Self Service Active Directory

Afgelopen week was ik bij een klant waar een UMRA oplossing draait met e-formulieren voor de servicedesk. Ze kunnen hiermee nieuwe accounts aanmaken, rechten wijzigen en basic helpdesk acties uitvoeren zoals reset password, unlock account, print queue en groep beheer.

De wens was echter om meer services aan te bieden aan de organisatie, en bestaande zelf ontwikkelde applicaties te vervangen voor een standaard oplossing. Binnen de organisatie bestaan een aantal services die helpen bij het uitrollen van autorisaties. De rollenstructuur bevat per rol een set autorisaties (RBAC), die beheerd moet worden. In de huidige toestand is dit een in-house ontwikkelde applicatie die veel intelligentie bevat, maar geen services direct naar de eindgebruiker biedt en ook geen workflow mogelijkheden naar leidinggevenden.
Tijdens de brainstormsessie over meer mogelijkheden voor de organisatie kwamen we op een aantal mogelijkheden:
  • Dashboard. E-forms of webinterface voor de eindgebruiker waar hij/zij status kan zien van autorisaties en diensten, zoals applicaties, mailomgeving, projectmappen, etc. Bij elk item kan de eindgebruiker ook een aanvraag plaatsen en uitzetten naar de leidinggevende.
  • Self Service Reset Profile. Gebruiker kan zelf zijn/haar lokale en roaming profiel resetten, waarbij het oude profiel als backup wordt bewaard, een nieuw profiel met de juiste rechten wordt gemaakt, en zaken als bureaublad, favorieten en Word autocorrectie vanuit het oude naar het nieuwe profiel worden gekopieerd.
  • Self Service Reset Password. Via een challende-response systeem kan de eindgebruiker zelf zijn/haar wachtwoord resetten.
  • Projectmap aanvragen. Vaak is er tijdelijk opslag voor een groep medewerkers nodig en dient dit via servicedesk en systeembeheer te lopen. Het blijkt goed te werken om deze aanvragen ook aan de organisatie aan te bieden, waarbij de technische handelingen ook meteen kunnen worden geautomatiseerd. Je kunt het aanmaken van Read en Change lokale + globale groepen meteen uitvoeren, deze in elkaar nesten en vervolgens met UMRA een interface aanbieden waarin de projectleider de leden van de globale groepen kan beheren. Eventueel kan dit ook aan SAP worden gekoppeld zodat je projectmappen in de organisatiehierarchie kunt plaatsen.
  • Lokaal installatie recht. Het komt wel eens voor dat een eindgebruiker beheersrechten op zijn/haar PC nodig heeft om software te installeren. Als beheerder heb je dit het liefst zo min mogelijk en moet dit recht ook weer ontnomen worden. Het is mogelijk om eindgebruikers dit zelf aan te laten vragen voor maximaal 24 uur waarna het recht automatisch weer ontnomen wordt.
  • Tijdelijke software abonnementen. Bij mantelcontracten met Microsoft kun je bijvoorbeeld de Office suite voor alle medewerkers in 1 keer licenseren. Sommige licenties, zoals Project, blijven gelicenseerd per medewerker en verdienen daarom extra aandacht. Het is mogelijk om eindgebruikers aan te bieden om deze software aan te vragen voor maximaal 3 maanden. Na goedkeuring van de manager wordt de gebruiker lid van de applicatiegroep voor Project, waarna de installatie van de software bijvoorbeeld via SMS of SSCM wordt uitgevoerd. 14 dagen voor het verstrijken van de 3 maanden krijgt de gebruiker een notificatie per e-mail dat het abonnement gaat verlopen. De eindgebruiker kan dit dan zelf verlengen via zijn/haar UMRA interface. Indien geen actie wordt ondernomen zal de gebruiker uit de applicatiegroep worden gehaald zodat de software wordt gedeinstalleerd en er een licentie vrijkomt.
  • Medewerker van afdeling overnemen/overdragen. Organisatie veranderen en daarbij hoort ook het verschijnsel dat medewerkers van afdeling wijzigen. Het kan voor managers handig zijn om via pull of push deze medewerker over te dragen of over te nemen via een workflow methode waarbij altijd zowel de overdragende als overnemende partij goedkeuring dient te geven. Eventueel kan aan de achterkant het toepassen van een nieuwe autoristatierol met groepen automatisch worden uitgevoerd.
  • Delegatie van bovenstaande taken. Het is niet ongebruikelijk dat een manager zelf onvoldoende mogelijkheden heeft om alle aanvragen tijdig goed te keuren. Daarom moet een manager maximaal 3 gedelegeerden aan kunnen wijzen die dit kunnen doen.
  • Auditing van resource mailbox rechten. Resource mailboxen zijn binnen een organisatie vaak een lastig punt als het gaat om beheer. Een dergelijke mailbox wordt ingericht voor een resource, zeg een vergaderzaal, en moet van specifieke AD en Exchange rechten worden voorzien zodat een eigenaar deze kan beheren en dat gebruikers via de mailbox kunnen mailen. Een elegante oplossing is om periodiek alle AD en Exchange rechten van deze resource mailboxen uit te lezen en deze in een rapport naar de mailbox zelf te sturen. Op die manier weet iedereen meteen wie mee kan lezen.
Self Service Active Directory

Geschreven door:

Arnout van der Vorst

Arnout van der Vorst is Identity Management Architect bij Tools4ever en al ruim 10 jaar in dienst. Arnout legt zich als Architect toe op het bedenken en ontwikkelen van nieuwe features, oplossingen en diensten van Tools4ever die aansluiten op de vraag uit de markt. Arnout studeerde Hogere Informatica aan de Hogeschool van Utrecht.
Terug