Hoe een Service Automation-oplossing je organisatie helpt

Door: Arnout van der Vorst

31 oktober 2022

Product en technologie

In onze blog “Waarom heb je een Identity & Access Management (IAM)-oplossing nodig” hebben we drie categorieën van uitdagingen geïdentificeerd: efficiëntie en kostenreductie, compliance eisen aan wet- en regelgeving, en bescherming tegen datalekken. In onze vorige blog hebben we uitgelegd hoe User Provisioning technologie in staat is om ruim 80% van de gebruikers- en autorisatiebeheertaken te automatiseren. Maar hoe om te gaan met uitzonderingen op de regel? Of hoe beheer je externen die überhaupt niet in een bronsysteem voorkomen? In deze blog beschrijven we hoe de IAM-technologie Service Automation organisaties op deze en nog meer vlakken helpt.

In dit artikel

Hoe helpt een IAM-oplossing?
Service Automation

Hoe helpt een IAM-oplossing?

We hebben eerder verschillende drijfveren geïdentificeerd die aanleiding kunnen zijn tot de formulering van een IAM-strategie. Het betreffen uitdagingen die zich voortdoen bij handmatig gebruikers-, autorisatie-, en toegangsbeheer. Samengevat zijn dit ‘efficiëntie en kostenreductie’, ‘compliance aan eisen wet- en regelgeving’, en ‘bescherming tegen datalekken’. De drie IAM-technologieën die een antwoord bieden op de gestelde problemen zijn ‘User Provisioning’, ‘Service Automation’, en ‘Access Management’. Aan elk van deze technologieën wijden we een blog in relatie tot de uitdagingen van handmatig beheer. Met nu de beurt aan Service Automation.

Service Automation

Een geautomatiseerd User Provisioning proces op basis van een bronsysteem kan veel, maar helaas niet het gehele gebruikers- en autorisatiebeheer automatiseren. Een functiewijziging kan je terugvinden in het HR-systeem, maar of iemand tijdelijk aan een projectgroep deelneemt vaak niet. Dit kan echter wel de tijdelijke toegang tot een projectfolder, applicatie of gedeelde mailbox vereisen. Of wat te denken van “incidentele” en totaal willekeurige gebeurtenissen als het vergeten van een wachtwoord. Zonder Service Automation oplossing worden dit soort wijzigingen handmatig afgehandeld door duurbetaalde helpdeskmedewerkers of functioneel beheerders. Voor medewerkers zelf is het niet altijd duidelijk waar ze moeten zijn. Of ze hebben nog geen akkoord van de verantwoordelijke manager. Gedurende het wachten zitten ze daarnaast met hun duimen te draaien. En mocht je wel een duidelijk en relatief soepel lopend proces hebben, zie dan nog maar eens aan de compliancy eisen te voldoen en dit daadwerkelijk te bewijzen aan relevante instanties.

Service Automation omvat een oplossing voor het automatiseren van al die zaken die niet (efficiënt) te automatiseren zijn op basis van een bronsysteem. Met andere woorden: de overige 20% van de gebruikers- en autorisatiebeheer werkzaamheden. Service Automation brengt mens en techniek samen zodat deze taken op een eenvoudige, gecontroleerde en uniforme wijze kunnen worden uitgevoerd. Het draagt hiermee bij aan een betere gebruikerservaring, productiviteit en registratie, maar ook minder fouten en onnodige kosten. Het meest bekende onderdeel van Service Automation is ongetwijfeld self-service, maar ook helpdesk delegatie valt onder deze IAM-technologie. Hoewel de term wellicht minder snel een belletje doet rinkelen, is dit vaak wel de eerste stap voor de introductie van de technologie binnen de organisatie.

Helpdesk delegatie

Traditioneel gezien beschikken helpdesk medewerkers over hoge adminrechten voor applicaties zoals Active Directory Users & Computers (ADUC). Dit brengt automatisch veel beveiligingsrisico’s met zich mee. Je wilt misschien dat een helpdeskmedewerker het wachtwoord van medewerkers kan resetten. Maar tegelijkertijd geef je met deze permissie echter ook de mogelijkheid om het wachtwoord van de directeur te veranderen, nieuwe accounts aan te maken, of zelfs om een hele Active Directory te verwijderen. Een realistisch scenario, weten we van onze klanten. Daarnaast is het belangrijk om van elke mutatie een registratie te maken. Je moet altijd terug kunnen zien wat er is gebeurt, waarom, en door wie. Zaken die een systeem niet altijd standaard bijhoudt en waarvan je maar moet hopen dat de helpdeskmedewerker dit niet bewust of onbewust vergeet.

