}

CASE: automatiseren user account processen en koppelen 3rd party applicaties

Gisteren was ik bij een klant uitgenodigd om een presentatie te geven over het organiseren en automatiseren van hun user account management processen. De situatie was als volgt:

  • Minder dan 1000 user accounts
  • 2 FTE systeembeheer
  • 2/3 FTE (skilled) helpdesk
  • Eigen scripts, lastig onderhoudbaar en door 1 persoon beheerd
  • Autorisatiestructuur in AD geen RBAC (kopieren rechten collega)
  • HR systeem nog niet gekoppeld
  • 40% verloop personeel, hoge mutatiegraad
  • ICT verantwoordelijk gehouden voor toewijzen autorisatie
  • Security bedrijfskritisch, gevoelige informatie
Tijdens de presentatie blijkt al snel dat de pijn voor een groot deel ligt bij het feit dat de ICT afdeling verantwoordelijk wordt geacht voor het uitdelen van autorisaties, terwijl dit eigenlijk een organisatie aangelegenheid is. Het tijdig kunnen notificeren en rapporteren naar managers toe is op dit moment door het ontbreken van een koppeling met het HR systeem niet mogelijk, waardoor instroom, doorstroom en uitstroom niet strak geregeld kan worden. Het verloop is groot, waardoor de mutatiegraad hoog is en veel handwerk nodig is om user accounts met autorisaties te beheren.
 
De oplossing die we met UMRA kunnen leveren om op korte en lange termijn deze situatie aan te pakken is gefaseerd en als volgt:
 
Fase 0: omzetten bestaande manier van werken naar digitale formulieren
  • Uitvoerbaar door helpdesk zonder admin rechten
  • Standaardisatie van naamgevingsconventie en aanmaken user als basisaccount
  • Autorisaties handmatig via keuze in digitale formulier
  • Manager bij instroomproces notificeren via e-mail

Fase 1: aansluiten op HR-systeem

  • Instroom, doorstroom en uitstroom kan worden bepaald uit dienstverbanden in het HR-systeem en worden genoticeerd naar helpdesk en manager
  • Manager/medewerker relatie kan worden bepaald
  • Gefaseerd uitstroom, waarbij op einddatum account disabled wordt, na x dagen wordt account met resources opgeruimd.
  • Automatise week/maandrapportage naar manager met alle medewerkers + autorisaties, zodat manager wordt geinformeerd over de stand van security

Fase 2: aansluiten 3rd party applicaties

  • Eerst notificatie per e-mail naar functioneel beheerder
  • Gefaseerd aansluiten automatische koppelingen per applicatie

SAP koppeling met Active Directory

Bij 1 van grootste ziekenhuizen van Nederland heb ik recentelijk een SAP koppeling naar Active Directory opgeleverd met behulp van UMRA van Tools4ever. Het scenario is dat SAP elke x minuten een feed aanleverde in CSV formaat met alle wijzigingen, die vervolgens in Active Directory verwerkt moeten worden. Met behulp van specifieke codes voor bepaalde mutaties (instroom, doorstroom, uitstroom) weet de UMRA engine welke business logica uitgevoerd moet worden.

Lees meer

User- en toegangsbeheer in cloud applicaties: een uitdaging

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties.

Lees meer

De vooroordelen van Single Sign On

Veel IT managers en Security Officers zijn terughoudend als het gaat om het implementeren van een Single Sign On (SSO) oplossing, hoewel de voordelen van SSO duidelijk zijn. Namelijk onder andere gebruikersgemak voor de eindgebruiker en minder wachtwoord reset calls naar de helpdesk. De terughoudendheid ten aanzien van SSO wordt in de hand gewerkt door een aantal vooroordelen over SSO.

Lees meer

RBAC: sleutelrol, beheer en evolutie

Veel organisaties zijn bezig met RBAC in meer of mindere vorm; verkenning, project, implementatie, vulling of beheer. We zien dat dit gestuurd wordt door normen als NEN7510, waarin voornamelijk staat beschreven dat je moet kunnen aantonen waarom iemand een autorisatie nodig heeft en hoe deze tot stand is gekomen. Inmiddels weten we dat RBAC niet een heilige graal is, maar dat veel implementaties stuk lopen door de te grote scope en complexiteit.

Lees meer

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

We zien dat veel organisaties steeds bewuster bezig zijn met security, waarschijnlijk mede ingegeven door regelgeving zoals NEN7510 en ICT-audit trajecten. Naast het autorisatiebeheer binnen applicaties, waar we al verschillende oplossingen voor bieden zijn we ook actief op het authenticatie-vlak, namelijk met een Single Sign On (SSO) oplossing.

Lees meer