Desde una perspectiva de gestión de identidad, ¿cuáles son sus mejores métodos para manejar transferencias y recontrataciones?

Esto debería ser parte de una estrategia más amplia de JML (joiner-mover-leaver). Algunos elementos que ayudarán:

Prerrequisitos:

  • Debe haber una única fuente de verdad para todos los eventos JML en todos los tipos de empleados. Es probable que este sea su sistema de recursos humanos. Es posible que necesite obtener su Departamento de Recursos Humanos para crear registros de shell para los contratistas si no lo hacen en la actualidad.
  • Las identificaciones de los empleados se deben adjuntar a un solo ser humano y nunca, nunca se deben reutilizar.
  • Es necesario que haya un flujo de trabajo para que los gerentes de línea ingresen a todos los eventos de traslado y recontratación, y debe activar las actualizaciones de la base de datos del sistema de recursos humanos (u otra fuente de verdad).
  • El sistema de recursos humanos debe alimentar sistemas posteriores como AD, LDAP y su sistema de tickets de la mesa de servicio. Esto también le permite automatizar flujos de trabajo y ahorrar dinero. Un lote nocturno debería funcionar bien.

En términos de bloquear transferencias y recontrataciones específicas:

  • El nuevo gerente no debe poder cerrar sesión en nada hasta que se registre en la fuente de la verdad como el 1-up directo del empleado. Esto los obliga a actualizar los registros.
  • Un recontrato es un flujo de trabajo de abandono seguido de un flujo de trabajo de unión. Su formulario de solicitud de salida debe tener una casilla de verificación para volver a contratar de modo que:
    1. si solo se retira, todos los tickets de revocación de acceso se procesan automáticamente sin aprobación.
    2. Si se retira, los tickets de revocación de acceso están sujetos a la aprobación del nuevo gerente (es decir, pueden optar por mantener el acceso, de esa manera usted tiene una decisión rastreable).

Tenga en cuenta que hay pequeñas cosas que se interpondrán en el camino. Por ejemplo, una recontratación puede ser con un tipo de empleado diferente o un equipo diferente (es decir, también es una transferencia).

La conclusión es: siempre que haya registrado las aprobaciones para todas las decisiones de concesión y revocación de acceso, y una recertificación de acceso periódica que funcione, los auditores probablemente no plantearán problemas importantes.

¡Buena suerte!

Las identidades nunca se eliminan, solo cambian de estado (grupo diferente, contenedor o atributo dependiendo de su configuración). La lucha que percibe probablemente proviene de la fuente autorizada (generalmente Recursos Humanos) para averiguar qué hacer o una gestión de identidad mal diseñada.

Una buena solución de IAM no debería tener problemas para lidiar con esto, en realidad es bastante simple.

Un enfoque sería tener una bandera para cada usuario que indique si el usuario está activo o no.
Cuando los empleados abandonan las empresas, tiene sentido deshabilitar sus cuentas en el servidor de directorio pero no eliminarlas. Cuando se vuelven a contratar, se activan sus cuentas.