Helpdesk Delegatie maakt het mogelijk om delegeerde formulieren ter beschikking te stellen aan (non/semi-skilled) helpdeskmedewerkers en key users. Met key users doelen we op heel laagdrempelig benaderbare collega’s op de werkvloer die hiermee exact de juiste rechten krijgen om hun collega’s te helpen. Formulieren kunnen zich richten op IT-beheertaken als het aanmaken van user accounts, toewijzen en ontnemen van toegangsrechten of het resetten van een wachtwoord. Hiermee kunnen medewerkers specifieke aan hen toegewezen helpdesktaken uitvoeren zonder dat zij over adminrechten in onderliggende systemen hoeven te beschikken. En ook binnen de formulieren maakt de oplossing onderscheid op basis van iemand zijn rechten. Terugkomend op het eerdere voorbeeld van een junior systeembeheerder de permissie hebben om wachtwoorden te resetten, behalve van managers of directieleden. Of toegangsrechten kunnen uitgedeeld worden, maar niet hoge risico rechten niet zonder goedkeuring van de desbetreffende resourceowners.

Naast de gebruiksvriendelijkheid die een intuïtieve grafische interface met zich mee brengt en de uitgebreide mogelijkheden van rechtenbeheer biedt Helpdesk Delegatie zekerheid. Zekerheid dat wijzigingen altijd op dezelfde uniforme wijze worden uitgevoerd. En zekerheid dat er altijd netjes een audittrail beschikbaar is. Al dan niet automatisch geadministreerd in het gebruikte ITSM zoals bijvoorbeeld een TOPdesk.

Self-service

Een allombekend en snel toenemend fenomeen is self-service. Wie is er inmiddels niet aan gewend om via zijn bankapp zelf zijn bankzaken te regelen? Via internet eenvoudig zijn zorgdeclaraties in te dienen? Of in de supermarkt zelf zijn boodschappen te scannen en af te rekenen? Self-service is breed omarmd en niet meer weg te denken uit te samenleving. Tenminste, als consument… Als werknemer zie je dat deze technologie veel minder binnen handbereik is. Ja, misschien kan je digitaal verlofdagen aanvragen, maar zelf een (tijdelijke) verhoging van je toegangsrechten regelen is in veel organisaties niet mogelijk. Waar je binnen vijf minuten een nieuwe reisverzekering afsluit, moeten medewerkers zich in allerlei moeilijke bochten wringen en dagen wachten om toegang te krijgen tot een netwerkfolder. Die ze notabene nodig hebben om hun werk uit te kunnen voeren.

Een medewerker weet over het algemeen heel goed wat hij nodig heeft om zijn werk efficiënt te kunnen uitvoeren. Veelal beter dan zijn manager. En zeker beter dan de IT-afdeling. Managers kunnen daarentegen wel een rol spelen in de beoordeling of een medewerker wat mag, hoewel de eindbeslissing natuurlijk vaak bij functioneel beheerders en licentiemanagers ligt. De IT-afdeling weet echter als beste hoe je een wijziging uitvoert. Het gros van de verzoeken die bij de helpdesk binnen komt is in aard hetzelfde. Wachtwoordresets, account deblokkeringen, rechtenwijzigingen. Stuk voor stuk taken waar een gemiddelde IT’er nu niet echt warm van wordt, maar waar wel enorm veel waardevolle resources door opgeslokt worden. Waar IT-helpdeskmedewerkers met Helpdesk Delegatie ontlast worden heeft elk van bovengenoemde personen binnen self-service een eigen view om eenvoudig IT-gerelateerde zaken voor zichzelf, zijn team of zijn resources te regelen.

Functioneel beheer self-service

Self-service heeft als doel om werkzaamheden die voorheen bij de IT-afdeling lagen steeds verder de organisatie in te delegeren. Na de helpdesk is de eerstvolgende logische stap het ter beschikking stellen van een IT-loket voor de zogenaamde resource owners. Een resource owner is veelal een functioneel (applicatie)beheerder of licentiemanager die verantwoordelijk is voor een specifiek systeem, applicatie of folder. Service Automation biedt hen een duidelijk overzicht van de gebruikers die toegang hebben tot hun resources en een eenvoudige manier om toegang toe te kennen of te ontnemen. Er is direct zichtbaar wie welke licenties gebruikt, of er niet te veel licenties worden gebruikt en hoeveel licenties er nog beschikbaar zijn.

Manager self-service

De delegatie naar de manager is de volgende stap. Technisch gezien is dit een eenvoudige stap omdat de formulieren en acties al gedefinieerd zijn voor de medewerkers van de servicedesk en de resource owners. Vanuit de organisatie is het wel een grote stap omdat meer medewerkers direct met de Service Automation oplossing in aanraking komen. Na de implementatie van deze schil hebben de managers direct inzicht in welke toegangsrechten hun medewerkers hebben. En dus ook welke licenties ze gebruiken. Dit draagt bij aan de bewustwording bij managers van de ‘IT-footprint’ van hun afdeling en helpt zo bij het reduceren van onnodige kosten. Ook kan de manager zelf rechten voor een medewerker toevoegen of verwijderen. Er is geen omslachtig proces meer nodig met servicetickets en servicemedewerkers om ze uit te voeren.

