使用者佈建 (User Account Provisioning) 是指無論是在本地端、雲端或混合環境中,同時形成、保存、更新和處置使用者的數位身分(Digital-Identity) 及對多種資源的存取權限。
這篇文章詳細說明了使用者佈建和取消佈建的定義、流程、最佳做法和優點,還有自動化使用者佈建及使用者佈建解決方案的意義與運用。
使用者佈建的定義
使用者佈建也稱為使用者帳戶佈建,是一種身分與存取管理 (Identity and Access Management,IAM) 流程,它利用名稱、職稱、部門、屬性、權限、群組成員資格及其他相關資料等關鍵使用者資訊來建立帳戶,並授予使用者存取 IT 基礎架構及商務應用程式的適當權利與權限。此流程的目的是在保護系統、應用程式和資料安全(Data Security)的同時,確保使用者擁有適當的存取權,以執行支持企業策略、目的和目標的工作。
每當原始資料庫中有新增或更新新的資訊時,即會啟動使用者佈建,並於隨後在企業組織內該使用者的整個生命週期中加以管理。此流程會根據企業對該使用者的需求來授予應用程式和資料的存取權,並隨著角色和業務需求的發展和變化加以調整。
使用者佈建類型
使用者佈建分成以下幾種類型:
- 自助式服務:使用者自行管理某些方面的使用者佈建;例如密碼更新
- 酌情決定:由管理員授予使用者對資料和應用程式的存取權
- 工作流程:取得強制授權後,根據工作流程需求授予使用者存取權
- 自動化:由符合為帳戶建立的規則的軟體或解決方案來管理使用者佈建流程,讓管理員得以專心處理其他事務,並提高工作效率
什麼是取消佈建?
取消佈建是指因應內部員工調動或離職等異動情況,撤銷該員工帳戶的權限或存取權或刪除整個帳戶。當有內部或外部威脅時,也有可能停用或刪除帳戶。此外,使用者將會從所屬的任何群組或角色中移除。
基於安全理由,取消佈建是很重要的一個步驟;即便使用者不構成威脅,無活動的帳戶還是可能會成為資料外洩(Data Breach) 及其他網路安全威脅(Cybersecurity Threats) 的入口。
使用者佈建範例
新員工的使用者佈建範例可能包含以下步驟:
- 員工加入組織,建立 IT 個人檔案並指派本身即具有存取權的應用程式
- 員工入職可能會根據所需執行的工作授予額外的存取權
- 員工任職期間,可能會依據員工角色的變化來撤銷或授予存取權
- 當團隊成員的僱傭關係終止時,會隨著員工離職適當地取消佈建使用者帳戶
使用者佈建流程
使用者佈建原則和程序依具體情況而異,例如上述範例與臨時非正式員工到職或離職的存取佈建,或者是現任員工的既有帳戶出問題時進行的重新佈建等情況各有不同。
您可以遵循這些步驟來啟動使用者佈建,或重新建構效率不佳或無法擴充的計畫。使用者佈建流程包含以下步驟:
- 評鑑及評估身分與存取管理 (Identity and Access Management,IAM) 計畫:考量身份安全成熟度(Identity Security Maturity)、成效和安全性,並讓整個企業組織能夠以共通語言進行使用者佈建
- 制定使用者佈建商業案例:詳述目前的 IAM 流程,找出可用性和生產力的差距和挑戰,並預測提議的更新所可能帶來的好處,例如改善安全性、降低風險、提高效率
- 盤點關鍵任務系統和應用程式、目錄及使用者
- 規劃資源:使用者佈建所需的典型角色包括專案經理、技術主管、系統管理員、資料庫管理員和人資分析師
- 導入提議計畫的試用版:讓企業組織所有層級的人都參與其中,包括高階主管在內,並請參與者提供回饋,在發布完整版之前納入各方意見
- 在整個組織內啟動使用者佈建:使用核對清單、狀態會議和已識別的內部資源,確保流程如常運行
- 觀察並強化新流程和解決方案:追蹤使用者佈建要求和回應、衡量關鑑績效指標、反覆改善計畫並持續擴充,同時逐步汰換掉先前的流程
務必注意可能無法立即從指標看出來的改進之處,例如由於花在處理日常使用者佈建要求的時間減少了,IT 團隊得以騰出更多時間投入規模更大且更複雜的計畫中。
使用者佈建的最佳做法
當今企業所面臨的最大挑戰之一,就是必須在保護應用程式和資料安全的同時,確保員工及其他人員可輕鬆存取必要資源以提高生產力。使用者佈建最佳做法可協助企業解決這兩大問題,因為它能夠:
- 確保集中式的身分與存取管理:將安全風險降至最低,同時減輕 IT 團隊的負擔
- 採用最小權限原則:使用者只能存取執行工作所需的必要資源,且僅限於定義的期間內存取
- 自動化使用者佈建和取消佈建:因為經常會發生佈建過度或不足的情況 ,不僅會浪費寶貴的 IT 資源且回報甚微,對安全防護也較為不利,因此對多數組織而言,以人工方式管理使用者佈建是不切實際的
