Management of external accounts

In an organization there are different types of accounts that need to be managed in different ways depending on their purpose and use.

This page describes the management of external accounts that require access to internal resources. These accounts are often referred to as short-term workers, contractors, partners or GIG workers.

Book meeting

Lifecyclemanagement

Movies

Different types of accounts

Workforce Identity (IAM)
Workforce Identity refers to accounts used by people who need to access resources within the organization.

These are divided into:

Internal (permanent employees)
- Refers to permanent employment within the organization.
- Management of these accounts is often automated through provisioning and synchronization from HR systems to streamline the process.
External (short-term workers, contractors, partners or GIG workers.)
- Refers to temporary accounts for people who need access to the organization's internal resources.
- A challenge many organizations have is where these accounts should be located.

Customer Identity (CIAM)

Customer Identity refers to accounts for external customers or citizens.

They have no need to access internal systems.
These users may use external authentication solutions, such as social accounts such as Google, Microsoft or Facebook, for login.
To read more about CIAM

Lifecycle management of external accounts

Inloggning för externa konton

När ett externt konto har skapats måste användaren kunna autentisera sig för att få tillgång till organisationens resurser. Våra produkter stödjer en rad olika inloggningsmetoder, vilket gör det möjligt att anpassa autentiseringen efter organisationens behov och säkerhetskrav.

BankID, Freja, Foreign eID: Användarvänliga och säkra lösningar för autentisering.

One-Time Password genererat via appar som Microsoft Authenticator, Google Authenticator eller liknande.

Användarnamn + OTP

SMS och e-post (SMTP) för enkel OTP-leverans.
YubiKey och andra hårdvarubaserade säkerhetsnycklar.
Certifikat för avancerad säkerhet i specifika miljöer.
Passkey, FIDO, smarta kort för moderna och säkra autentiseringslösningar.
Federation för att nyttja befintlig autentiseringslösning i organisationen, eller nyttja autentiseringslösning i den externa användarens organisation

Alternativa metoder

E-legitimation

Hantera/ändra externt konto

Denna process, även kallad mover eller crossboarding, omfattar ändringar och uppdateringar av befintliga externa konton. Det kan exempelvis handla om att lägga till information, uppdatera kontaktuppgifter eller ändra behörigheter för ett konto. Våra produkter erbjuder flera sätt att hantera dessa behov beroende på scenario och ansvarsfördelning.

Metoder för att hantera och ändra externa konton

Tillåt användaren själv att uppdatera vissa delar av sin kontoinformation via en användarvänlig portal.
Exempel på vad användaren kan ändra:

Uppdatera kontaktinformation, såsom e-postadress eller mobilnummer.
Begära åtkomst till specifika resurser eller applikationer.

Ge ansvariga personer i organisationen rätt att hantera externa konton som de ansvarar för.
Exempelscenario:

Kontoansvariga kan ändra kontoinformation, tilldela nya roller eller uppdatera behörigheter.
En anställd i linjen kan hantera konton kopplade till sin avdelning eller projekt.
Externt ansvariga konton kan hantera konton för sina underordnade eller team.

Certifiering:

Årlig bekräftelseprocess där kontoansvariga verifierar att de externa konton de ansvarar för fortfarande är aktuella och korrekta.

2. Delegerad administration

Automatisera processen för att säkerställa att kontoinformation är aktuell och att konton hanteras effektivt.
Exempel på automatiserade lösningar:

Synkronisering med externa system för att automatiskt uppdatera kontodata.
Automatiserade notifieringar till kontoansvariga när ett konto är nära att inaktiveras, vilket ger möjlighet att förlänga giltighetstiden.

3. Automation

1. Självregistrering

Låt externa användare logga in med sina egna konton från sin organisation via federation. Uppdaterad behörighet eller kontoinformation skickas med i federationsbiljetten och mottagande organisation uppdaterar kontodata utifrån det.

Sammanfattning
Hantera och ändra externa konton effektivt genom en kombination av självadministration, delegerad administration och automation. Detta säkerställer att kontoinformation alltid är aktuell och att externa konton hanteras på ett säkert och strukturerat sätt.

4. Federation

Skapa externt konto

Processen att skapa externa konton, även kallad onboarding eller joiner, kan variera beroende på organisationens behov och tekniska förutsättningar. Idealiskt är att automatisera processen, men ofta krävs någon form av manuell hantering.
Det är viktigt att den ansvariga personen i organisationen som hanterar externa konton, exempelvis en konsult eller sommararbetare, kan verifiera att personen är den den utger sig för att vara. Våra produkter erbjuder flera lösningar för att möta dessa behov beroende på scenario.

