RBAC organiseren met Role Mining
In een eerdere blog vertelden we meer over Role Based Access Control (RBAC), en hoe klanten dit mechanisme toepassen. Je verstrekt bij RBAC accounts en rechten automatisch aan de hand van iemands rol binnen de organisatie. Je hoeft dan niet per individuele gebruiker te bepalen, welke faciliteiten hij of zij nodig heeft. In plaats daarvan hanteer je een autorisatiematrix – ook wel rollenmodel genoemd - waarin je per rol vastlegt welke IT-middelen standaard nodig zijn.
Uitdaging daarbij is hoe je een eerste versie van zo’n rollenmodel opstelt, en hoe je die vervolgens up-to-date houdt en verder verbetert. Daarvoor is role mining het ideale hulpmiddel. We gaan er in deze blog uitgebreider op in. Eerst vertellen we nog kort iets over de implementatie van RBAC binnen HelloID en daarna tonen we hoe role mining daarbij helpt.
Rollenmodel binnen HelloID
Binnen HelloID implementeren we zo’n RBAC rollenmodel met behulp van zogeheten business rules. Zo’n beleidsregel bestaat uit een of meer condities en de daarbij geldende rechten (permissies). De strekking van zo’n regel kan bijvoorbeeld zijn:
Iedere gebruiker met de functie ‘Sales manager’ (de conditie) krijgt een account op het CRM-systeem met het recht om klantdossiers aan te maken en te bewerken (de permissies).
Veel mensen denken overigens dat het bij rollen altijd gaat om functies, zoals ‘Sales manager’. Het kan bij business rules echter ook om allerlei andere zogeheten gebruikersattributen gaan. Dus bijvoorbeeld de afdeling waar iemand werkt, of de betreffende vestiging. Daarom hanteren we bij HelloID ook wel de term ABAC (Attribute Based Access Control) in plaats van RBAC.
In het algemeen heb je meerdere business rules nodig om je provisioning goed te automatiseren. Al die regels tezamen vormen je rollenmodel.
Uitdaging bij het bouwen van een rollenmodel
Als binnen een organisatie alle processen nauwkeurig zijn vastgelegd – inclusief wie, welke stappen uitvoert, met welke IT-functies en gegevens – zou je in theorie zo’n rollenmodel eenvoudig kunnen opstellen. In de praktijk valt zo’n top-down aanpak meestal tegen. Als je aan leidinggevenden vraagt wat hun medewerkers nodig hebben aan accounts en autorisaties, is de informatie vaak te weinig concreet en te globaal. Soms ben je maanden verder met zo’n analyse en is het uitgangspunt dan inmiddels alweer achterhaald. Daarom gebruiken we een veel pragmatischer aanpak, role mining.
Role mining proces om je rollenmodel te maken
Het uitgangspunt van role mining is simpel: ook zonder automatische provisioning, probeerde je al zo goed mogelijk iedere gebruiker de juiste accounts en rechten te geven. Dat betekent dus dat de al bestaande instellingen in je IT-systemen al heel veel kennis bevat die je kunt hergebruiken voor je rollenmodel. Met role mining ga je die informatie ontsluiten en gebruiken.
Koppelen van bron- en doelgegevens
Bij automatische provisioning gebruik je gebruikersgegevens uit een bronsysteem (meestal de HR-applicatie), om te bepalen welke gebruikersaccounts en -rechten moeten worden aangemaakt in doelsystemen. Daarvoor moeten die systemen uiteraard aan HelloID zijn gekoppeld. Een van de eerste stappen van je implementatieproject is dus het aansluiten van een bronsysteem en één of meerdere doelsystemen. Zodra dat is gelukt, kun je die gekoppelde systemen ook gebruiken voor onze role mining. Je kunt namelijk allerlei bestaande gegevens uit die systemen uploaden:
· Vanuit doelsystemen halen we ‘bottom-up’ gegevens over welke accounts en rechten zijn verstrekt, en aan welke gebruikers.
· Vanuit het bronsysteem halen we ‘top-down’ gegevens over de rol van iedere gebruiker. Wat is bijvoorbeeld iemands functie en afdeling? En welke diploma’s heeft hij of zij?
We kunnen met die gegevens allerlei verbanden gaan leggen tussen enerzijds de rollen van gebruikers en anderzijds de permissies die ze hebben ontvangen.
