}

Case: Afas - Active Directory - Datawarehouse

Een grote klant heeft een internationaal netwerk waarbij het "Northern Europe" gedeelte in beheer is van de Nederlandse tak. De interne medewerkers in Nederland worden door AFAS HRM Profit beheerd, de externe en internationale medewerkers worden via de servicedesk aangevraagd en via UMRA in de Active Directory aangemaakt.

De uitdaging in deze case is het goed up-to-date houden van het Datawarehouse, dat gebruikt wordt voor rapportages. Dit Datawarehouse is van alle medewerkers, zowel intern, extern als internationaal, gevuld met data zoals kostenplaatsen, teams, manager, functiecodes, FTE om een sluitende financiele rapportage te kunnen genereren. Wat hierbij vooral lastig is, is om de data van zowel AFAS als eigen invoer voor externe medewerkers overeen te laten komen zodat het Datawarehouse dit als 1 type werknemer ziet.

De methode die wordt gehanteerd is om de Active Directory te voorzien van attributen in de extensionAttribute 1 t/m extensionAttribute15 range, en te vullen met eerder genoemde informatie. Het Datawarehouse pikt dit 1 keer per nacht op en vult hiermee zijn eigen interne database structuur.

Problemen en oplossingen:

  • Personeelsnummer. Medewerkers uit AFAS krijgen keurig een personeelsnummer, maar externe en internationale medewerkers hebben dit niet. Elk land heeft zijn eigen range, waar AFAS zich niet aan houdt. Oplossing is om aan het Datawarehouse een uniek nummer te vragen per land, en dit aan te bieden als mogelijkheid in een formulier aan de gebruiker. De gebruiker zal zelf na moeten gaan hoeveel gebruikers er die dag zijn aangemaakt om zelf te bepalen hoe uniek het nummer is, aangezien Datawarehouse slechts 1 keer per dag een synchronisatie doet.
  • Verschil in stamdata. Datawarehouse houdt een bepaalde structuur aan, die mogelijk niet met AFAS overeen komt. Bijvoorbeeld functienamen komen geheel niet overeen. Oplossing is om in een UMRA formulier een keuzelijst weer te geven uit AFAS (alleen bij interne medewerkers) en een query uit Datawarehouse, waar de servicedesk zelf de juiste functie uit een lijst kan kiezen.
  • In dienst/uit dienst. Bij interne medewerkers kun je goed zien of iemand in/uit dienst is, echter bij externe medewerkers heb je geen leidende informatie. Via UMRA zorgen we dat externe medewerkers nu via de servicedesk meteen uit dienst kunnen worden gezet en na 60 dagen krijgt de servicedesk de mogelijkheid om het account inclusief resources volledig te verwijderen.
  • Doorstroom in AFAS. Wanneer een medewerker verandert van functie moeten er zowel in de Active Directory als in Datawarehouse aanpassingen worden doorgevoerd. UMRA is zo ingesteld dat er een compare scan tussen AFAS en AD kan worden uitgevoerd waarbij zowel Team als FTE verschillen kunnen worden getoond en waar je dit meteen kunt herstellen. Dit zorgt er voor dat bij de eerstvolgende synchronisatieslag alle gegevens in Datawarehouse weer in lijn staan met AFAS.

SAP koppeling met Active Directory

Bij 1 van grootste ziekenhuizen van Nederland heb ik recentelijk een SAP koppeling naar Active Directory opgeleverd met behulp van UMRA van Tools4ever. Het scenario is dat SAP elke x minuten een feed aanleverde in CSV formaat met alle wijzigingen, die vervolgens in Active Directory verwerkt moeten worden. Met behulp van specifieke codes voor bepaalde mutaties (instroom, doorstroom, uitstroom) weet de UMRA engine welke business logica uitgevoerd moet worden.

Lees meer

User- en toegangsbeheer in cloud applicaties: een uitdaging

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties.

Lees meer

De vooroordelen van Single Sign On

Veel IT managers en Security Officers zijn terughoudend als het gaat om het implementeren van een Single Sign On (SSO) oplossing, hoewel de voordelen van SSO duidelijk zijn. Namelijk onder andere gebruikersgemak voor de eindgebruiker en minder wachtwoord reset calls naar de helpdesk. De terughoudendheid ten aanzien van SSO wordt in de hand gewerkt door een aantal vooroordelen over SSO.

Lees meer

RBAC: sleutelrol, beheer en evolutie

Veel organisaties zijn bezig met RBAC in meer of mindere vorm; verkenning, project, implementatie, vulling of beheer. We zien dat dit gestuurd wordt door normen als NEN7510, waarin voornamelijk staat beschreven dat je moet kunnen aantonen waarom iemand een autorisatie nodig heeft en hoe deze tot stand is gekomen. Inmiddels weten we dat RBAC niet een heilige graal is, maar dat veel implementaties stuk lopen door de te grote scope en complexiteit.

Lees meer

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

We zien dat veel organisaties steeds bewuster bezig zijn met security, waarschijnlijk mede ingegeven door regelgeving zoals NEN7510 en ICT-audit trajecten. Naast het autorisatiebeheer binnen applicaties, waar we al verschillende oplossingen voor bieden zijn we ook actief op het authenticatie-vlak, namelijk met een Single Sign On (SSO) oplossing.

Lees meer