W poprzednich wpisach poruszałem temat uprawnień w usługach MS365 służących do przechowywania danych. Odpowiednie nadawanie i zarządzanie uprawnieniami w OneDrive czy SharePoint jest niezwykle istotną, ale również potencjalnie czasochłonną kwestią. W szczególności mowa tutaj oczywiście o nadawaniu uprawnień do witryn, bibliotek, folderów czy plików w większych środowiskach. Duża część uprawnień jest co prawda w przypadku wymienionych usług nadawana bezpośrednio przez użytkowników. Nie zmienia to jednak faktu, że spora część z nich nadal spoczywa na barkach administratorów. Oczywistym rozwiązaniem dla uproszczenia procesu nadawania uprawnień są grupy. Pozwalają one efektywnie i dynamicznie zarządzać uprawnieniami naszych użytkowników. Ale czy ten proces możemy jeszcze bardziej uprościć czy „zautomatyzować”? Okazuje się, że tak! Z pomocą przychodzi nam mechanizm Entitlement Management, który pozwala nam tworzyć pakiety dostępu. Jak działa ten mechanizm i w jakich sytuacjach znajduje swoje zastosowanie? Zapraszam do lektury!
Entitlement Management, czyli przyjaciel administratora i nowych pracowników
Pakiety dostępu, podobnie jak grupy, pozwalają nam zebrać cały szereg różnych uprawnień i przypisać je za pomocą kilku kliknięć do danego użytkownika. Część z Was może zastanawiać się co w takim razie różni grupy od omawianego mechanizmu? Nieco uogólniając możemy powiedzieć, że pakiety dostępu znajdują się poziom wyżej niż grupy. Mówiąc bardziej konkretnie – w ramach jednego pakietu dostępu możemy przypisać użytkownika do wielu różnych grup. Nie musimy więc przypisywać użytkownika ręcznie czy za pomocą skryptu do odpowiednich grup. Możemy w prosty sposób zdefiniować pakiet, który wykona takie czynności za nas.
Na tym jednak w żadnym wypadku nie kończą się benefity płynące z wykorzystania pakietów dostępu. Część osób na pewno słusznie zauważy, że samo przypisanie do wielu różnych grup nie da nam wielkiej przewagi względem dobrze przygotowanego skryptu. To prawda. Skrypt jednak nie zostanie wykonany przez użytkownika, a administratora z odpowiednimi uprawnieniami. Uprawnienia nadawane w ramach skryptu nie będą miały wbudowanego mechanizmu zatwierdzania nadawania takich uprawnień. W takiej sytuacji często będziemy musieli wykorzystać zewnętrzny system do akceptacji. A w przeciwieństwie do skryptu Entitlement Management będzie oferował nam takie możliwości.
W Entitlement Management możemy określić np. przynależność do grup, uprawnienia do aplikacji czy witryn na SharePoint. Te różne od siebie uprawnienia mogą być niezbędne, aby pracownik mógł wykonywać swoją pracę. Częsty problem polega na tym, że taki pracownik (szczególnie nowy) nie wie jakie uprawnienia są mu niezbędne do wykonywania jego pracy. Jego szef, manager czy team leader wnioskował o takie uprawnienia wiele miesięcy czy lat temu. Nie trudno więc o pominięcie niektórych z nich i tym samym wydłużenie całego procesu ich uzyskiwania. Sam administrator zwykle również nie będzie miał wiedzy na temat uprawnień, które powinien posiadać każdy pracownik. Z perspektywy użytkownika zawnioskowanie o cały pakiet dostępu adekwatny do jego stanowiska z pewnością będzie dużo prostsze.
Entitlement management w praktyce
Aby najlepiej zrozumieć działanie i możliwości tego mechanizmu posłużmy się praktycznymi przykładami.
