ما المقصود بتنسيق الهوية؟

في عصر التحول الرقمي، تتبنى المؤسسات المزيد من حلول البرمجيات كخدمة (SaaS)، والتحول إلى بيئات السحابة المتعددة الهجينة وتبنّي العمل عن بُعد. تحتوي النظم البنائية لتكنولوجيا المعلومات في الشركات اليوم على مزيج متعدد البائعين من التطبيقات والأصول القائمة على السحابة والتطبيقات المحلية التي تخدم مختلف المستخدمين، بداية من الموظفين والمقاولين إلى الشركاء والعملاء.

وفقًا لأحد التقارير، يستخدم قسم الأعمال متوسط الحجم 87 تطبيقًا مختلفًا من تطبيقات البرمجيات كخدمة (SaaS).¹ غالبًا ما تحتوي هذه التطبيقات على أنظمة هوية خاصة بها، والتي قد لا تتكامل بسهولة مع بعضها البعض. ونتيجة لذلك، تتعامل العديد من المؤسسات مع مشاهد الهوية المجزأة وتجارب المستخدم المحرجة.

على سبيل المثال، قد يكون لدى الموظف حسابات منفصلة لنظام إدارة التذاكر الخاص بالشركة وبوابة إدارة علاقات العملاء (CRM). وهذا يمكن أن يجعل مهمة بسيطة، مثل حل تذاكر خدمة العملاء، أمرًا صعبًا. يجب على المستخدم التوفيق بين الهويات الرقمية المختلفة للحصول على تفاصيل التذكرة من نظام وسجلات العملاء ذات الصلة إلى نظام آخر.

وفي الوقت نفسه، تكافح فرق تكنولوجيا المعلومات والأمن السيبراني لتتبع نشاط المستخدم وفرض سياسات التحكم في الوصول المتسقة في جميع أنحاء الشبكة. في المثال السابق، يمكن أن ينتهي الأمر بالموظف إلى الحصول على امتيازات أكثر مما يحتاج إليه في نظام إدارة المشاريع، في حين أن أذونات إدارة علاقات العملاء الخاصة به منخفضة للغاية بحيث لا يمكنه الوصول إلى سجلات العملاء الذين يخدمهم.

يساعد برنامج تنسيق الهوية Identity Orchestration على تبسيط إدارة الهوية والوصول من خلال تنظيم خدمات الهوية والمصادقة المتباينة في مهام سير عمل متماسكة ومؤتمتة.

تتكامل جميع أدوات الهوية بالشركة مع برنامج التنسيق، والذي يتمثل دوره في إنشاء وإدارة الاتصالات بينهما. تُمكِّن هذه القدرة المؤسسة من بناء بنية مخصصة لإدارة الهوية والوصول (IAM)، مثل أنظمة تسجيل الدخول الموحد (SSO) غير المتصلة بالمورّد، دون استبدال الأنظمة الحالية أو إعادة تجهيزها.

بالعودة إلى المثال السابق، يمكن للمؤسسة استخدام منصة لتنسيق الهوية لربط حسابات الموظف في أنظمة إدارة التذاكر وإدارة علاقات العملاء (CRM) بمنصة تسجيل الدخول الموحد (SSO) وربطها جميعاً بدليل مستخدم مركزي. بهذه الطريقة، يمكن للمستخدمين تسجيل الدخول إلى خدمة تسجيل الدخول الموحد (SSO) مرة واحدة للوصول إلى كلا التطبيقين، ويتحقق الدليل المركزي تلقائياً من هوياتهم ويفرض أذونات الوصول الصحيحة لكل خدمة.

في مجال تكنولوجيا المعلومات، التنسيق هو عملية ربط وتنسيق أدوات متباينة لأتمتة مهام سير عمل معقدة متعددة الخطوات. على سبيل المثال، في مجال التنسيق الأمني، قد تجمع مؤسسة ما بين بوابة بريد إلكتروني آمنة، ومنصة استعلامات التهديدات وبرنامج مكافحة البرمجيات الخبيثة لإنشاء سير عمل تلقائي للكشف عن التصيد الاحتيالي والاستجابة له.

يعمل تنسيق الهوية على ربط وتنسيق قدرات أدوات الهوية المختلفة لإنشاء مهام سير عمل هوية موحدة ومبسطة.

