Compartilhar via

Integrar novos funcionários remotos usando a verificação de ID

  • Artigo

As empresas que integram usuários enfrentam desafios significativos ao integrar usuários remotos que ainda não estão dentro do limite de confiança. A ID Verificada do Microsoft Entra pode ajudar os clientes que enfrentam esses cenários porque ela pode usar atestados baseados em ID emitidos pelo governo como uma maneira de estabelecer confiança.

Quando usar esse padrão

  • Você tem um sistema de Recursos Humanos (RH) moderno com suporte para API.
  • Seu sistema de RH permite que a integração programática consulte o sistema de RH para fazer uma correspondência confiável de perfis de usuário.
  • Sua organização já iniciou seu percurso sem senha.

Solução

  1. Um portal personalizado para a integração de novos funcionários.

  2. Um trabalho de back-end fornece novas contratações com um link exclusivamente identificável para o portal de integração de funcionários de (A) que representa o processo específico do novo contratado. Para esse caso de uso, a conta da nova contratação já deve estar provisionada na ID do Microsoft Entra. Considere usar fluxos de trabalho do ciclo de vida como o ponto de gatilho desse fluxo.

  3. Os novos contratados selecionam o link para o portal no (A) acima e são guiados por uma experiência semelhante a um assistente:

  4. Os novos contratados são redirecionados para adquirir uma ID verificada do parceiro de verificação de identidade (também chamado de IDV. Para saber mais sobre os parceiros de verificação de identidade: https://aka.ms/verifiedidisv)

  5. Os novos contratados apresentam a ID verificada adquirida na Etapa 1

  6. O sistema recebe as declarações do parceiro de verificação de identidade, pesquisa a conta de usuário para a nova contratação e executa a validação.

  7. O sistema executa a lógica de integração para localizar a conta do Microsoft Entra do usuário e gerar uma senha de acesso temporária usando o MS Graph.

Diagrama mostrando um fluxo de alto nível.

Problemas e considerações

  • O link usado para iniciar o processo precisa atender a alguns critérios:
    • O link deve ser específico para cada funcionário remoto.
    • O link deve ser válido por apenas um curto período de tempo.
    • Ele deve se tornar inválido depois que um usuário terminar de passar pelo fluxo.
    • O link deve ser projetado para correlacionar-se a um identificador de registro de RH exclusivo
  • Uma conta do Microsoft Entra deve ser criada previamente para cada usuário. A conta deve ser usada como parte do processo de validação de solicitação do site.
  • Os administradores frequentemente lidam com discrepâncias entre as informações dos usuários mantidas nos sistemas de TI de uma empresa, como aplicativos de recursos humanos ou soluções de gerenciamento de identidade, e as informações fornecidas pelos usuários. Por exemplo, um funcionário pode ter o nome "James", mas em seu perfil o seu nome é "Jim". Para esses cenários:
    1. No início do processo de RH, os candidatos devem usar o nome exatamente como aparece em documentos emitidos pelo governo. Adotar essa abordagem simplifica a lógica de validação.
    2. Crie uma lógica de validação para incluir atributos mais propensos a ter uma correspondência exata com o sistema de RH. Atributos comuns incluem endereço, data de nascimento, nacionalidade, número de identificação nacional ou regional (se aplicável), além e nome e sobrenome.
    3. Como alternativa, planeje que a revisão humana funcione por meio de resultados ambíguos/não conclusivos. Esse processo pode incluir o armazenamento temporário dos atributos apresentados no VC, chamada telefônica com o usuário, etc.
  • As organizações multinacionais podem precisar trabalhar com diferentes parceiros de revisão de identidade com base na região do usuário.
  • Suponha que a interação inicial entre o usuário e o parceiro de integração não seja confiável. O portal de integração deve gerar logs detalhados para todas as solicitações processadas que poderiam ser usadas para fins de auditoria.

Recursos adicionais