員工離職後重新入職,舊帳號是否應直接復原?答案是否定的。Re-provisioning(重新配置)要求企業為復職員工重新建立帳號、重新授予最低必要權限,而非沿用歷史存取設定,以確保身份生命週期管理的完整性。
什麼是 Re-provisioning?
Re-provisioning 發生於員工離職後重新入職或留職停薪結束復職的情境。IT 團隊必須將舊帳號視為已終止的身份,重新走完完整的 Provisioning 流程:建立新帳號、依當前職務指派角色、授予基礎存取權限。舊帳號即便技術上仍存在,也不應直接啟用,因為其附帶的群組、角色與例外授權往往已不符合現職需求,直接復原將違反最小權限原則(Principle of Least Privilege),埋下安全隱患。
為何不能直接復原舊帳號?
員工離職期間,組織的系統架構、角色定義與資料分類往往已發生變動。若直接啟用舊帳號,可能繼承已被廢棄的群組成員資格、過期的例外授權,甚至跨系統的殘留 Token。此外,部分合規框架(如 ISO 27001、SOC 2)明確要求存取權限須與當前職務對應,且須有可查核的授權紀錄。Re-provisioning 從頭建立授權軌跡,確保每一項權限皆有明確業務理由,滿足稽核要求。
💡 重點整理
- 全新帳號或重置狀態:舊帳號停用後,復職須重新建立或徹底清除既有授權再重新指派。
- 依現職角色授權:僅依復職後的職務指派最低必要權限,不繼承離職前的歷史設定。
- 留存完整授權紀錄:每項權限需有審批記錄,以符合 ISO 27001、SOC 2 等合規要求。
- 納入 ILM 流程:Re-provisioning 是身份生命週期管理(Identity Lifecycle Management)的標準環節,應自動化觸發。
Re-provisioning 不是繁瑣的行政程序,而是身份安全的最後防線。將此流程納入 HR 系統與 IAM 平台的自動化觸發機制,才能在零信任架構下確保每一次復職都從最小信任起點重新出發。
📚 參考文獻
- NIST SP 800-53 Rev. 5 — Access Control (AC) & Identification and Authentication (IA):定義最小權限與帳號生命週期管理的權威框架。
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final - ISO/IEC 27001:2022 — Annex A, Control 5.18 Access Rights:規範存取權限須與職務對應並留存授權紀錄。
https://www.iso.org/standard/27001 - Microsoft Entra ID — Identity Lifecycle Management 官方文件:說明 Provisioning / De-provisioning / Re-provisioning 的自動化實作方式。
https://learn.microsoft.com/en-us/entra/id-governance/identity-lifecycle-management
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言