أدوات الهوية هي الأدوات التي تستخدمها المؤسسة لتحديد هويات المستخدمين وإدارتها وتأمينها، مثل أنظمة التحقق من الهوية ومنصات إدارة الهوية والوصول.

مهام سير عمل الهوية هي العمليات التي يتنقل بها المستخدمون عبر أدوات الهوية. تتضمن أمثلة مهام سير عمل الهوية عمليات تسجيل دخول المستخدمين والتأهيل وتوفير الحساب.

لا تتكامل أدوات الهوية دائمًا بسهولة، خاصة عندما تتعامل المؤسسة مع أدوات البرمجيات كخدمة (SaaS) المستضافة على سحابات مختلفة أو تحاول سد الفجوات بين الأنظمة المحلية والأنظمة القائمة على السحابة. يمكن لمنصات تنسيق الهوية ربط هذه الأدوات معًا حتى وإن لم يكن قد تم إنشاؤها بغرض التكامل.

تعمل منصات تنسيق الهوية كمنصات تحكم مركزية لجميع أنظمة الهوية الموجودة في الشبكة. تتكامل كل أداة هوية مع منصة التنسيق، مما يؤدي إلى إنشاء بنية هوية شاملة تسمى نسيج الهوية.

لا يتعين على المؤسسات ترميز أي من عمليات التكامل هذه بشكل ثابت. بدلاً من ذلك، تستخدم منصات التنسيق مزيجًا من الموصلات المعدة مسبقًا وواجهات برمجة التطبيقات (APIs) والمعايير الشائعة مثل SAML وOAuth لإدارة الاتصالات بين الأدوات.

بمجرد أن يتم نسج أنظمة الهوية في نسيج الهوية، يمكن للمؤسسة استخدام منصة التنسيق لتنسيق أنشطتها والتحكم في كيفية حركة المستخدمين بين الأدوات أثناء مهام سير العمل. والأهم من ذلك أن منصة التنسيق تفصل المصادقة والتفويض عن التطبيقات الفردية، مما يجعل مهام سير عمل الهوية المعقدة ممكنة.

كما ذكرنا سابقاً، قد لا تتواصل أنظمة الهوية المختلفة مع بعضها البعض في غياب حل التنسيق. على سبيل المثال، إذا كانت مؤسسة ما تستخدم أداة إدارة علاقات العملاء (CRM) ونظام إدارة المستندات (DMS) من بائعين منفصلين، فقد يكون لكل تطبيق نظام إدارة الهوية والوصول (IAM) الخاص به.

يجب على المستخدمين الاحتفاظ بحسابات منفصلة في كل تطبيق. للوصول إلى أي من التطبيقين، سيقوم المستخدمون بتسجيل الدخول مباشرة إلى هذه الخدمة. ستحدث المصادقة والتفويض داخل نظام إدارة الهوية والوصول (IAM) المميز لكل تطبيق ولن يتم نقلهما بين التطبيقات.

مع حل التنسيق، تختلف الأمور. عندما يصل المستخدم إلى أي من التطبيقين، يمر الطلب عبر حل التنسيق أولا. يوجه الحل الطلب إلى خدمة تدقيق الهوية والتحكم في الوصول الصحيحة، والتي يمكن أن تكون دليلاً مركزياً خارج أي من التطبيقين.

بمجرد مصادقة المستخدم وتفويضه من قبل الدليل المركزي، تقوم منصة التنسيق بتشغيل التطبيق للسماح للمستخدم بالدخول وفقًا للأذونات الصحيحة.

ولتنفيذ تنسيق الهوية عملياً، تستخدم المؤسسات منصات تنسيق الهوية لبناء مهام سير عمل الهوية. مهام سير عمل الهوية، والتي تُسمى أيضًا "رحلات المستخدم"، هي عمليات تحدد كيفية انتقال المستخدم عبر أدوات الهوية — وكيفية تفاعل هذه الأدوات — في مواقف محددة، مثل حالة تسجيل الدخول إلى التطبيق.

يمكن أن تكون مهام سير العمل مباشرة أو معقدة نسبياً، مع منطق شرطي ومسارات متفرعة. يمكن أن تتضمن العديد من الأنظمة المختلفة، بما في ذلك بعض الأنظمة التي لا تعتبر أدوات هوية بشكل صارم، مثل خدمات البريد الإلكتروني ومواقع التواصل الاجتماعي.

