}

HR: match employees on user accounts

The basic challenge in matching any HR-system to Active Directory is finding the user account for every employee in HR. The best method of linking is to embed the employee ID or the social security number into the Active Directory user accounts.

When starting to synchronize HR to Active Directory, you may not have an ID for every Active Directory user, so you need to insert them first. To avoid having to manually match all user accounts, UMRA offers some smart scripting tactics to make sure you have about 85-90% matches done automatically.

UMRA's basic synchronization engine offers the ability to read all employees from any HR-system, including all naming attributes. The results of the method as described in this topic can greatly vary based on how strict you have used naming conventions in the past and if the "displayName" or "cn" attributes contain named values.

  • Format %firstname%, %middlename% and %lastname% to remove diacritical marks
  • Match based on ldap search (&(objectCategory=person)(cn=%firstname%*)(cn=*%middlename_own%*)(cn=*%lastname_own%))
  • Match based on ldap search (&(objectCategory=person)(cn=%firstname%*)(cn=*%middlename_partner%*)(cn=*%lastname_partner%))
  • Match based on ldap search (&(objectCategory=person)(cn=%firstname%*)(cn=*%lastname_own%))
  • Match based on ldap search (&(objectCategory=person)(cn=%firstname%*)(cn=*%lastname_partner%))
  • All above matching techniques MUST only return 1 result, otherwise don't use the results
  • All above matching techniques MUST be used in the order as shown
  • The above technique is based on the following cn contents: %firstname% %middlename% %lastname%: Arnout van der Vorst. If your cn contains values like "Vorst, Arnout van der" you will need to modify the sequence in the ldap search string
  • The above technique MUST be used in a joining operation, making sure you will never get the same or already processed results twice
  • Use the employeeID or employeeNumber attributes in Active Directory to store the HR unique ID

All entries that still do not match will mostly be misspelled entries, which can't be detected. If HR contains the name "Adrianna" and your Active Directory user is called "Adriana", it won't be matched. UMRA can create a log of all user accounts which were not matched, these entries will need to be processed manually.

SAP koppeling met Active Directory

Bij 1 van grootste ziekenhuizen van Nederland heb ik recentelijk een SAP koppeling naar Active Directory opgeleverd met behulp van UMRA van Tools4ever. Het scenario is dat SAP elke x minuten een feed aanleverde in CSV formaat met alle wijzigingen, die vervolgens in Active Directory verwerkt moeten worden. Met behulp van specifieke codes voor bepaalde mutaties (instroom, doorstroom, uitstroom) weet de UMRA engine welke business logica uitgevoerd moet worden.

Lees meer

User- en toegangsbeheer in cloud applicaties: een uitdaging

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties.

Lees meer

De vooroordelen van Single Sign On

Veel IT managers en Security Officers zijn terughoudend als het gaat om het implementeren van een Single Sign On (SSO) oplossing, hoewel de voordelen van SSO duidelijk zijn. Namelijk onder andere gebruikersgemak voor de eindgebruiker en minder wachtwoord reset calls naar de helpdesk. De terughoudendheid ten aanzien van SSO wordt in de hand gewerkt door een aantal vooroordelen over SSO.

Lees meer

RBAC: sleutelrol, beheer en evolutie

Veel organisaties zijn bezig met RBAC in meer of mindere vorm; verkenning, project, implementatie, vulling of beheer. We zien dat dit gestuurd wordt door normen als NEN7510, waarin voornamelijk staat beschreven dat je moet kunnen aantonen waarom iemand een autorisatie nodig heeft en hoe deze tot stand is gekomen. Inmiddels weten we dat RBAC niet een heilige graal is, maar dat veel implementaties stuk lopen door de te grote scope en complexiteit.

Lees meer

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

We zien dat veel organisaties steeds bewuster bezig zijn met security, waarschijnlijk mede ingegeven door regelgeving zoals NEN7510 en ICT-audit trajecten. Naast het autorisatiebeheer binnen applicaties, waar we al verschillende oplossingen voor bieden zijn we ook actief op het authenticatie-vlak, namelijk met een Single Sign On (SSO) oplossing.

Lees meer