Kimlik mutabakatı nasıl işler
Mutabakat, gerçeğin iki resmi arasındaki karşılaştırmadır. Bir tarafta kimin var olması ve neye sahip olması gerektiğini tanımlayan yetkili kaynak — genellikle İK verisi ve merkezi dizin — vardır. Diğer tarafta ise her bağlı uygulamada fiilen var olan hesaplar ve izinler bulunur.
Mutabakat motoru, eşleştirme kuralları kullanarak hesapları kimliklerle ilişkilendirir: personel numaraları, e-posta adresleri, kullanıcı adları veya öznitelik kombinasyonları. Ardından her hesap bir kategoriye düşer — doğru eşleşmiş, sahipsiz (sahibi olan kimlik yok), izinsiz (erişim sağlama süreci dışında oluşturulmuş) veya sapmış (öznitelikler ya da yetkilendirmeler politikanın öngördüğünden farklı).
Uyumsuzluklar yanıtları tetikler: otomatik düzeltme, hesabın devre dışı bırakılması veya vakanın karar için bir kişiye yönlendirilmesi. Mutabakat genellikle zamanlanmış olarak ve taşıma gibi toplu değişikliklerden sonra çalıştırılır.
Mutabakat neden önemlidir
Erişim sağlama otomasyonu yalnızca kendi yaptığı değişiklikleri kontrol eder. Yöneticiler uygulamalarda doğrudan hesap açmaya devam eder, entegrasyonlar sessizce başarısız olur ve taşımalar artık bırakır. Mutabakat olmadan kimlik sisteminin gerçeklik resmi her geçen gün doğrudan biraz daha uzaklaşır.
Mutabakatın bulduğu hesaplar tam da tehlikeli olanlardır. Ayrılmış çalışanlara ait sahipsiz hesaplar klasik bir saldırı vektörüdür; süreç dışında oluşturulan izinsiz hesaplar ise erişim gözden geçirmelerine görünmez. Denetçiler artık yalnızca "ayrılanların erişimini kaldırıyor musunuz" diye değil, "bir hesap bu sürecin dışına kaçarsa bunu nasıl bilirdiniz" diye de soruyor.
Mutabakatı doğru uygulamak
İlişkilendirme kuralları bu işin kalbidir. Görünen ad gibi kırılgan anahtarlar yerine personel numarası gibi kararlı ve benzersiz anahtarları tercih edin; otomatik eşleştirilemeyen hesaplar için, görünmeden birikmelerine izin vermek yerine açık bir kuyruk tanımlayın.
Yanıt politikalarını sistem bazında belirleyin: Düşük riskli uygulamalarda sapma otomatik düzeltilebilirken, kritik sistemlerde bir hesap devre dışı bırakılmadan önce bir kişi onay vermelidir. Sahipsiz ve izinsiz hesap sayılarını zaman içinde izleyin — sağlıklı bir program bu sayıları sıfıra indirir ve orada tutar. Monosync bu ilişkilendirmeyi AD, LDAP, İK ve SQL kaynakları arasında yürütür; eşleşmeyen hesapları işaretler ve SOC 2 ile ISO 27001 programları için kanıt olarak kullanılabilecek denetim raporları üretir.