Case: opzetten RBAC model uit Beaufort in Active Directory

Hoe zet je nou een structuur in AD op waar je applicaties en afdelingen hebt, tegenover een Beaufort systeem met kostenplaatsen en functies?

Een oplossing is om in Active Directory een eigen groepslaag aan te maken voor de basisrollen die je wilt definieren, zeg maar een top 40 van rollen. Dit zijn dan 40 groepen waarbij je in het Notes veld de functiecodes uit Beaufort kunt zetten, gescheiden door puntcomma “;”.

Op deze manier kun je bijvoorbeeld met UMRA altijd een query uitvoeren op de Active Directory waarbij de functiecode uit Beaufort altijd een resultaat geeft op 1 AD groep. In die AD groep nest je dan weer applicatiegroepen waarmee de autorisatiematrix tot stand komt.

Voorbeeld:
RBAC.00.ROL1: Notes veld bevat “;FC.01.A100;”
RBAC.00.ROL2: Notes veld bevat “;FC.01.A101;FC.02.A201;”

00 = locatiecode (indien van toepassing)
In het Notes veld kun je meerdere functiecodes kwijt waardoor je een 1-n relatie krijgt tussen rol en functie.

Met UMRA is hier eenvoudig een groepsynchronisatie mee te maken waardoor je in Active Directory de rollenmatrix zelf in beheer hebt, en bij wijzigingen zorgt UMRA ervoor dat iedereen lid wordt van de juiste RBAC groep, waardoor je ook weer de juiste geneste groepen mee zal krijgen.

• active directory
• role based access
• synchronisatie