تتيح حلول تنسيق الهوية للمؤسسات إمكانية إنشاء رحلات المستخدم دون كتابة أي تعليمات برمجية جديدة. تحتوي هذه الحلول على واجهات سحب ووضع مرئية بدون تعليمات برمجية يمكنها تحديد الأحداث وربط أدوات الهوية وإنشاء مسارات المستخدم.

لفهم ماهية مهام سير عمل الهوية، قد يكون من المفيد إلقاء نظرة على مثال. فيما يلي نموذج افتراضي لسير عمل تأهيل وتسجيل دخول الموظفين الجدد، يمكن لمؤسسة ما إنشاؤه من خلال منصة التنسيق.

1. أولاً، يقوم الموظف الجديد بإنشاء حساب في بوابة الموارد البشرية ذاتية الخدمة. يؤدي هذا إلى بدء سير عمل التأهيل.
   
   
2. تعمل منصة تنسيق الهوية على إنشاء هوية مستخدم فريدة للموظف الجديد في خدمة الدليل المركزي للمؤسسة. يتم تعيين الموظف الجديد تلقائيًا لمجموعة من امتيازات الوصول القائمة على الأدوار أيضًا.
   
   
3. تقوم منصة التنسيق بعد ذلك بتوفير حسابات للموظف الجديد في جميع الخدمات ذات الصلة، بما في ذلك التطبيقات التي سيستخدمها في الوظيفة وأنظمة المكاتب الخلفية مثل برامج كشوف المرتبات. ترتبط هذه الحسابات بهوية المستخدم الرئيسية للموظف الجديد في الدليل المركزي.
   
   
4. والآن بعد أن أصبح الموظف مُدرجًا في النظام، يمكنه تسجيل الدخول إلى تطبيق البريد الإلكتروني الخاص بالشركة. بدلاً من المرور مباشرةً عبر تطبيق البريد الإلكتروني، ينتقل طلب تسجيل الدخول إلى منصة التنسيق.
   
   
5. تقوم منصة التنسيق بتوجيه الطلب من خلال نظام الكشف عن الغش بحثًا عن علامات السلوك المشبوه. نظرًا لأن هذا الموظف الجديد يقوم بتسجيل الدخول إلى حساب بريده الإلكتروني لأول مرة، فقد تم تصنيفه على أنه ذو مخاطر أعلى.
   
   
6. بعد ذلك، يتم إرسال طلب تسجيل الدخول إلى منصة تسجيل الدخول الموحد (SSO) الخاصة بالمؤسسة. نظراً لأن الموظف الجديد قد تم تصنيفه على أنه ذو خطورة أعلى، يتم تفعيل المصادقة التكيفية. يجب على الموظف الجديد استخدام المصادقة متعددة العوامل (MFA) للدخول إلى حسابه.
   
   
7. يقوم الموظف الجديد بإكمال تحديات المصادقة، ويتم المصادقة عليه وتخويله من قبل الدليل المركزي. تنقل منصة التنسيق هذه المعلومات إلى منصة تسجيل الدخول الموحد (SSO)، والتي تتيح للموظف الجديد الدخول إلى حساب البريد الإلكتروني الخاص به - وجميع التطبيقات الأخرى التي تقف وراء تسجيل الدخول الموحد (SSO) - بالامتيازات المناسبة.

على الرغم من وجود العديد من الخطوات هنا، فمن الجدير بالذكر أن كل هذا يحدث تلقائيًا في الخلفية دون أن يلاحظ المستخدم ذلك. تشرف منصة التنسيق على العملية من البداية إلى النهاية. علاوة على ذلك، أصبحت عمليات تسجيل الدخول المستقبلية أكثر انسيابية. يقوم المستخدم بتسجيل الدخول إلى خدمة تسجيل الدخول الموحد (SSO)، والذي يتعرف عليه الآن ويمنحه إمكانية الوصول إلى كل ما يحتاج إليه.

لا تحل منصات تنسيق الهوية محل أنظمة الهوية الحالية. إنها تنشئ اتصالات بين هذه الأنظمة، مما يسمح للعديد من التطبيقات والأدوات بالعمل معاً حتى لو لم يتم تصميمها لذلك. يمكن أن تساعد هذه الوظيفة المؤسسات في معالجة بعض المشكلات الشائعة.