Przygotowanie pakietów dostępu
Zacznijmy od utworzenia przykładowych pakietów dostępu. W Azure Active Directory, w zakładce Identity Governance znajdziemy wspomiane pakiety:
W moim testowym środowisku mam już utworzone kilka pakietów. Na przykładzie utworzonych pakietów, mogą one zawierać np. uprawnienia dla:
- danego zespołu projektowego
- każdego pracownika danego działu
- każdego pracownika na danym stanowisku
Na potrzeby tego przykładu przejdźmy do tworzenia przykładowego pakietu dostępu. W pierwszym kroku musimy określić jego nazwę, opis oraz grupę, do której będzie należał:
W kolejnym kroku określimy uprawnienia, które będą powiązane z tworzonym przez nas pakietem. Na potrzeby tego przykładu dodajmy przynależność do odpowiednich grup oraz dostęp do witryn na SharePoint. Naturalnie z faktu przynależności do odpowiednich grup mogą wynikać dalsze uprawnienia dla użytkownika. Dla każdego z elementu musimy również określić poziom nadawanych uprawnień czy rolę względem danego zasobu:
W kolejnym kroku określamy użytkowników, którzy będą mieli możliwość wnioskowania o dany pakiet dostępu. Mogą być to użytkownicy z naszej organizacji (dodani do naszego AAD) lub użytkownicy zewnętrzni. Do wyboru mamy również możliwość przypisywania pakietu wyłącznie przez administratora, bez możliwości wnioskowania o niego przez użytkownika:
Niżej możemy uszczegółowić powyższą kwestię, wskazując czy o pakiet będą mogły wnioskować osoby, dodane do naszego AAD jako goście czy np. wskazać konkretną grupę użytkowników, która będzie miała taką możliwość:
Jeszcze niżej znajdziemy konfigurację mechanizmu zatwierdzania. Możemy tutaj określić, czy zatwierdzanie uprawnień będzie w ogóle wymagane (jeżeli nie, uprawnienia zostaną przypisane automatycznie na wniosek użytkownika), czy wymagane jest uzasadnienie, ile etapów akceptacji będzie wymagane, jak również wszelkie inne szczegóły dotyczące procesu akceptacji jak wskazanie osoby zatwierdzającej (konkretna osoba lub manager danej osoby, jeżeli jest on ustawiony), czas na podjęcie decyzji (po jego upłynięciu wiosek o pakiet zostaje odrzucony), wymaganie uzasadnienia decyzji czy przekazanie zatwierdzenia do innej osoby po braku decyzji po określonej liczbie dni:
Na samym dole możemy również określić, czy dany pakiet może jeszcze zostać przypisany/zawnioskowany:
Następnie możemy określić konkretne pytania, na które użytkownik będzie musiał udzielić odpowiedzi wnioskując o dany pakiet:
W ostatnim korku możemy określić czas lub datę wygaśnięcia nadanych w ramach pakietu uprawnień, jak również skonfigurować mechanizm przeglądu uprawnień. Pozwoli on w sposób systemowy wymuszać wykonanie takiego przeglądu co określoną ilość czasu:
Wnioskowanie o pakiet dostępu
Przenieśmy się teraz do perspektywy zwykłego użytkownika. To, co musi zrobić użytkownik, aby zawnioskować o odpowiedni pakiet dostępu, to przejść na stronę https://myaccess.microsoft.com/. Po zalogowaniu się użytkownik zobaczy wszystkie dostępne dla niego pakiety, o które może wnioskować, w tym utworzony przed chwilą pakiet:
Spróbujmy zawnioskować o dostępne w ramach pakietu uprawnienia. W tym celu użytkownik musi kliknąć na „+” widoczny na środku ekranu po najechaniu myszką:
a następnie wypełnić wymagane pola, zgodnie z tym jak skonfigurowany został pakiet dostępu. W tym przypadku będzie to oczywiście wyłącznie uzasadnienie oraz pytanie, które skonfigurowaliśmy na etapie tworzenia pakietu. Użytkownik może również określić okres, dla którego niezbędne są mu takie uprawnienia:
Po przesłaniu wniosku przez użytkownika, zgodnie z konfiguracją pakietu, musi on zostać zatwierdzony przez odpowiednie osoby. Osoba akceptująca otrzymuje na maila informację o pojawieniu się nowego wniosku wraz z podstawowymi informacjami:
Po zapoznaniu się z wnioskiem oraz wszystkimi jego szczegółami musi ona podjąć decyzję dotyczącą przyznania wnioskowany uprawnień, bądź odrzucenia takiego wniosku:
Po zatwierdzeniu (o ile konfiguracja nie wymagała np. 2 etapów) uprawnienia zawarte w pakiecie zostają przypisane do użytkownika, który otrzymuje informacje mailową:
Może on również w każdej chwili przejrzeć historię całego wniosku:
W celu weryfikacji możemy przejść np. na SharePoint, gdzie użytkownik powinien zostać dodany do dwóch witryn ujętych w pakiecie. Możemy zauważyć, że użytkownik faktycznie posiada dostęp do wskazanych witryn:
Słowo końcowe
W ten sposób użytkownik miał możliwość samodzielnie zawnioskować o niezbędne mu uprawnienia. Mechanizm zatwierdzania pozwolił na weryfikację, czy wnioskowane uprawnienia są mu faktycznie niezbędne, a same uprawnienia nadane zostały automatycznie. Nie licząc czasu niezbędnego do skonfigurowania pakietu dostępu, cały proces w zasadzie nie wymagał ingerencji administratora. Dodatkowo był on prosty i przejrzysty, zarówno dla wnioskującego, jak i akceptującego.
Pakiety dostępu są więc bardzo wygodnym sposobem na zarządzanie uprawnieniami w naszym środowisku. Wbudowane mechanizmy zatwierdzania oraz przeglądu uprawnień pozwalają nam na zachowanie odpowiedniego poziomu bezpieczeństwa. Mowa tutaj naturalnie o fundamencie, jakim jest realizacja zasady „najniższych możliwych uprawnień”, o której tak często wspominam. Nie od dziś wiadomo, że automatyzacja wszelkiego typu procesów to kierunek, w którym powinniśmy podążać. Pozwala zaoszczędzić czas, ale również uniknąć prostych błędów wynikających choćby z rutyny. Jeżeli więc administrujecie środowiskiem Microsoft 365 – Entitlement Management oraz dostępne w ramach niego pakiety dostępu powinny zwrócić Waszą uwagę.
