JML'nin üç aşaması
İşe giriş aşaması, yeni bir çalışanın ilk gününde ihtiyaç duyduğu her şeyi kapsar: Dizinde bir hesap, e-posta, grup üyelikleri ve rolünün gerektirdiği uygulamalara erişim. Tetikleyici genellikle İK sisteminde oluşturulan kayıttır; bu kayıt kimlik platformuna akar ve otomatik erişim sağlamayı başlatır.
Görev değişikliği aşaması rol değişikliklerini ele alır. Biri finanstan satışa geçtiğinde yeni erişime ihtiyaç duyar — ancak aynı derecede önemlisi, eski erişiminin kaldırılması gerekir. Bu, doğru yapılması en zor aşamadır; çünkü erişim eklemek görünür ve acildir, kaldırmak ise ikisi de değildir.
İşten ayrılış aşaması her şeyi geri alır: Hesapların devre dışı bırakılması, oturumların sonlandırılması, belirteç ve sertifikaların iptali, posta kutusu ve dosya gibi kaynakların sahipliğinin devri. Burada hız kritiktir; ayrılan kişinin erişimi haftalar değil saatler içinde kaldırılmalıdır.
JML neden önemlidir
Yavaş bir işe giriş süreci üretkenliğe mal olur — yeni çalışanlar erişim için günlerce bekler. Zayıf bir görev değişikliği süreci ayrıcalık birikimine yol açar; uzun süredir çalışanlar geçmişteki her rollerinden kalan erişimi biriktirir. Bozuk bir işten ayrılış süreci ise doğrudan bir güvenlik açığıdır: Artık kurumda çalışmayan kişilere ait aktif hesaplar, hem saldırganlar hem de küskün eski çalışanlar için iyi belgelenmiş bir giriş noktasıdır.
Denetçiler JML üzerinde yoğun olarak durur. SOC 2 ve ISO 27001 değerlendirmelerinde yakın zamanda ayrılanlardan örneklem alınarak erişimlerinin ne kadar hızlı kaldırıldığı, işe girenlerden örneklem alınarak erişimin verilmeden önce onaylandığı kontrol edilir.
İyi bir JML, kimlik yönetişiminin geri kalanının da temelidir: Erişim gözden geçirmeleri ve SoD kontrolleri ancak temel hesap verileri gerçeği yansıttığında anlamlıdır.
Pratikte JML otomasyonu
Otomasyon, İK'yı yetkili doğruluk kaynağı yapmakla başlar. İşe alım, görev değişikliği ve işten çıkış olayları İK sisteminden kimlik platformuna otomatik aktığında, standart durumlar için erişim sağlama ve kaldırma, talep kaydı veya manuel adım olmadan gerçekleşir.
Rol veya öznitelik tabanlı erişim modelleri otomasyonu öngörülebilir kılar: Kişinin departmanı, unvanı ve konumu temel erişim setini belirler; bunun ötesindeki her şey talep ve onay iş akışından geçer. Görev değişikliklerinde yaygın bir desen, yeni erişimi hemen verirken eski erişimi kısa ve tanımlı bir geçiş süresinin sonunda sonlandırmaktır.
Monosign, bağlı uygulamalar genelinde işe giriş, görev değişikliği ve işten ayrılış olaylarını otomatikleştiren yaşam döngüsü iş akışlarıyla bunu destekler.