon Entra ID) ja sen ominaisuudet ovat varmasti jo tuttuja, mutta neljä edellämainittua muuta komponenttia lienevät hieman tuntemattomampia. Tämän vuoksi Sulava järjesti vuoden 2023 alkupuolella neliosaisen webinaarisarjan, jossa käydään läpi kukin näistä neljästä. Katso tallenteet!
Sarjan aloitti Entra Identity Governance -ominaisuuksia käsittelevä webinaari. Lisäksi ensimmäisessä webinaarissa käydään läpi Entra-kokonaisuus, toiminnallisuuksien tarjoamat ominaisuudet ja toimintaperiaatteet sekä toiminnallisuuksien käyttöönottoon liittyviä asioita.
Entra Identity Governance on joukko toiminnallisuuksia, joiden tavoitteena on helpottaa käyttäjätunnuksien elinkaaren hallintaa sekä käyttäjätunnuksille myönnettävien käyttöoikeuksien hallintaa. Identity Governance -toiminnallisuuksiin kuuluvat:
- Privileged Identity Management eli PIM – Azure AD- ja Azure-roolien sekä ryhmäjäsenyyksien myöntäminen käyttäjille tarpeen mukaan ja tarvittaessa.
- Lifecycle workflows – prosessit ja niihin liittyvät työnkulut uusien työntekijöiden käyttäjätunnusten ja tunnuksille myönnettävien käyttöoikeuksien ja ryhmäjäsenyyksien määrittämiseen, sekä vastaavat työnkulut myös käyttäjätunnusten poistamiseen työntekijän lähtiessä.
- Entitlement management – käyttöoikeuspakettien rakentaminen niin omia työntekijöitä kuin vieraskäyttäjiäkin varten, sekä näiden käyttöoikeuspakettien myöntäminen ja itsepalvelutoiminnot.
- Access reviews – käyttäjälle myönnettyjen käyttöoikeuksien tarkastelu ja niiden tarpeellisuuden selvittäminen ja poistaminen käytöstä tarvittaessa.
Katso tallenne:
Webinaarisarjan toisessa osassa pureuduttiin Entra Workload Identities -kokonaisuuteen.
Mitä ovat Workload-identiteetit? Käytännössä Azure AD -ympäristössä käytettävät identiteetit voidaan jakaa kahteen kategoriaan:
- Ihmiselle myönnettävä identiteetti tai käyttäjätunnus (Human Identities) – niin omille työntekijöille kuin erilaisille vieraskäyttäjille, niin asiakkaille kuin kumppaneillekin myönnettävät identiteetit.
- Muille kuin ihmiselle myönnettävät identiteetit tai käyttäjätunnukset (Non-Human Identities) – nämä voivat olla niin laitetunnuksia kuin edellämainittuja Workload-tunnuksia. Jälkimmäisiin kuuluvat mm. sovellustunnukset, erilaiset palvelutunnukset sekä esim. Managed Identity -tunnukset.
Monasti Azure AD -ympäristössä saattaa olla tuhansia Workload-tunnuksia, ja kuitenkin ympäristöissä harvoin on määritetty elinkaaren hallintamallia nimenomaan näille tunnuksille. Tässä webinaarissa pureudutaan siihen, miten tällainen hallintamalli ja siihen liittyvät ominaisuudet saadaan käyttöön.
Sarjan kolmannessa osassa pureuduttiin Entra Permissions Management -kokonaisuuteen.
Jokin aika sitten Microsoft hankki omistukseensa CloudKnox-nimisen yrityksen, ja CloudKnoxin kehittämä työkalu käyttöoikeuksien hallintaan on nyt nähnyt päivänvalon tuotteessa nimeltään Entra Permissions Management.
Nimensä mukaisesti Permissions Management –tuotteen avulla voidaan hallita käyttöoikeuksia paitsi Microsoftin omassa Azure-ympäristössä, myös kilpailevissa Amazon Web Services- ja Google Cloud Platform -ympäristöissä. Permissions Management valvoo ja seuraa pilviympäristöihin määritettyjä käyttöoikeuksia, poistaa käytöstä oikeudet, joita ei käytetä, ja mahdollistaa uusien käyttöoikeuksien määrittämisen tarvittaessa, perustuen käyttöön tai käyttäjien pyyntöihin.
Sarjan viimeisessä osassa keskitytään Verifiable ID -kokonaisuuteen. Verified ID on avoimiin standardeihin perustuva palvelu, jonka avulla henkilölle voidaan luoda sähköinen identiteetti, ja jonka avulla erilaiset palveluntarjoajat voivat tarkistaa ja varmentaa henkilön identiteetin ja siihen liittyviä attribuutteja. Verified ID –palvelua voidaan käyttää moniin eri tarkoituksiin, ja sitä voidaan hyödyntää monenlaisissa palveluissa.
Kimmo Bergius
Chief Technology Officer
Kimmon osaamisaluetta on koko Microsoftin pilvipalveluiden laaja kirjo, organisaation toiminnan ja IT-strategian yhdistäminen, sekä niistä johdettujen IT-ratkaisujen kehittäminen ja jalkauttaminen organisaatioon. Lisäksi hänellä on pitkä kokemus tietoturvasta sekä erilaisten järjestelmien integroinnista.