- 支援 IT 團隊:產生分享及限制存取的準則,制定團隊成員入職、調動和離職的核對清單,以及透明呈現角色及其必須存取的組織資源
- 採用多因子驗證(Multi-Factor Authentication,MFA):此存取管理工具結合了兩種或更多安全機制,以確保存取應用程式和裝置等 IT 資源的安全
- 使用風險型驗證 (Risk-Based Authentication,RBA):在使用者執行特定動作時確定風險;並偵測到潛在問題時即阻擋使用者並警告 IT 團隊
- 考量法遵並實施稽核:法遵要求與安全問題通常具有重疊性,進行內部稽核可主動促進落實安全防護和法遵工作
使用者佈建解決方案的最佳做法
為企業選擇使用者佈建軟體或解決方案時,最佳做法是選擇具備以下特點的產品:
- 全方位且可擴充
- 提供正面且輕鬆的使用者體驗
- 提供自動化功能,並於可行時提供自助式服務
- 具備支持法規遵循要求的功能
- 可透過內部改善降低解決方案耗費的成本
- 包含強大的分析和報告功能
使用者佈建的優點
為了發展、擴大並實現數位轉型,企業必須捨棄表單式的人工作業流程,改採有助於化繁為簡的自動化及人工智慧(Artificial Intelligence)技術。使用者佈建正是這波變革的要素之一,因為它可促使 IT 團隊從新計畫的支援者轉變為推動者。
企業採行使用者佈建的優點包括:
- 簡化各個應用程式的身分與存取管理
- 員工入職和離職變得更加輕鬆,同時提高安全性並降低成本
- 提升團隊成員、承包商及合作夥伴的效率和生產力
- 提供角色型存取控制(Role-Based Access Control,RBAC)
- 保護敏感資料(Sensitive Data)
- 透過集中式系統,降低管理的複雜度並減少人為錯誤
- IT 團隊可省下更多時間,優先處理其他工作
- 簡化密碼管理(Password Management)
- 降低帳戶遭到入侵或過度佈建的風險
- 加強法規遵循和稽核的準備
- 透過自動化使用者佈建系統,將原本耗時數日或數週的稽核工作縮短成在數小時內即可完成,有效提高稽核效率
- 加快作業速度
- 維護組織安全,包括支援遠端工作及降低影子 IT(Shadow IT) 相關風險
- 保障資訊和應用程式的安全,提高企業聲譽
自動化使用者佈建
自動化使用者佈建是使用者佈建及身分與存取管理的必然結果。入職者 – 調動者 – 離職者角色是很合理的佈建方式。依屬性分派給使用者的角色可綁定至其目前擔任的組織職位,讓 IT 團隊成員有餘裕處理其他優先工作,而非把時間浪費在檢查個別使用者的屬性及管理其安全許可。
自動化佈建(Automated Provisioning)有助於減輕人工管理使用者帳戶所衍生出的挑戰和中斷情況。
此外,自動化佈建只會授予足夠而非過多的存取權,因此可強化安全和法遵計畫。屬性型存取控制 (Attribute-Based Access Control,ABAC) 則藉由根據使用者在組織裡擔任的職位來授予應用程式和資料的存取權限、撤銷不再需要的存取權,以及降低內部威脅的風險來實現這一點。
自動化使用者佈建的基本工作流程為根據使用者的角色,將該使用者指派給應用程式。被授予角色的使用者會自動在應用程式中生成並獲得存取權。不論基於什麼原因而不再需要存取權,當使用者的角色遭到移除時,自動化佈建會根據組織的取消佈建原則撤銷其權限。
使用者佈建解決方案
在日益複雜的環境中,使用者佈建解決方案可讓企業運用精密的集中式工具來控制使用者的應用程式和資料存取權限,並支援運用這些解決方案中的資訊來自動執行許多工作,例如在帳戶存在期間生成、變更和取消使用者的存取權。這不但有助於簡化組織的基礎架構,還能推動公司持續成長和擴展。
使用者佈建解決方案:
- 在基礎架構上維護可用的身分資料
- 為管理員提供適當的工具以指定存取條件
- 提供具成本效益的方法,安全推動員工生命週期的現代化
- 運用自動化執行身分管理相關活動
- 借助強化的企業安全和驗證功能來保障資料的安全
- 提供出色的使用者體驗,提高員工生產力
運用使用者佈建來守護企業
使用者佈建(User Account Provisioning)讓企業能夠適當地佈建及取消佈建應用程式和資料的存取權,並降低資料外洩(Data Breach)的風險,否則企業可能需因此付出昂貴的代價,並對其聲譽造成長期的負面影響。使用者佈建也為主管團隊提供了整體企業的能見度。
使用者佈建工具運用自動化來生成、監督和控制使用者存取、簡化管理作業並提升企業身分與存取管理計畫的管理水平。使用者佈建擁有強健且穩定的流程和程序,加上實際施行縝密,使其可在企業應對瞬息萬變的商業環境時提供許多層面的支持。
