将业务逻辑引入 PIM 角色激活工作流 笔记

将业务逻辑引入 PIM 角色激活工作流

Microsoft Entra 特权身份管理 (PIM) 现已提供自定义扩展预览版。此新功能允许组织将其独特的业务逻辑直接集成到 PIM 角色激活工作流中,从而解决需要超越 PIM 原生功能的治理控制的需求。许多组织需要执行诸如对照 ITSM 系统检查工单编号等验证,还需强制实施基于人力资源的访问规则或集成合规工作流。此前,这些验证需要借助 PIM 之外的手动流程,可能导致执行和审计缺口。通过自定义扩展,PIM 可在角色激活期间调用组织的 REST API。该 API 根据特定业务规则评估请求,并向 PIM 返回自动化决策。此流程包括 PIM 向自定义扩展 API 发送请求负载,随后应用业务逻辑并返回结果(如“已批准”、“自动批准”或“已拒绝”)。自定义扩展在预批准阶段被调用,从而实现实时决策。每次交互均完全可审计,提供端到端的可追溯性。设置自定义扩展涉及创建 REST API、使用 Entra ID 对其进行安全加固、在 PIM 中注册、将其链接到角色设置并测试流程。示例场景包括工单验证、人力资源合规检查、对值班人员的自动批准,以及在非批准窗口期拒绝访问。此功能有助于实现 Entra ID 治理的更广泛目标,即为关键资产确保正确的访问控制。