Cosa succede se non ho ruoli attivi?
Pluto Mortgages Inc. è un'ipotetica società di intermediazione di mutui. A causa degli eventi economici, un gran numero di richieste di margine sono state inviate al settore bancario ipotecario, costringendo i banchieri e le società di intermediazione a ridurre drasticamente il personale. Ora che il mercato si è stabilizzato e l’economia ha ripreso forza, è necessario assumere nuovamente 5.000 specialisti ipotecari distribuiti in diversi rami di attività con diversi diritti, garantendo al tempo stesso la separazione dei compiti.
Angelo è il direttore IT di Pluto Mortgages. L'ambiente AD è composto da 10.000 account di cui 5.000 sono stati disattivati frettolosamente in un'azione precedente. Anche se nessuno di questi account è attivo, a molti non è stato effettuato il deprovisioning corretto e tutti questi account disabilitati dispongono ancora di autorizzazioni e diritti ad essi associati. È complicato e rischioso. Questi account sono stati spostati nell'unità organizzativa "Account terminati". La sicurezza aziendale informa Angelo che per mitigare il rischio su questi account utente, è necessario che siano più che semplicemente disabilitati.
Angelo ottiene l'approvazione per implementare i ruoli attivi e assegna a John l'amministratore IT per distribuirlo nell'ambiente.
John è uno dei cinque amministratori di un team incaricato di distribuire i ruoli attivi garantendo al tempo stesso il mantenimento di quanto segue:
- Tutti gli amministratori IT sono gestiti secondo criteri di controllo degli accessi basati sui ruoli (RBAC).
- L'amministrazione degli account locali e basati su cloud deve essere gestita centralmente
- Tutta la creazione di nuovi account deve contenere l'automazione di quanto segue:
- Creazione di account ibridi di Azure
- Convenzione di denominazione di accesso univoca
- Aderenza a password complesse
- Provisioning One Drive per le cartelle Inizio
- Accesso ai gruppi di sicurezza LOB e alle cartelle di file
- Un account corrispondente al database SaaS collegato all'account locale
- Tutti gli account eliminati esistenti verranno sottoposti a deprovisioning in modo automatizzato per mitigare il rischio rimuovendo tutti i diritti associati all'identità
- Tutte le future procedure di deprovisioning soddisfano le esigenze della linea di business
John si mette subito al lavoro installando One Identity Active Roles.
Dopo aver seguito la guida su come installare i ruoli attivi, John affronta gli elementi obbligatori uno per uno.
- John configura RBAC tramite i modelli di accesso integrati
- Successivamente, John utilizza le policy integrate di creazione degli utenti e le configura per soddisfare i requisiti per i processi automatizzati di creazione degli utenti.
- Utilizzando la funzionalità Raggruppa famiglie di Ruoli attivi, John crea automaticamente gruppi per reparti. Una volta completato, vede i vari gruppi creati e tutti i membri appropriati vengono automaticamente aggiunti ai rispettivi dipartimenti.
- John crea quindi la policy di deprovisioning e la denomina "Pluto Inc – Policy di deprovisioning". La policy include quanto segue:
- Rende l'account non idoneo per l'accesso
- Disabilita l'account
- Impostazione della password dell'account su un valore casuale
- Rinominare l'account utente
- Aggiorna gli attributi utente applicabili
- Rimuove l'account da tutti i gruppi di sicurezza e distribuzione
- Impedisce all'utente di accedere alla casella di posta
- Nascondi la casella di posta dall'elenco indirizzi globale
- Concedere al manager dell'utente l'accesso completo alla casella di posta
- Impedisce all'utente di accedere alla cartella Inizio
- Rimuovi le autorizzazioni dell'utente
- Concedere al gestore dell'utente l'accesso in sola lettura
- Elimina la cartella Inizio quando l'account utente viene eliminato.
- Sposta l'account nell'unità organizzativa secondaria LOB "Da rimuovere" specificata.
- Elimina l'account dopo 30 giorni.
- Invia il report relativo al deprovisioning ai singoli responsabili di reparto
- Rende l'account non idoneo per l'accesso
- John copia questa policy e la applica all'"unità organizzativa terminata" esistente e avvia un deprovisioning in blocco di tutti i 5.000 utenti disabili esistenti
L'installazione completa di Active Roles utilizzando tutte le policy integrate e i moduli del flusso di lavoro ha richiesto meno di una settimana.
Utilizzando i ruoli attivi, Pluto Mortgages vede un grande vantaggio mitigando i rischi e colmando le lacune di sicurezza sugli attuali 5.000 utenti disabili. Con la politica di deprovisioning di Active Roles, John ha rimosso permessi, gruppi, cartelle home e altri diritti con un semplice clic.
Inoltre, ora che Pluto Mortgages è in grado di assumere di nuovo la sua forza lavoro di 5.000 dipendenti, può farlo in modo molto più efficiente e conveniente. Con l'implementazione di Active Roles, hanno risparmiato tempo e denaro poiché i processi di automazione all'interno di Active Roles non richiedono più dipendenti IT da gestire ed eseguire. Ciò che generalmente richiederebbe 20 minuti per la creazione di Pluto Mortgages per account utente, ora richiede pochi secondi. Un risparmio di oltre 1.600 ore lavorative (circa $ 79.000 USD)
L'esempio di Pluto Mortgages si basa su 10.000 oggetti utente, 5 amministratori IT, 1 amministratore di Exchange e 10 membri del personale dell'helpdesk. Evidenzia un risparmio approssimativo di circa 1,1 milioni di dollari in tre anni con i ruoli attivi rispetto al continuare a utilizzare gli strumenti AD nativi. Un ROI medio annuo del 98% e un ROI cumulativo su tre anni del 194%.Conclusione
Gli esempi sopra riportati, sebbene illustrativi e approssimativi, rappresentano le sfide degli scenari di vita reale che molte organizzazioni affrontano oggi.
Come evidenziato, Active Roles consente alle organizzazioni di mitigare i rischi e colmare le lacune di sicurezza automatizzando attività, come il provisioning e il deprovisioning. Svolti manualmente, questi compiti richiederebbero enormi quantità di tempo e impegno e sarebbero soggetti a ritardi ed errori.
Active Roles consente alle organizzazioni di risparmiare tempo e denaro senza assumere personale IT aggiuntivo, oltre a garantire stabilità in un'economia mondiale dinamica.
Scopri di più su come i ruoli attivi possono aiutare la tua organizzazione ad automatizzare i processi AD/AAD, regolare l'accesso amministrativo con ruoli RBAC, superare le limitazioni degli strumenti nativi ed espandere il controllo AD oltre Windows.