Azure AD’deki Entitlement Management, kuruluşların erişim isteği iş akışlarını, erişim atamalarını, incelemeleri ve süre sonunu otomatikleştirmesine olanak tanımaktadır. Bir kullanıcının izinlere veya bir araca ya da uygulamaya erişmesine ihtiyaç duyduğunda, kuruluşta erişimi onaylayabilecek belirli bir kişiyi tanımlamak zor olabiliyor (özellikle büyük kuruluşlarda).
Örnek; Microsoft Visio, Microsoft Project veya başka bir lisanslı yazılım, bu uygulamalar ek lisanslar gerektirdiğinden, kuruluşunuz yalnızca iş gerekçesi olan çalışanlara lisans sağlayarak maliyetlerden tasarruf edebilmektedir. Ayrıca, artık ürünlere ihtiyaç duymayan kullanıcılar için lisansların kaldırılması da aynı derecede önemli olmaktadır.
Kuruluşumuzdaki herhangi bir kullanıcının bir uygulamayı kolayca isteyebilmesi için Access Packages oluşturmak üzere Entitlement Management kullanacağız. Endpoint Manager, yazılımı Şirket Portalı aracılığıyla onaylanan kullanıcılara otomatik olarak yayımlamaktadır. Son olarak, erişimi denetlemek ve gözden geçirmek için Access Reviews’ni kullanacağız ve artık geçerli bir iş gerekçesine sahip olmayanlara erişimi kaldıracağız. Tabii ki bu sadece bir örnektir, Erişim Paketleri ve Erişim İncelemeleri çok çeşitli şeyler için kullanılabilir.
Bu araçları kullanarak kimlik yaşam döngümüzün yönetilmesi daha kolay hale gelir ve daha fazla içgörü ve kontrole sahip oluruz.
Entitlement Management Nedir?
Azure Active Directory yetkilendirme yönetimi (Entitlement Management), kuruluşlar için erişim isteğini, erişim atamalarını ve süre sonlarını otomatikleştiren bir yönetim özelliğidir diyebiliriz. Entitlement Management, ayrıntılı erişim hakları veren, uygulayan, iptal eden ve yönetimi kolaylaştıran bir araçtır. (Yerleşik bir yetki onay akışı sunmaktadır.)
Gereksinimler
Entitlement Management, Microsoft 365 E5 paketlerinde kullanılabilen, Azure AD Premium 2 lisansının bir parçasıdır.
Microsoft’un karmaşık lisanslamaya sahip olduğu bilinmektedir ve Yetkilendirme Yönetimi bir istisna olmamalıdır. Lisanslar, erişim paketi kullanıp kullanmadıklarına bakılmaksızın erişim paketi isteyebilen tüm kullanıcılara (üyelere) atanmalıdır. Normal bir kullanıcının kullanılabilir bir erişim paketi olduğu sürece, lisanslı olmaları gerekir. Erişim incelemeleri ve erişim paketleri oluşturmak için lisans gerekmese de, istekleri ve atamaları onaylayacak veya gözden geçirecek tüm kullanıcıların bir lisansa ihtiyacı olacaktır.
Access Packages (Erişim Paketleri)
Erişim Paketleri, kullanıcıların Grup, Uygulama, Takım veya SharePoint Sitesi gibi tek bir veya grup kaynağa erişim istemesine olanak tanır. Erişim Paketleri, belirli bir görevi gerçekleştirmek için belirli bir kaynak kümesine veya ayrıcalıklara erişmesi gereken bir danışman gibi zaman sınırlı erişimle uğraşırken özellikle harika olabiliyor. Çoğu kuruluş, yalnızca yönetimdeki belirli kişilerin veya belirli bir rol ya da işleve sahip kişilerin erişebileceği kısıtlı alanlara veya gruplara sahiptir. Örneğin, belirli kişilerle sınırlandırılması gereken şirket sırları veya İK verileri içeren bir SharePoint sitesi. Tüm bu örnekler ve daha fazlası Access Paketleri için mükemmel kullanım örnekler olabilir.
