Siirry pääsisältöön
Ohita sisällysluettelo

Pääsy kolmannen osapuolen järjestelmiin

Johdanto

Tässä asiakirjassa kuvataan Identumin vaatimat käyttöoikeudet asiakkaan järjestelmiin projektin toteutuksen aikana ja sen jälkeen. Käytäntömme on käyttää tilapäisiä käyttöoikeuksia, joilla on mahdollisimman vähän oikeuksia vaadittujen tehtävien suorittamiseen. Identum ei vaadi pysyvää pääsyä asiakkaan ympäristöihin.

1. Lähdejärjestelmät

Identum ei tarvitse pysyvää käyttöoikeutta lähdejärjestelmiin, kuten henkilöstöhallintoon/palkanlaskentaan, opiskelijatietojärjestelmiin tai muihin henkilöstötietokantoihin. Pääsy näistä järjestelmistä vietäviin tietoihin joko tiedostonsiirron tai API:n kautta riittää.

Huomautus: Pyynnöstä saatamme vaatia tilapäistä käyttöoikeutta tiettyjä tehtäviä, kuten vianmääritystä tai koulutusta varten.

2. Dataporten / Feiden asiakasportaali

Emme vaadi pysyvää pääsyä Dataporteniin tai Siktin (entinen Uninett) asiakasportaaliin. Tilapäinen käyttöoikeus voidaan tarvittaessa myöntää pyynnöstä.

3. Microsoft Azure Active Directory (Azure AD)

Jos palvelummeeADMeFeide) synkronoi käyttäjät, ryhmät, salasanat, lisenssit, jäsenyydet ja tilan Azure AD:hen, tarvitsemme tilin, jolla on Microsoft 365:n Käyttäjän järjestelmänvalvojaa vastaavat oikeudet.

  • Tätä pääsyä tarvitaan vain hankkeen keston ajan.

  • Tilin on oltava suojattu monitekijätodennuksella (Multi-Factor Authentication, MFA).

  • Tili on poistettava käytöstä tai poistettava, kun projekti on valmis.

Huomautus: eFeide ja Azure AD:n välistä jatkuvaa yhteydenpitoa hallinnoidaan Azure Enterprise Application -sovelluksen, ei käyttäjätilin, kautta. Katso konfigurointitiedot dokumentaatiostamme: Azure AD:n määrittäminen integrointia varten.

4. Google Workspace

Jos palvelumme synkronoivat käyttäjiä, ryhmiä, salasanoja, organisaatioyksiköitä (OU), jäsenyyksiä ja statusta Google Workspaceen, tarvitsemme käyttäjätilin, jonka oikeudet vastaavat Käyttäjähallinnan ylläpitäjän oikeuksia.

  • Tämä tili on suojattava MFA:lla.

  • Tilin voi poistaa käytöstä, kun projekti on valmis.

Lisäksi asiakkaan globaalin järjestelmänvalvojan on määritettävä API-asiakkaamme käyttöoikeusavaimet.

5. Paikallinen Active Directory (AD)

Tiloissa tapahtuvaa AD-integraatiota varten asiakassovellus asennetaan asiakkaan sisäverkkoon. eADM ei vaadi omaa palvelinta. Emme suosittele eADM asentamista toimialueohjaimeen.

Asiakasviestintä

  • Asiakasohjelma on Windows-pohjainen .NET-konsolisovellus, joka suoritetaan ajastettuna tehtävänä käyttäen palvelutiliä.

  • Asiakas aloittaa yhteyden pilviratkaisumme kanssa salatun yhteyden kautta (TLS 1.2 portissa 443 ulospäin). Sisäänpäin tulevia palomuuriaukkoja ei tarvita.

  • Kukin asiakas käyttää yksilöllisiä tunnistusavaimia kommunikoidakseen pilvipalvelun kanssa.

Konsulttien käyttöoikeus (hankkeen aikana)

Projektin aikana projektipäällikön ja/tai konsultin on päästävä etäkäyttöön paikalliseen AD-ympäristöön VPN:n tai TeamViewerin kautta.

  • Tämä pääsy on suojattava MFA:lla.

  • Pääsy voi tapahtua ensisijaiseen toimialueen ohjaimeen, mutta suosittelemme, että eADM käytetään omaa palvelinta.

  • Palvelimella on oltava pääsy:

    • Active Directoryn käyttäjät ja tietokoneet

    • Active Directory -moduuli Windows PowerShellille

    • Windows Exchange Management Tools for PowerShell (tarvittaessa)

Palvelinvaatimukset

  • Käyttöjärjestelmä: Windows Server

  • .NET Framework: NET Framework: Versio 4.0 tai uudempi

  • PowerShell: PowerShell: Versio 4.0 tai uudempi

  • Palomuuri: Portin 443 on oltava auki lähtevälle SSL-liikenteelle.

  • Ohjelmisto: Varmista, että Notepad++ on asennettu palvelimelle.

Palvelutilin käyttöoikeudet

eADM käyttämiseen tarvitaan oma palvelutili. Tämä tili tarvitsee seuraavat oikeudet:

  • AD-oikeudet: Käyttäjien, ryhmien ja OU:iden luominen, poistaminen ja muokkaaminen.

  • Paikalliset oikeudet:

    • Kirjaudu sisään erätyönä (ajastettuja tehtäviä varten).

    • Täysi luku- ja kirjoitusoikeus C:eADM ja sen alikansiot.

  • Valinnaiset oikeudet (tarvittaessa):

    • Luo ja aseta NTFS-oikeudet käyttäjän kotikansioille.

    • Luo postilaatikoita (enable-mailbox ja enable-remotemailbox).

Varoitus: Kun järjestelmä on tuotannossa, henkilökohtaiset käyttäjätilimme on poistettava käytöstä. Kaikki operatiiviset tehtävät suoritetaan palvelutilillä, ja sen salasana on vaihdettava, jotta Identumilla ei ole enää pääsyä siihen.

Tekoälyn ja haun yhteenveto

Tässä vakiotoimintamenettelyssä (SOP) määritellään käyttöoikeudet, jotka Identum vaatii asiakkaan kolmannen osapuolen järjestelmiin, kuten Azure AD:hen, Google Workspaceen ja paikalliseen Active Directoryyn. Siinä korostetaan, että käyttöoikeudet ovat tilapäisiä, rajoittuvat projektin kestoon ja noudattavat vähimpien oikeuksien periaatetta. Asiakirjassa eritellään yksityiskohtaisesti palvelutilejä, konsulttien käyttöoikeuksia, palvelinkonfiguraatiota ja turvallisuusprotokollia koskevat vaatimukset, mukaan lukien MFA:n pakollinen käyttö ja tilien poistaminen käytöstä projektin jälkeen.

JavaScript-virheitä havaittu

Huomaa, että nämä virheet voivat riippua selaimesi asetuksista.

Jos ongelma jatkuu, ota yhteyttä asiakaspalveluumme.

Ota yhteyttä tukeen Sulje