Configuratie van een built-in AD connector
HelloID is een moderne en veilige cloud-gebaseerde Identity & Access Management (IAM)-oplossing. De oplossing zorgt voor een vertaalslag tussen lokale bronnen als je HR-systeem en directories als (Azure) Active Directory (AD) voor het beheren van onder meer gebruikersaccounts op een netwerk. HelloID treedt hierbij op als bemiddelaar. Met behulp van een handige ingebouwde connector kan je AD en het cloudgebaseerde Azure AD eenvoudig koppelen aan HelloID. In dit blog lees je meer over deze connectoren, de mogelijkheden en de voordelen van de combinatie van AD en HelloID.
In dit artikel
Wat is Active Directory?
Active Directory (AD) is een technologie van Microsoft waarmee IT-beheerders zowel gebruikersaccounts, systemen als andere middelen op een netwerk kunnen beheren en beveiligen. Daarnaast vormt Active Directory een single point of access naar diverse middelen die via het netwerk benaderbaar zijn.
Je kunt Active Directory binnen een netwerk dan ook zien als een database dat alle gebruikers en machines van een organisatie omvat. AD biedt mogelijkheden voor het authentiseren van gebruikers en geeft hen veilige toegang tot onder meer bestanden, software, IT-systemen en randapparatuur als printers en scanners. Active Directory draait lokaal op het eigen netwerk van een organisatie.
Wat is Azure AD?
Microsoft biedt ook een cloud-gebaseerd alternatief aan onder de naam Azure AD, een identiteits- en toegangsbeheerservice in de cloud. Deze service geeft werknemers veilige toegang tot externe resources, zoals Microsoft 365, de Azure-portal en duizenden andere SaaS-toepassingen. Azure AD geeft gebruikers daarnaast toegang tot interne resources, zoals applicaties die op het bedrijfsnetwerk draaien. Denk echter ook aan cloudapplicaties, ongeacht of je deze kant-en-klaar afneemt of op maat hebt laten ontwikkelen.
Eenvoudig koppelen via ingebouwde integraties
Microsoft AD is de meest gebruikte identity provider (IdP) en belangrijkste doelapplicatie die klanten gebruiken in combinatie met HelloID. De standaardintegraties vereenvoudigen, versoepelen en versnellen het koppelen van (Azure) AD aan HelloID.
Meerdere ingebouwde integraties zijn in HelloID beschikbaar:
- De integratie van (Azure) AD als IdP: Dankzij deze integratie kunnen gebruikers inloggen op HelloID met behulp van (Azure) Active Directory en de daarin beschikbaar authenticatiefuncties, waaronder multi-factor authenticatie. Om dit mogelijk te maken leest HelloID alle gebruikers in, waarna deze beschikbaar zijn binnen HelloID voor authenticatie en autorisatiedoeleinden. Deze integratie is onderdeel van HelloID Access Management.
- Een integratie van (Azure) AD met behulp van doelconnectoren: met behulp van doelconnectoren kan je op basis van een bronsysteem op geautomatiseerde wijze zowel gebruikers als autorisaties binnen IdP beheren. Deze integratie is onderdeel van HelloID Provisioning.
- Een takencatalogus met standaardtaken: je kunt in (Azure) AD allerlei aanvullende acties eenvoudig uitvoeren met behulp van standaardtaken, die beschikbaar zijn via een catalogus. Denk hierbij aan het op aanvraag creëren van additionele groepen of het (de)activeren van een specifieke gebruiker. De integratie is gericht op zelfservice en gebruik door helpdesk.
In dit artikel richten we ons op de integratie van (Azure) Active Directory met behulp van doelconnectoren. Deze connectoren maken het mogelijk vanuit HelloID identiteiten in de IdP tot in detail beheren. HelloID integreert met je bronsysteem, waarna de IAM-oplossing het inlezen en schrijven van gebruikersaccounts en rechten in systemen voor rekening neemt. Een integratie met (Azure) AD vereenvoudigt en versnelt het beheren van identiteiten binnen je organisatie. Het is vaak dan ook een van de eerste koppelingen die je realiseert bij een nieuwe HelloID-implementatie. In een korte video leggen we uit hoe je de koppeling tussen HelloID en (Azure) AD creëert.
Wat kan je met deze connector?
De Active Directory en Azure AD connectors bieden diverse mogelijkheden. We zetten de belangrijkste uiteen.
