User- en toegangsbeheer in cloud applicaties: een uitdaging

User- en toegangsbeheer in cloud applicaties: een uitdaging

Door: Arnout van der Vorst

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties. Het werken met cloud applicaties levert daardoor een aantal uitdagingen ten aanzien van user- en toegangsbeheer:

  • Federatie geen vervanging voor provisioning
    Werken met cloud applicaties betekent meerdere authenticatiebronnen; een Active Directory in het eigen bedrijfsnetwerk en één of meerdere authenticatiebronnen (bijvoorbeeld AD, LDAP directory of database) in de cloud. Er zijn enkele mogelijkheden om user accounts te synchroniseren tussen beide authenticatiebronnen (federatie), zoals ADFS van Microsoft en de SAML-standaard. Eindgebruikers Echter, federatie is geen vervanging van provisioning en basis user account beheer.
  • Te veel handmatige handelingen
    Leveranciers die federatie niet ondersteunen bieden een webbrowser die beheerders kunnen gebruiken om rechtstreeks op de cloud applicatie beheer uit te voeren. Dit vraagt nog om een aantal handmatige handelingen en dat is tijdrovend en foutgevoelig. Ook wanneer het mogelijk is om een basis CSV bestand te importeren in de cloud applicatie, vraagt dit nog steeds om een handmatige actie van de beheerder.
  • Verschillende conventies voor naamgeving en wachtwoorden
    Conventies wat betreft naamgevingstandaarden en wachtwoorden zijn vaak niet gelijk tussen het netwerk en de cloud applicaties. In het netwerk kan een user ID bijvoorbeeld gebaseerd zijn op de loginnaam en in de cloud applicatie kan dat het e-mailadres zijn. Dat bemoeilijkt het uitwisselen van user account gegevens tussen beide omgevingen. Dit geldt ook voor wachtwoordconventies. Wanneer in het bedrijfsnetwerk zeer complexe wachtwoorden zijn vereist, kan het zijn dat cloud applicaties niet om kunnen gaan met dit type wachtwoorden. Wellicht hanteert de cloud applicatie wel een andere termijn voor de verlooptijd van wachtwoorden dan gebruikelijk in het bedrijfsnetwerk.
  • Ontbreken van organisatiestructuur
    De organisatiestructuur binnen een organisatie wordt steeds vaker gebruikt om autorisaties toe te kunnen kennen aan medewerkers op basis van hun rol of functie (RBAC of rolgebaseerd werken). Deze organisatiestructuur is binnen het bedrijfsnetwerk gevat in bijvoorbeeld een HR-systeem. Cloud applicaties kunnen niet overweg met de organisatiestructuur en de webbrowser die zij bieden kan ook niet gemakkelijk met rollen en autorisaties werken. Natuurlijk is het mogelijk om de gehele organisatiestructuur over te zetten naar de cloud applicatie, maar dat levert een grote hoeveelheid beheerwerkzaamheden op in de cloud applicatie wanneer er iets wijzigt in de hiërarchie.
  • Wat als connectie wegvalt?
    Leveranciers die koppelingen bieden tussen het netwerk en cloud applicaties hanteren vaak event based synchronisatie tussen beide systemen. Echter, zij hebben geen procedure voor wanneer de connectie tijdelijk wordt verbroken. Daarnaast geven zij geen garantie of notificatie dat een synchronisatie is gelukt.
  • Weigeren van bulk acties
    Het doen van bulk acties in cloud applicaties wordt soms geweigerd door de applicatie. Er zijn cloud applicaties die beperkingen opleggen aan de hoeveelheid acties die uitgevoerd kunnen worden of zelfs eisen dat tijdens werkuren geen beheerwerkzaamheden worden gedaan om zo overbelasting op hun netwerk te voorkomen.
    Werken met cloud applicaties betekent over het algemeen dat organisaties het user- en toegangsbeheer niet meer in eigen handen hebben en dat de regels en SLA’s van de leverancier van de cloud applicatie gelden. User- en toegangsbeheer zijn voor hen van secundair belang. Wilt u wel controle hebben over user- en toegangsbeheer dan zijn kunt u terecht bij Tools4ever. Tools4ever heeft vroeg onderkend dat het verplaatsen van applicaties naar de cloud nieuwe uitdagingen oplevert ten aanzien van het user- en toegangsbeheer. Tools4ever heeft hiervoor koppelingen ontwikkeld die het volgende bieden:

 

  • Synchronisatie van wachtwoorden. Indien het wachtwoord in de Active Directory wijzigt, wordt dit automatisch doorgezet (gesynchroniseerd) naar de cloud applicatie;
  • Auto provisioning van user accounts gekoppeld aan het bedrijfsinterne user account beheersproces van UMRA. Hierbij worden loondienst medewerkers vanuit het HR/PZ-systeem gesynchroniseerd, evenals aangebrachte wijzigingen door de helpdesk, managers en zelfs eindgebruikers. User accounts worden volledig automatisch aangemaakt, bijgewerkt, dis/enabled, verwijderd, etc.;
  • Geïntegreerd toegangsbeheer van eindgebruikers tot de cloud applicatie. Toegang tot verschillende delen van cloud applicatie wordt toegekend/verwijderd op basis van de rol die de eindgebruiker heeft binnen de organisatie. UMRA biedt een geavanceerde RBAC module waarbij toegang tot de cloud applicatie gereguleerd wordt via afdeling/functie in het HR-systeem en de keuze die een manager voor haar/zijn medewerkers maakt;
  • Gecentraliseerd dashboard voor IT met een overzicht van de gebruikte cloud applicaties per gebruiker voor de controle op licentiekosten en voor logging en rapportage;
  • Single Sign On van alle cloud- en webapplicaties op basis van bestaande AD credentials, waardoor gebruikers niet langer een veelvoud aan gebruikersnamen en wachtwoorden moeten onthouden.
Arnout van der Vorst

Geschreven door:
Arnout van der Vorst

Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf.  Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.

Anderen bekeken ook

SAP koppeling met Active Directory

SAP koppeling met Active Directory

06 september 2012

De vooroordelen van Single Sign On

De vooroordelen van Single Sign On

29 november 2011

RBAC: sleutelrol, beheer en evolutie

RBAC: sleutelrol, beheer en evolutie

15 maart 2011

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

14 oktober 2010