Gisteren was ik bij een klant uitgenodigd om een presentatie te geven over het organiseren en automatiseren van hun user account management processen. De situatie was als volgt:

  • Minder dan 1000 user accounts
  • 2 FTE systeembeheer
  • 2/3 FTE (skilled) helpdesk
  • Eigen scripts, lastig onderhoudbaar en door 1 persoon beheerd
  • Autorisatiestructuur in AD geen RBAC (kopieren rechten collega)
  • HR systeem nog niet gekoppeld
  • 40% verloop personeel, hoge mutatiegraad
  • ICT verantwoordelijk gehouden voor toewijzen autorisatie
  • Security bedrijfskritisch, gevoelige informatie
Tijdens de presentatie blijkt al snel dat de pijn voor een groot deel ligt bij het feit dat de ICT afdeling verantwoordelijk wordt geacht voor het uitdelen van autorisaties, terwijl dit eigenlijk een organisatie aangelegenheid is. Het tijdig kunnen notificeren en rapporteren naar managers toe is op dit moment door het ontbreken van een koppeling met het HR systeem niet mogelijk, waardoor instroom, doorstroom en uitstroom niet strak geregeld kan worden. Het verloop is groot, waardoor de mutatiegraad hoog is en veel handwerk nodig is om user accounts met autorisaties te beheren.
 
De oplossing die we met UMRA kunnen leveren om op korte en lange termijn deze situatie aan te pakken is gefaseerd en als volgt:
 
Fase 0: omzetten bestaande manier van werken naar digitale formulieren
  • Uitvoerbaar door helpdesk zonder admin rechten
  • Standaardisatie van naamgevingsconventie en aanmaken user als basisaccount
  • Autorisaties handmatig via keuze in digitale formulier
  • Manager bij instroomproces notificeren via e-mail

Fase 1: aansluiten op HR-systeem

  • Instroom, doorstroom en uitstroom kan worden bepaald uit dienstverbanden in het HR-systeem en worden genoticeerd naar helpdesk en manager
  • Manager/medewerker relatie kan worden bepaald
  • Gefaseerd uitstroom, waarbij op einddatum account disabled wordt, na x dagen wordt account met resources opgeruimd.
  • Automatise week/maandrapportage naar manager met alle medewerkers + autorisaties, zodat manager wordt geinformeerd over de stand van security

Fase 2: aansluiten 3rd party applicaties

  • Eerst notificatie per e-mail naar functioneel beheerder
  • Gefaseerd aansluiten automatische koppelingen per applicatie