}

Web autorisatie dashboard voor Active Directory

Deze week ben ik met een project bezig waar een grote klant in de zorgmarkt een web dashboard aan de managers en functionarissen wil aanbieden waarbij ze op een makkelijke manier rechten aan hun gebruikers kunnen toewijzen. Het gaat hierbij om rechten op applicaties en op mappen (NTFS).

Nu werkt deze organisatie in regio's waarbij managers en functionarissen regio-overstijgend kunnen werken. Per regio is de Active Directory verdeeld in een aparte OU structuur met eigen groepen. We hebben per regio een AUTH.regio_code groep gemaakt die als autorisatie basis voor het web dashboard moet dienen. Iedereen die lid is van 1 of meer van deze groepen zal in het web dashboard automatisch de rol krijgen van "Manager" en zal dan alleen de regio's kunnen beheren die bij de corresponderende AUTH. groep horen.

Vervolgens krijgt iemand op het web dashboard de mogelijkheid om autorisaties te beheren. Eerst zal de manager een gebruiker uit Active Directory kunnen zoeken op bijvoorbeeld een gedeelte van de naam, om daarna uit een aantal matches de juiste persoon te kiezen. Het web dashboard zal alle informatie van de persoon uit het HRM systeem (RAET Beaufort) tonen, en kiest op basis van een RBAC matrix meteen de juiste rol voor de medewerker. In deze rol zitten op basis van groepnesting al de standaard rechten voor applicaties en mappen, die meteen op dezelfde pagina in de vorm van reeds aangevinkte checkboxes worden weergegven. De applicatie en map autorisaties die standaard in de rol zitten kunnen ook niet worden uitgevinkt. Alle autorisaties die door de beheerders zijn samengesteld worden dynamisch op de pagina ingeladen, en laten meteen zien welke autorisaties de gebruiker reeds heeft en welke ontbreken. Op een simpele manier kunnen extra autorisaties worden toegekend en worden dan ook meteen toegepast in Active Directory, desgewenst met een extra notificatie naar een helpdesk systeem.

Een dergelijk web dashboard kan relatief snel worden ontwikkeld, in ongeveer 3 dagen kan het volledig worden opgeleverd. Het meeste huiswerk is voor de organisatie die een RBAC matrix moet opstellen waarbij een functie/kostenplaats uit HRM wordt gekoppeld aan applicaties en mappen.

SAP koppeling met Active Directory

Bij 1 van grootste ziekenhuizen van Nederland heb ik recentelijk een SAP koppeling naar Active Directory opgeleverd met behulp van UMRA van Tools4ever. Het scenario is dat SAP elke x minuten een feed aanleverde in CSV formaat met alle wijzigingen, die vervolgens in Active Directory verwerkt moeten worden. Met behulp van specifieke codes voor bepaalde mutaties (instroom, doorstroom, uitstroom) weet de UMRA engine welke business logica uitgevoerd moet worden.

Lees meer

User- en toegangsbeheer in cloud applicaties: een uitdaging

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties.

Lees meer

De vooroordelen van Single Sign On

Veel IT managers en Security Officers zijn terughoudend als het gaat om het implementeren van een Single Sign On (SSO) oplossing, hoewel de voordelen van SSO duidelijk zijn. Namelijk onder andere gebruikersgemak voor de eindgebruiker en minder wachtwoord reset calls naar de helpdesk. De terughoudendheid ten aanzien van SSO wordt in de hand gewerkt door een aantal vooroordelen over SSO.

Lees meer

RBAC: sleutelrol, beheer en evolutie

Veel organisaties zijn bezig met RBAC in meer of mindere vorm; verkenning, project, implementatie, vulling of beheer. We zien dat dit gestuurd wordt door normen als NEN7510, waarin voornamelijk staat beschreven dat je moet kunnen aantonen waarom iemand een autorisatie nodig heeft en hoe deze tot stand is gekomen. Inmiddels weten we dat RBAC niet een heilige graal is, maar dat veel implementaties stuk lopen door de te grote scope en complexiteit.

Lees meer

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

We zien dat veel organisaties steeds bewuster bezig zijn met security, waarschijnlijk mede ingegeven door regelgeving zoals NEN7510 en ICT-audit trajecten. Naast het autorisatiebeheer binnen applicaties, waar we al verschillende oplossingen voor bieden zijn we ook actief op het authenticatie-vlak, namelijk met een Single Sign On (SSO) oplossing.

Lees meer