Medewerker self-service

De ultieme self-service stap is de delegatie naar de eindgebruiker. Via een self-service catalogus kunnen medewerkers eenvoudig zelf additionele rechten voor applicaties, folders of mailboxen aanvragen. Een goedkeuringsslag, waarin bijvoorbeeld de manager de aanvraag beoordeelt voordat deze wordt doorgevoerd, voorkomt dat eindgebruikers zaken verkrijgen die niet nodig zijn voor de uitoefening van hun functie. Deze controle is voor een manager of licentiemanager veel eenvoudiger dan voor een IT-medewerker. Na goedkeuring verzorgt de Service Automation-oplossing er voor dat de wijzigingen automatisch worden doorgevoerd.

Standaard is Service Automation bij uitstek geschikt voor het afhandelen van toegangsverzoeken tot en binnen systemen, applicaties en folders. Maar de IAM-functionaliteit biedt ook de mogelijkheid tot gecontroleerd maatwerk om zo complexe en organisatie specifieke handelingen te automatiseren. Voorbeelden die ik heb langs zien komen variëren van het aanmaken en verlengen van gastenaccounts tot gebruikers die eerst privacyvoorwaarden moeten accepteren alvorens hun account wordt ingeschakeld tot zelfs de complete afhandeling van bedrijfsmiddelen aanvragen inclusief het automatisch afhandelen van de digitale ondertekening van bruikleenovereenkomsten aan toe. Net als bij connectoren voor User Provisioning is de enige limitatie de aanwezigheid van een koppelvlak tot het systeem waarin je wijzigingen wilt aanbrengen. En je eigen inbeeldingsvermogen natuurlijk.

Workflows

Waar we het bij een rollenmodel over Role Based Access Control (RBAC) hadden, gaat het bij self-service om Claim Based Access Control (CBAC). Dat wil echter natuurlijk niet zeggen dat elke medewerker zomaar alle rechten kan claimen. Zo worden applicaties als Microsoft Visio en Adobe Photoshop selectief uitgegeven vanwege de hoge kosten en het specialistische karakter. Bij de toegang tot een netwerkfolder van de HR-afdeling gaat het vooral om privacy en beveiligingsrisico’s. Verschillende aanvragen vragen om verschillende beoordelingen door verschillende personen. Een Service Automation oplossing moet al deze verschillende aanvraag- en goedkeuringsprocessen kunnen faciliteren.

Handmatig aanvraag- en goedkeuringsproces

Zonder Service Automation oplossing zie je veelal dat een eindgebruiker toegang aanvraagt via telefoon, email of een ticket. De IT-helpdesk gaat vervolgens via dezelfde diversiteit aan kanalen achter goedkeuring aan. Nadat de aanvraag beoordeeld is wordt de wijziging handmatig doorgevoerd in de betreffende systemen en applicaties. En moet er vervolgens worden geregistreerd welke acties er zijn ondernomen.

Aanvragen en goedkeuren via Service Automation

Zoals je ziet zitten er nog veel manuele stappen en handmatig werk tussen het verzoek en het moment waarop een medewerker daadwerkelijk toegang krijgt tot de gewenste resources. Met Service Automation gaat dit een stuk sneller en efficiënter en leg je deze processen vast in zogenaamde workflows. In een workflow bepaal je of een aanvraag automatisch goedgekeurd mag worden of dat deze eerst beoordeeld dient te worden en door wie. Zo zou je kunnen zeggen dat je toegang tot Microsoft Visio automatisch goedkeurt, maar dat de eigen manager en de verantwoordelijke afdelingsmanager voor toegang tot een folder met HR-data eerst goedkeuring moeten verlenen. Wanneer een medewerker een aanvraag tot een resource doet krijgen de goedkeurders bericht met een goed- en afkeurknop. Is de aanvraag door alle belanghebbenden goedgekeurd dan verwerkt de oplossing dit automatisch.

Automatisch ontnemen van rechten

Hiermee is het echter niet afgedaan. Want wat als de persoon de rechten niet meer nodig heeft? Als het echt bij zijn functie hoorde had hij het immers wel door het rollenmodel binnen het User Provisioning proces verkregen. In het geval van dergelijke optionele toegangsrechten hebben de aanvragen veelal een tijdelijk karakter. Maar waar Visio voor de organisatie veel geld kost doet het de medewerker veel minder pijn. Sterker nog, wanneer deze het in de toekomst misschien ooit weer een keer nodig heeft is het wel zo makkelijk om het al in bezit te hebben toch?

