Case: opzetten RBAC model uit Beaufort in Active Directory
Hoe zet je nou een structuur in AD op waar je applicaties en afdelingen hebt, tegenover een Beaufort systeem met kostenplaatsen en functies?
Een oplossing is om in Active Directory een eigen groepslaag aan te maken voor de basisrollen die je wilt definiëren, zeg maar een top 40 van rollen. Dit zijn dan 40 groepen waarbij je in het Notes veld de functiecodes uit Beaufort kunt zetten, gescheiden door puntkomma ";".
Op deze manier kun je bijvoorbeeld met UMRA altijd een query uitvoeren op de Active Directory waarbij de functiecode uit Beaufort altijd een resultaat geeft op 1 AD groep. In die AD groep nest je dan weer applicatiegroepen waarmee de autorisatiematrix tot stand komt.
Voorbeeld:
RBAC.00.ROL1: Notes veld bevat ";FC.01.A100;"
RBAC.00.ROL2: Notes veld bevat ";FC.01.A101;FC.02.A201;"
00 = locatiecode (indien van toepassing)
In het Notes veld kun je meerdere functiecodes kwijt waardoor je een 1-n relatie krijgt tussen rol en functie.
Met UMRA is hier eenvoudig een groepssynchronisatie mee te maken waardoor je in Active Directory de rollenmatrix zelf in beheer hebt, en bij wijzigingen zorgt UMRA ervoor dat iedereen lid wordt van de juiste RBAC groep, waardoor je ook weer de juiste geneste groepen mee zal krijgen.
Geschreven door:
Arnout van der Vorst
Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf. Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.