User Provisioning 用户配置
创建和维护用户数字身份的过程。是 IAM(Identity and Access Management)的核心运营动作。
三个生命周期阶段
| 阶段 | 动作 |
|---|---|
| Provisioning(入职) | 开账号、加邮箱、给系统权限、发设备 |
| Re-provisioning(调岗) | 调整权限组、收回旧权限、加新权限 |
| De-provisioning(离职) | 立刻禁用账号、回收设备、转移数据所有权 |
为什么 de-provisioning 是重头戏
离职没及时关账号 = 公司天天敞着一个后门。常见事故:
- 离职员工还能登 Slack / Gmail / GitHub
- 共享密码没改,前员工仍能进生产系统
- 个人账号绑过的 SaaS,人走了订阅还在跑
最佳实践: 离职流程触发后 1 小时内禁用所有访问。HR 系统跟 IAM 联动自动跑。
跟 最小权限 的关系
provisioning 时给的权限应当是完成本职工作所需的最小集合,不是”反正以后可能用得上,先给了”。每多给一个权限,就多一份风险面。
自动化是关键
人肉操作 = 漏给/错给/忘收。 现代企业:
- HR 系统 → IDP(如 Okta / Azure AD)自动同步
- 按 role / department 自动套用权限模板(RBAC)
- 配 SSO 做统一登录,一处禁用即全断
跟 Access Controls 是上下游 —— provisioning 是发钥匙,access controls 是开门检查钥匙。