و سپس «افزودن به صفحه اصلی» ضربه بزنید
و سپس «افزودن به صفحه اصلی» ضربه بزنید
در سازمانهای مدرن، مدیریت حسابهای کاربری و دسترسی (Identity Provisioning) فقط یک مسئولیت IT نیست؛ بلکه بخشی حیاتی از امنیت، انطباقپذیری (Compliance)، تجربه کاربری و بهرهوری کسبوکار است. با گسترش کار از راه دور (Remote Work)، چند پلتفرمی بودن ابزارها و رشد سامانههای ابری، ایجاد، نگهداری و حذف حسابهای کاربری بهصورت دستی، تبدیل به یک ریسک امنیتی و عملیاتی شده است.
در چنین شرایطی، اتوماسیون Provisioning (خودکارسازی ایجاد و مدیریت هویت) نقش اصلی را در کنترل چرخه عمر هویت (Identity Lifecycle) بر عهده دارد:
از Onboarding (ایجاد کاربر در روز اول)
تا Offboarding (حذف کامل دسترسی در روز آخر).
در این مقاله، به صورت عملی و مرحلهبهمرحله میگوییم چگونه:
- ایجاد حسابها را خودکار کنیم.
- مجوزها و دسترسیها را Role-Based و استانداردسازی کنیم.
- فرآیند خروج کارمند را امن، قابلردگیری و قابلاثبات کنیم.
- چگونه همه اینها را در IAM سازمانی / Azure AD / Microsoft Entra ID / Okta / Keycloak پیاده کنیم.
Identity Lifecycle چرخه عمر هویت در سازمان
هر هویت در سازمان معمولاً این مراحل را طی میکند:
| مرحله | توضیح |
|---|---|
| Onboarding | ایجاد حساب، تخصیص گروهها و نقشها، ارسال راهنمای دسترسی |
| Change / Update | تغییر نقش شغلی، انتقال بخش، ارتقا/تنزل، تغییر سطح دسترسی |
| Offboarding | غیرفعالسازی، انتقال مالکیت، پاکسازی Token، حذف دائمی |
اگر این چرخه اتوماتیک نباشد:
- حسابهای اضافه انباشته میشوند.
- دسترسیهای بیش از حد باقی میمانند.
- ریسک نفوذ داخلی (Insider Threat) افزایش مییابد.
- ممیزی و انطباق (ISO 27001 ,SOC2 ,GDPR) دچار چالش میشود.
چرا به اتوماسیون Provisioning نیاز داریم؟
۱. امنیت
کاهش رخنههای ناشی از دسترسیهای فراموششده
(Example: کارمند سابق هنوز به CRM دسترسی دارد!)
۲. بهرهوری
کاهش فشار کاری Help Desk و تیم IT.
۳. تجربه کاربری
کارمند در روز اول آماده کار است، نه در انتظار ایجاد دسترسی.
۴. شفافیت و انطباق Auditable
رد پای تغییرات ثبت و قابل ارائه به ممیز.
معماری Identity Provisioning Automation
HR System → Identity Engine (IAM) → Directory (AD/Entra) → Apps (SaaS / On-Prem)
HR = Source of Truth
(منبع اصلی حقیقت؛ HR است نه IT.)
یعنی تغییر نقش/ورود/خروج باید از HR آغاز شود، نه از IT.
سناریوی واقعی: سازمان با Active Directory + Microsoft 365 + ERP داخلی
Onboarding اتوماتیک
۱) ورود اطلاعات کارمند در سیستم HR
۲) IAM Trigger میشود
3) ایجاد خودکار User در Active Directory
4) تخصیص گروهها بر اساس Job Role Template
5) ارسال ایمیل خوشآمد / creds / لینک آموزش
6) دسترسیها در Microsoft 365 و ERP اعمال میشود
Offboarding اتوماتیک
۱) HR وضعیت کاربر را Terminated ثبت میکند.