Entitlement Management özelliğinin yapı taşı, temel olarak belirli kaynaklarda ve ilkelerde erişimin nasıl verileceğini denetleyen bir rol olan bir Access package(Erişim Paketi). İlke denetimleri, kimlerin erişim isteyebileceğini, onaylamaktan kimin sorumlu olduğunu, verilen pakete erişimin süresinin dolup dolmadığını ve ne zaman sona ereceğini vb. açıklar. Rol ataması için kullanılabilen kaynaklar kümesi, atama işlemini yöneten Access paketleriyle birlikte Katalog biçimindedir. Bir Katalog birden çok Access paketi içerebilir ve bunun karşılığında kuruluşta birden çok Kataloğunuz olabilir.
Oluşturulduktan sonra, Access paketleri kullanıcılar tarafından istenebilir veya kullanıcılara atanabilir, böylece paket oluşturulurken seçilen rollerle birlikte kullanıcıların içindeki kaynaklara etkin bir şekilde erişim izni verilebiliyor. Atamadaki değişikliklerin yansıtılması 24 saate kadar sürebilir. Access paketi bir kullanıcıdan kaldırılırsa veya son kullanma tarihine ulaşılırsa, (kaynak kümesi – set of) erişim kaldırılır.
Catalog
Katalog, kaynak ve erişim paketlerinden oluşan bir bileşendir. İlgili kaynakları gruplandırmak ve paketlere erişmek istediğinizde bir katalog oluşturursunuz. Katalog oluşturucu rolü atanmış bir kullanıcı, sahip olduğu kaynaklar için bir katalog oluşturabilir. Kataloğu oluşturan kişi ilk katalog sahibi olur. Katalog sahibi daha fazla katalog sahibi ekleyebilmektedir.
Önkoşulları; Genel yönetici, Kimlik yöneticisi, Kullanıcı yöneticisi veya Kataloğu oluşturan kişi.
Access Reviews
Access İncelemeleri, yöneticilerin veya temsilci atanmış kişilerin belirli bir kaynak kümesine kimlerin erişimi olduğunu gözden geçirmesine olanak tanır. Bunlar, yalnızca belirli bir iş gerekçesine sahip kişilerin kısıtlı kaynaklara erişebildiğinden emin olmak için aralıklarla zamanlanabilir veya manuel olarak tetiklenebilir. Örneğin, daha önce İK’da çalışmış bir kişi, erişim gerektirmeyen yeni bir pozisyona başladıktan sonra hassas bilgilere erişimini koruyabilir. Erişim İncelemeleri’ni kullanmak, kullanıcının hala erişimi olduğunu ortaya çıkarır ve gözden geçiren kişi sorunu kolayca çözebilir.
Çoğu kuruluşun, kuruluş içinde kullanılan ürün ve hizmetler için sahipleri vardır. BT’nin bu tür görevleri yerine getirmesi yerine erişim yönetimi gibi görevleri hizmet sahibine devretmek yalnızca daha verimli olmakla kalmaz, aynı zamanda BT personelinin diğer görevlere odaklanmasını sağlar. Erişim Paketleri kuruluş genelinde kullanılıyorsa, My Access portalı self servise izin veren ve son kullanıcılar için harika bir iş akışı sağlayan bir platform haline gelir.
Entitlement Management özelliğinin temelini oluşturan bir diğer kavram da temsilci (delegation) seçmedir. Varsayılan olarak, yalnızca Genel yöneticiler ve Kullanıcı yöneticileri Kataloglar oluşturabilir ve yönetebilir, ancak çoğu büyük kuruluşta bu görevi yönetici konumundaki kişilere devretmek istersiniz. Hem Kataloglar hem de Erişim paketleri temsilci seçilebilir ve böylece yönetimi ilgili departmandaki veya ekipteki kişilere devredebilirsiniz. Ayrıca, ilke oluşturmanın bir parçası olarak, bir sonraki bölümde göreceğimiz gibi, belirli bir pakete erişimi kimlerin onaylayabileceğini tanımlayabilirsiniz.
Bir sonraki bölümde gerçek ortamlarda kullanılan senaryolarla Entitlement Management konusuna devam edeceğiz.