将业务逻辑引入 PIM 角色激活工作流
Microsoft Entra 特权身份管理 (PIM) 现已提供自定义扩展预览版。此新功能允许组织将其独特的业务逻辑直接集成到 PIM 角色激活工作流中,从而解决需要超越 PIM 原生功能的治理控制的需求。许多组织需要执行诸如对照 ITSM 系统检查工单编号等验证,还需强制实施基于人力资源的访问规则或集成合规工作流。此前,这些验证需要借助 PIM 之外的手动流程,可能导致执行和审计缺口。通过自定义扩展,PIM 可在角色激活期间调用组织的 REST API。该 API 根据特定业务规则评估请求,并向 PIM 返回自动化决策。此流程包括 PIM 向自定义扩展 API 发送请求负载,随后应用业务逻辑并返回结果(如“已批准”、“自动批准”或“已拒绝”)。自定义扩展在预批准阶段被调用,从而实现实时决策。每次交互均完全可审计,提供端到端的可追溯性。设置自定义扩展涉及创建 REST API、使用 Entra ID 对其进行安全加固、在 PIM 中注册、将其链接到角色设置并测试流程。示例场景包括工单验证、人力资源合规检查、对值班人员的自动批准,以及在非批准窗口期拒绝访问。此功能有助于实现 Entra ID 治理的更广泛目标,即为关键资产确保正确的访问控制。