什麼是 IAM Provisioning?
在企業數位化環境中,員工每天都在加入、轉調或離職。Provisioning 是一套自動化程序,負責跨 AD、郵件、ERP、HR 等異質系統,對帳號與權限執行系統化的建立、配置、同步及停用,確保使用者在正確時間擁有正確的存取權限。
Provisioning 的核心流程圍繞著帳號生命週期(Joiner-Mover-Leaver,JML)模型展開。新員工入職(Joiner)時自動開通帳號與角色;部門調動(Mover)時同步更新跨系統權限;離職(Leaver)時立即停用所有存取憑證。這三個階段若仰賴人工處理,往往造成權限殘留(Orphan Account)或存取空窗,形成重大資安風險。
跨系統權限同步的關鍵技術
企業 IAM 平台(如 Microsoft Entra ID、Okta、SailPoint)透過連接器(Connector)與目標系統整合,使用 SCIM 2.0 協定作為標準化的帳號同步介面。SCIM 定義了統一的 REST API 格式,讓 HR 系統的人事異動能即時推送至下游所有目標系統,無需為每個系統撰寫客製同步腳本。
對於不支援 SCIM 的舊有系統,通常採用基於角色的自動化工作流程(RBAC Workflow)搭配排程同步(Scheduled Sync)來補足缺口。IAM 平台依據角色定義(Role Definition)自動計算使用者應有的權限集合,並透過 API 或 Agent 將差異(Delta)推送至目標系統,確保各平台帳號狀態一致收斂。
POST /scim/v2/Users
{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "alice@example.com",
"active": true,
"roles": [{ "value": "ERP_Finance_Viewer" }]
}
💡 重點整理
- JML 模型是 Provisioning 自動化的核心框架,對應入職、調動、離職三個關鍵節點。
- SCIM 2.0 提供標準化 REST 介面,大幅降低跨系統整合的開發成本。
- RBAC + Delta Sync 確保只傳送差異變更,降低系統負擔並維持一致性。
- Orphan Account 治理是 Provisioning 成熟度的重要指標,應定期執行孤兒帳號稽核。
落實 Provisioning 自動化,不僅能消除人工疏失與安全空窗,更是企業通過 ISO 27001、SOC 2 等合規稽核的基礎建設。從 JML 模型出發,搭配 SCIM 標準,是現代 IAM 治理最務實的起點。
留言
張貼留言