Had je nog de hoop dat je medewerkers een teveel aan rechten terug zouden geven, vergeet het maar. Zaken aanvragen is vaak geen probleem, maar teruggeven ho maar. Dit natuurlijke gedrag staat echter haaks op het belangrijke informatiebeveiligingsprincipe ‘least-privilage’. Het concept waarbij de gebruiker de minimale toegangsniveaus of machtigingen krijgt die nodig zijn om zijn functie uit te oefenen. Een niet te onderschatten onderdeel van een Service Automation oplossing is daarom de mogelijkheid om de tijdelijkheid van zaken af te dwingen. Binnen een workflow hoort daarom vaak ook een maximum duur. Binnen een vastgestelde tijdrange kunnen medewerkers dan zelf kiezen hoelang ze het self-service product willen hebben. Hiermee weet je zeker dat je altijd een sluitende situatie hebt en optionele rechten uiteindelijk ook weer geautomatiseerd worden ontnomen. Accumulatie van rechten zoals we dit als uitdaging hadden geïdentificeerd is hiermee verleden tijd.

Auditable

Organisatie moeten kunnen aantonen dat hun processen conform wet- en regelgeving zijn ingericht. Ook moet traceerbaar zijn welke gebruikers welke handelingen hebben uitgevoerd. Registratie en rapportage is daarom essentieel binnen alle gebruikers-, autorisatie-, en toegangsbeheer processen.

Zonder Service Automation oplossing is het bijzonder lastig om dit sluitend te maken voor optionele autorisaties die gedurende een dienstverband worden toegekend. Mét een dergelijke oplossing wordt het echter ineens uitermate eenvoudig. Of een helpdesk medewerker via helpdesk delegatie of een medewerker via self-service iets aanvraagt. En ongeacht welke workflow van toepassing is. Alle aanvragen, goedkeuringen, uitgevoerde acties, etc. worden naast automatisch uitgevoerd ook centraal gelogd. Dit is een groot verschil met de handmatige uitvoer in bijvoorbeeld ADUC waar logging vaak ontbreekt. Of de manuele doorvoer in verschillende systemen en applicaties waarbij de logging versplinterd is. Of nog erger, waarbij de logging zelf een handmatige actie is in bijvoorbeeld een ITSM applicatie als TOPdesk of ServiceNow. Want datalekken gebeuren vaak (al dan niet bewust) vanuit binnenuit en wie hebben er nu juist geen baat bij het loggen van hun acties? Juist ja.

Overigens is dit geen betoog tegen het gebruik van ITSM-oplossingen als TOPdesk, Ultimo, Zendesk en ServiceNow. In tegenstelling zelfs. Alleen waar het in veel organisaties eerst de start was voor aanvragen omtrent accounts of autorisaties wordt dit nu het eindpunt. De workflow ligt in Service Automation, evenals de uitvoer. Maar is er nog een handmatige afhandeling nodig, zoals het uitgeven van rechten binnen een applicatie zonder koppelvlak of iets als een token, dan leidt dit gewoon tot een wijzigingsverzoek in ITSM. Van elke workflow wordt voor managementrapportages sowieso een bonnetje weggeschreven. Een applicatie als TOPdesk blijft zo in staat om volledige strategische informatie te leveren over het functioneren van je servicedesk en levert tevens inzicht in het productiviteitsvoordeel. En zeker vóór de start adviseren we ook vooral: kijk naar je top 10 taken in je servicedesk applicatie om zo het laaghangend fruit te identificeren voor automatisering via Service Automation.

Conclusie

Een Service Automation oplossing zorgt ervoor dat je aanvraag- en goedkeuringsprocessen altijd goed worden gevolgd. Dat alle activiteiten en betrokkenen hieromheen worden geregistreerd. En levert hiermee ook de bewijslast dat je voldoet aan de hiervoor geldende normen op het gebied van informatiebeveiliging. Maar het biedt ook een eenvoudige interface voor medewerkers om zelf hun eigen IT-zaken te regelen. Voor managers, applicatiebeheerders en andere resource owners om aanvragen met een muisklik goed of af te keuren. En dat terwijl je het aantal helpdesktickets sterk reduceert. Waardoor de IT-helpdesk de vrijkomende tijd aan complexere uitdagingen kan besteden. Service Automation technologie borgt het aanvraag- en goedkeuringsproces zoals dat binnen de organisatie geldt, maar dan efficiënter, effectiever en veiliger. Een win, win, win dus.

In onze volgende blog lees je hoe een Access Management oplossing je organisatie helpt. Wil je meer weten over onze Service Automation module binnen HelloID?
Lees alles over HelloID

Vorige in serie Volgende in serie

Geschreven door:
Arnout van der Vorst

Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf. Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.