Nieuwe gebruikers creëren en beheren
HelloID identificeert met behulp van de connector automatisch identity management-taken voor (Azure) AD. Op basis van personen en dienstverbanden in een bronsysteem borgt HelloID de in- en uitstroomprocessen richting je doelsystemen. Loopt het arbeidsverband van werknemers bijvoorbeeld af? Dan deactiveert HelloID automatisch hun account, zodat je zeker weet dat oud-medewerkers niet onbedoeld toegang houden tot je systemen. HelloID voert deze processen geautomatiseerd en op consistente wijze uit, waarbij het platform alles vastlegt in een duidelijke audit trail.
Functie bepalen en rechten toekennen
Het functiemodel van HelloID speelt een belangrijke rol in de processen rondom het inlezen en schrijven van gebruikersaccounts. Je kunt dit model configureren voor het gebruik van attributen uit het bronsysteem voor het bepalen van de functie van een gebruiker. HelloID treedt hierbij op als bemiddelaar tussen een bronsysteem zoals een HR-systeem en het doelsysteem, wat in dit geval AD of Azure AD is.
Identiteitsbeheer automatiseren
Identiteitsbeheer binnen (Azure) AD vraagt om kennis, maar ook om de juiste rechten. Het is een tijdrovend proces. Het koppelen van AD aan HelloID biedt uitkomst en maakt identity management-taken volledig geautomatiseerd. Ook handig zijn Delegated forms, waarmee IT- en HR-professionals identity management-taken kunnen initiëren zonder dat zij hiervoor verhoogde rechten nodig hebben. Dit voorkomt dat gebruikers onnodig veel rechten krijgen en hiermee kwaadwillenden in de kaart spelen. Delegated forms verhogen zo de digitale veiligheid van je organisatie.
Hoe configureer je een (Azure) AD doelsysteem?
Het configureren van de doelconnector is heel eenvoudig. Een nieuwe koppeling met een Active Directory of Azure AD maak je binnen het tabblad Target Systems met het plusje.
Voor het aanpassen van een bestaande configuratie klik je op de moersleutel bij de betreffende Microsoft (Azure) AD. Voor de oplettende lezer: het is binnen HelloID inderdaad mogelijk om meerdere Active Directories of Azure AD’s gelijktijdig te koppelen. Sterker nog, je kan zelfs dezelfde Active Directory meermaals toevoegen met uiteenlopende configuraties. Dit komt goed van pas als je bijvoorbeeld privileged accounts via HelloID wilt beheren en onderhouden. Voor het koppelen met Active Directory geef je het AD-domein op, en voor Azure AD je Azure tenant. Om de daadwerkelijke connectie tot stand te brengen dien je voor een on-premise Active Directory een HelloID Agent te selecteren. Voor het verbinden met Azure AD log je bij Microsoft in met je admin account om een zogenaamde ‘Admin Consent’ af te geven.
Na het correleren bepaal je via de doelmapping onder meer welke gegevens HelloID op welke attributen in AD wegschrijft. De configuratie hiervan verloopt op eenzelfde manier als bij een bronsysteem. Over het configureren van de naamgevingsconventies die je hierbij wilt hanteren voor UPN’s en e-mailadressen lees je in de volgende blog meer. Denk echter ook aan het configureren van de correlatiefunctie van HelloID, waarmee HelloID gegevens correleert op basis van overeenkomstige waarden. Met behulp van de correlatiefunctie zorg je dat bestaande accounts in een doelsysteem aan de juiste personen in HelloID koppelt. Belangrijk, want een onjuiste koppeling kan tot allerlei problemen leiden. Denk hierbij aan het onbedoeld aanmaken van dubbele accounts of het niet deactiveren van een account nadat een dienstverband verloopt. Over het correleren van gegevens lees je binnenkort meer.
Aan de slag met HelloID
Wil je aan de slag met het koppelen van HelloID aan Active Directory of Azure AD? In onze documentatie vind je alle informatie die je nodig hebt voor het configureren van de AD connector of Azure AD connector. Ook vind je in de documentatie meer informatie over de mogelijkheden die deze connectors bieden. Heb je vragen of wil je sparren met een expert over het gebruik van de AD connector of Azure AD connector? Neem dan contact met ons op.
Geschreven door:
KaHo Man