Organisaation identiteetinhallinta - selvitystyö henkilöstön identiteettien provisioinnista käyttäjähakemistoon
Immonen, Päivi (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024112630168
https://urn.fi/URN:NBN:fi:amk-2024112630168
Tiivistelmä
Uuden työntekijän aloittaessa organisaatiossa hänelle täytyy luoda digitaalinen identiteetti organisaation IT-ympäristöön. Identiteetille myönnetään sopivan laajuiset pääsyoikeudet työnkuvan hoitamiseen vaadittaviin resursseihin, kuten IT-järjestelmiin ja fyysisiin toimitiloihin. Tätä prosessia kutsutaan provisioinniksi, ja sama prosessi vastaa myös työsuhteen muutoksista ja oikeuksien poistamisesta työsuhteen päättyessä.
Tässä elo-marraskuussa 2024 toteutetussa toiminnallisessa opinnäytetyössä selvitetään toimeksiantajaorganisaation identiteettien provisiointiprosessi teknisestä näkökulmasta, sekä tutkitaan, olisiko Entra ID:n, Microsoftin pilvessä toimivan identiteetin- ja pääsynhallintaratkaisun, uudesta provisiointityökalusta tälle prosessille hyötyä. Työ rajautuu provisiointiprosessin tekniseen osuuteen sekä ennalta annettuun IAM-työkaluun tutustumiseen. Opinnäytetyössä ei käsitellä muiden kuin työntekijöiden identiteettien provisiointia, eikä siis esimerkiksi laite- tai asiakasidentiteettejä.
Opinnäytetyöraportin tietoperustassa esitellään asian taustoittamiseksi lukijalle identiteetin- ja pääsynhallinnan eli IAM:in käsitettä ja siihen kuuluvia tärkeimpiä teemoja. IAM-lyhennettä käytetään alan lähdemateriaalissa paljon, ja se tulee englannin sanoista Identity and Access Management. Tietoperustassa sivutaan myös tietoturvallisuutta ja tällä hetkellä pinnalla olevaa tietoturvamallia Zero Trustia, sillä identiteetin turvaaminen on nykypäivän IT-ympäristöissä ensisijaisen tärkeää.
Raportissa käsiteltävän provisiointiprosessin ymmärtämiseksi tietoperustassa käsitellään myös toimeksiantajaorganisaatiossa käytössä olevia Active Directory ja Entra ID -järjestelmiä sekä pilvipalvelu-käsitettä.
Toiminnallisessa osuudessa tekijä kuvaa selvitystyön tekemistä ja käyttämiään kahta kuvausmenetelmää: arkkitehtuurikaaviota ratkaisun käyttämistä pilviresursseista ja Business Process Modeling Notation -kaaviota ratkaisun toimintalogiikan kuvaamiseen. Näiden kuvausten lisäksi tuotokseen kuuluu analyysi Entra ID API-driven inbound provisioning -työkalun käytöstä henkilöstön identiteettien provisioinnissa. Opinnäytetyöprojektin lopputulos on siis näiden kolmen dokumentin muodostama kokonaisuus, joka vastaa kysymyksiin, miten ja minkälaisella alustalla identiteettien provisiointi HR-järjestelmästä käyttäjähakemistoon tällä hetkellä toimii, sekä voisiko Entra ID:n provisiointityökalu hyödyttää prosessia. Tätä tuotosta ei liitetty osaksi opinnäytetyöraporttia liikesalaisuuden vuoksi.
Raportin lopuksi tekijä arvioi opinnäytetyöprosessia ja siitä saatuja oppeja, sekä toiminnallisen työn tavoitteiden täyttymistä niin henkilökohtaisesti kuin toimeksiantajalta saadun palautteen perusteella.
Tässä elo-marraskuussa 2024 toteutetussa toiminnallisessa opinnäytetyössä selvitetään toimeksiantajaorganisaation identiteettien provisiointiprosessi teknisestä näkökulmasta, sekä tutkitaan, olisiko Entra ID:n, Microsoftin pilvessä toimivan identiteetin- ja pääsynhallintaratkaisun, uudesta provisiointityökalusta tälle prosessille hyötyä. Työ rajautuu provisiointiprosessin tekniseen osuuteen sekä ennalta annettuun IAM-työkaluun tutustumiseen. Opinnäytetyössä ei käsitellä muiden kuin työntekijöiden identiteettien provisiointia, eikä siis esimerkiksi laite- tai asiakasidentiteettejä.
Opinnäytetyöraportin tietoperustassa esitellään asian taustoittamiseksi lukijalle identiteetin- ja pääsynhallinnan eli IAM:in käsitettä ja siihen kuuluvia tärkeimpiä teemoja. IAM-lyhennettä käytetään alan lähdemateriaalissa paljon, ja se tulee englannin sanoista Identity and Access Management. Tietoperustassa sivutaan myös tietoturvallisuutta ja tällä hetkellä pinnalla olevaa tietoturvamallia Zero Trustia, sillä identiteetin turvaaminen on nykypäivän IT-ympäristöissä ensisijaisen tärkeää.
Raportissa käsiteltävän provisiointiprosessin ymmärtämiseksi tietoperustassa käsitellään myös toimeksiantajaorganisaatiossa käytössä olevia Active Directory ja Entra ID -järjestelmiä sekä pilvipalvelu-käsitettä.
Toiminnallisessa osuudessa tekijä kuvaa selvitystyön tekemistä ja käyttämiään kahta kuvausmenetelmää: arkkitehtuurikaaviota ratkaisun käyttämistä pilviresursseista ja Business Process Modeling Notation -kaaviota ratkaisun toimintalogiikan kuvaamiseen. Näiden kuvausten lisäksi tuotokseen kuuluu analyysi Entra ID API-driven inbound provisioning -työkalun käytöstä henkilöstön identiteettien provisioinnissa. Opinnäytetyöprojektin lopputulos on siis näiden kolmen dokumentin muodostama kokonaisuus, joka vastaa kysymyksiin, miten ja minkälaisella alustalla identiteettien provisiointi HR-järjestelmästä käyttäjähakemistoon tällä hetkellä toimii, sekä voisiko Entra ID:n provisiointityökalu hyödyttää prosessia. Tätä tuotosta ei liitetty osaksi opinnäytetyöraporttia liikesalaisuuden vuoksi.
Raportin lopuksi tekijä arvioi opinnäytetyöprosessia ja siitä saatuja oppeja, sekä toiminnallisen työn tavoitteiden täyttymistä niin henkilökohtaisesti kuin toimeksiantajalta saadun palautteen perusteella.