Metoder för att skapa externa konton

Använd självregistrering för att låta externa användare skapa sina egna konton med hjälp av en verifieringsmetod, exempelvis e-legitimation.
Exempelscenario:

En blivande konsult får en länk till en registreringssida.
Konsulten autentiserar sig med e-legitimation för att bekräfta sin identitet.
Konsulten fyller i och verifierar sin e-postadress och sitt mobilnummer.
Ett e-postmeddelande skickas med inloggningsuppgifter, eller konsulten kan direkt få tillgång till en portal med sina applikationer.
En notifiering skickas till ansvarig i organisationen om att kontot är skapat.
Möjlighet till godkännandeprocess innan kontot aktiveras.

Låt interna administratörer hantera skapandet av externa konton genom en delegerad process.
Exempelscenario:

En anställd, exempelvis från ekonomiavdelningen, begär att ett konsultkonto ska skapas.
Ekonomipersonen fyller i registreringssidan för konsulten.
En valfri godkännandeprocess kan implementeras, där en eller flera personer granskar och godkänner skapandet av kontot.

2. Delegerad administration

Om externa konton redan finns i en datakälla, såsom Entra, Google eller en textfil, kan våra produkter automatiskt importera och skapa konton i det system som organisationen använder.

3. Automation

1. Självregistrering

Låt externa användare logga in med sina egna konton från sin organisation via federation.
Exempelscenario:

En partnerorganisation upprättar en federation med er organisation.
Partnerns användare loggar in med sina befintliga kontouppgifter och får åtkomst till specifika resurser.

Övrigt

Sätt en standardlängd för hur länge externa konton ska vara aktiva innan de inaktiveras.
Notifiera ansvarig om ett konto är på väg att löpa ut, och tillåt möjlighet till förlängning.

4. Federation

Behörighetsstyrning för externa konton

Efter autentisering behöver användaren rätt behörigheter för att kunna arbeta i de tilldelade systemen.

Våra produkter erbjuder stöd för att:

Tilldela system och applikationer: Specificera vilka resurser användaren ska ha tillgång till.
Rättighetsstyrning i applikationer: Definiera användarens nivå av åtkomst inom varje applikation.
Självadministration för accessförfrågningar: Låt användaren begära tillgång till resurser, vilket kan kräva godkännande från en kontoansvarig.
Rollbaserad åtkomst: Tilldela en roll som automatiskt ger användaren tillgång till fördefinierade resurser och behörigheter.

Avsluta, avaktivera och förlänga externa konton

När ett externt konto inte längre behövs – till exempel när ett konsultuppdrag avslutats – ska kontot avaktiveras eller tas bort. I vissa fall kan kontot behöva förlängas om samarbetet fortsätter.

Stöd för avaktivering och förlängning

Sätt slutdatum vid skapande: Redan vid kontots skapande kan ett avaktiveringsdatum definieras.
Notifieringar till kontoägare: Kontoägaren informeras om status och kan vid behov inaktivera eller förlänga kontot.

När t.ex. 30 dagar återstår innan kontot avaktiveras skickas en automatisk notifiering till ansvarig, som kan välja att förlänga kontot.

Förlängning av konto

Om ett masterdatasystem är kopplat kan dess regler styra kontots livscykel, inklusive avaktivering och borttagning.

Integration med kundens datakälla

Automatiserade avaktiveringsprocesser

Vid inaktivering kan alla behörigheter automatiskt tas bort från kontot.
Kontot kan flyttas till en särskild plats för inaktiva konton för säker hantering och arkivering.

Hantering av inaktiva konton

Mer att tänka på

Register
Just as with employees, who are often initially registered in an HR system and then automatically provisioned to different systems, external accounts also need a register where they are first placed. Unlike internal accounts, however, it is unusual for this to happen in the organization's HR system.
To choose a register for external accounts, priority should be given to a solution that is both cost-effective and where the organization has relevant expertise.

Examples of registers:

LDAP: If the organization already works with LDAP, ADLDS may be a natural choice.

SQL: If SQL is an established solution internally, it may be appropriate to choose.

Cloud services: For organizations with experience with services such as Entra or Google, these options are preferred.

Our products can be integrated with all of these technologies, making it possible to choose the one that best suits your needs and skills.

Account owners and notifications
Each account created is linked to a responsible owner.
Notifications can be automated to notify the owner when an account is being deactivated. The owner can easily extend the validity of the account if necessary.

Certification
Automated certification processes where the account owner receives an annual reminder via email to confirm that the account should still be active and belong to them.

Management of external accounts

Different types of accounts

Lifecycle management of external accounts

Skapa externt konto

Metoder för att skapa externa konton

2. Delegerad administration

3. Automation

1. Självregistrering

4. Federation

Mer att tänka på

Contact us