۲) IAM بلافاصله:
- حساب AD را Disable میکند.
- Tokenهای OAuth و Sessionها را باطل میکند.
- مالکیت فایلها را منتقل میکند.
- MFA و دستگاهها را Unenroll میکند.
- در نهایت حسابها را Remove میکند.
بهترین الگوی نقشدهی: RBAC + Group-Based Access
به جای تخصیص دسترسی کاربر به کاربر، دسترسیها را در قالب نقشهای شغلی استاندارد کنید:
| نقش | گروهها | سطح دسترسی |
|---|---|---|
| حسابدار | GRP_ACC_READ, GRP_ACC_WRITE | مالی، حسابداری |
| فروش | GRP_SALES_APP, GRP_CRM_USERS | CRM، گزارشها |
| مدیر IT | GRP_IT_ADMIN, GRP_DOMAIN_OPS | مدیریت سامانهها |
User → Role → Group → Permissions
اتوماسیون با ابزارهای واضح و قابل پیادهسازی
| ابزار | مناسب برای | مزایا |
|---|---|---|
| Microsoft Entra ID (Azure AD) | سازمانهای M365/Hybrid | SSO ،SCIM ،Access Review |
| Okta | SaaS Multi-Cloud | Provisioning گسترده، Workflow Builder |
| Keycloak | سازمانهای داخلی / Open Source | یکپارچهسازی منعطف، بدون لایسنس |
| SailPoint / OneIdentity | Enterprise | Identity Governance سطح بالا |
نمونه فرآیند اتوماسیون با Entra ID + Power Automate
Trigger: کارمند جدید در HR ثبت شد
↓
Action: ایجاد کاربر در Entra
↓
تخصیص گروهها بر اساس JobRole
↓
فعالسازی MFA
↓
ارسال ایمیل Welcome
↓
ثبت Event در SIEM (برای Audit)
نمونه Logic:
If HR.JobTitle = "Sales"
Assign Group "CRM_Users"
Assign Group "PowerBI_Reports_Sales"
Enable MFA
Offboarding ایمن: کلیدیترین مرحله امنیتی
باید تضمین شود که هیچ دسترسی باقی نمانده.
چکلیست:
- Disable Account
- Revoke Refresh Token
- Remove OAuth Sessions
- Transfer OneDrive / Emails
- Disable VPN / RDP
- Remove from SaaS apps
- Close Access Tickets
- Archive User
شاخصهای سنجش بلوغ IAM
| سطح | ویژگی |
|---|---|
| پایه | ساخت حسابها دستی |
| متوسط | گروهها تعریفشده ولی مدیریت دستی |
| پیشرفته | Provisioning خودکار + RBAC |
| عالی (Ideal) | IAM + SIEM + Access Review دورهای |
هدف شما: سطح ۳ به بالا.
سوالات متداول (FAQ)
۱. آیا اتوماسیون Provisioning باعث حذف نقش تیم IT میشود؟
خیر، فقط کارهای تکراری را حذف میکند؛ IT به کارهای معماری و نظارت میپردازد.
۲. اگر HR اشتباه ثبت کند چه؟
استفاده از Approval Workflow مشکل را حل میکند.
۳. آیا برای سازمانهای کوچک هم لازم است؟
بله، حتی یک دسترسی اضافه میتواند ریسک امنیتی باشد.
تماس و مشاوره در خصوص خدمات لاندا
در لاندا، ما معماری و پیادهسازی IAM و Identity Provisioning Automation را برای سازمانها طراحی و اجرا میکنیم:
- استقرار Entra / Okta / Keycloak
- طراحی RBAC و Group-Based Access
- پیادهسازی Onboarding و Offboarding خودکار
- اتصال سیستم HR و راهاندازی گزارشهای Audit
برای مشاوره یا شروع پروژه با مشاوران لاندا تماس ✆ تماس بگیرید.
نظری داده نشده