Analyse en patroonherkenning
Role mining helpt je deze verbanden te leggen en patronen te herkennen. Stel dat je 20 accountmanagers in dienst hebt, en 18 van de 20 blijken toegang te hebben tot een specifieke map met vertrouwelijke marktinformatie. Dan kun je je afvragen waarom twee collega’s géén toegang hebben. Blijkt dat gewoon een vergissing, dan kunnen we nu in een generieke business rule vastleggen dat voortaan iedere accountmanager dit recht automatisch ontvangt.
Ook voor andere groepen gebruikers zie je welke permissies zijn verstrekt, en kun je daarin wellicht verbanden ontdekken en zo mogelijk verwerken in business rules. Met zo’n role mining rapportage kunnen een IT-beheerder, een HR-specialist en een HelloID-consultant meestal al in één sessie een eerste bruikbare set business rules samenstellen.
Van grote groepen naar kleine teams
We werken daarbij van groot naar klein. Als we rechten kunnen toekennen aan de hele populatie of bijvoorbeeld een complete afdeling, heeft dat altijd de voorkeur. Zo krijgen in veel organisaties alle medewerkers standaard een mailaccount en kantoorapplicaties. En toegang tot een afdelingsshare geef je aan iedereen in die afdeling, ongeacht iemands specifieke functie. Je kunt zulke permissies dus verstrekken via een business rule die voor de hele populatie of afdeling geldt. Alleen als het noodzakelijk is, definiëren we business rules voor kleinere groepen van medewerkers met bijvoorbeeld een specialistische functie.
Zo werken we bij het role mining proces door alle rollen heen om zoveel mogelijk permissies te herkennen die we kunnen automatiseren als business rule. Belangrijk is dat rollen niet altijd puur hiërarchisch zijn gestructureerd, er kan overlap zijn. Lijnmanagers kunnen bijvoorbeeld een eigen rol vormen, maar iedere manager zal vaak ook werkzaam zijn in een bepaalde afdeling. Als een permissie slechts aan enkele managers is toegewezen, is het wellicht geen typische ‘managers permissie’, maar is deze verstrekt vanwege iemands afdeling. Role Mining kan zo allerlei verbanden inzichtelijk maken, maar je hebt dus altijd IT- en organisatiekennis nodig om de juiste conclusies te trekken.
80-20 regel
Het moet ook geen doel zijn om alle rechten automatisch te verstrekken. Onze vuistregel is dat je meestal zo’n 80% van je rechten goed kunt automatiseren. Naast die zogeheten geboorterechten, houd je dan 20% over die je vaak beter handmatig of via self-service kunt regelen. Automatisering werkt in het algemeen ook beter voor helder omschreven operationele rollen (zoals zorgmedewerkers) dan bij allerlei stafrollen. Gelukkig is die operationele groep vaak ook veel groter en heeft automatisering dan relatief veel rendement.
Role Mining tool binnen HelloID
Het hiervoor beschreven role mining proces gebruiken we bij de initiële HelloID uitrol. Normaliter is daarbij de HR-applicatie aangesloten, en als doelsysteem de Active Directory en/of Entra ID. Met deze role mining scan beperk je je dus nog tot de basisrechten, maar toch geeft het in de praktijk al een prima eerste aanzet voor je geautomatiseerde account- en rechtenbeheer.
Tegelijk zijn we er dan natuurlijk nog niet. Gaandeweg zul je andere bedrijfsapplicaties willen aansluiten en de bijbehorende applicatierechten automatiseren. Ook zullen er door de tijd heen zaken veranderen. Zo kan je IT-landschap tussentijds veranderen, kunnen bedrijfsprocessen anders worden georganiseerd, of het functiehuis worden aangepast. Dat zijn allemaal zaken die impact kunnen hebben op je rollenmodel.
Om je daarbij te ondersteunen, ontwikkelden we een Role Mining tool als onderdeel van de HelloID Governance module. Hiermee beschikken HelloID beheerders over een periodieke role mining rapportage, waarmee ze het rollenmodel van de eigen organisatie gaandeweg kunnen uitbreiden en verbeteren. Je draagt zo direct bij aan een zogeheten Plan-Do-Check-Act cyclus (PDCA), een verplichting in moderne informatiebeveiligingsnormen zoals ISO 27001.
Impressie van de HelloID Role Mining tool
Hieronder vind je een voorbeeld. De HelloID Role Mining rapportage toont verschillende groepen gebruikers, gefilterd aan de hand van een of meerdere condities. Bovenaan zie je de totale populatie (dus iedereen met een contract). Daarnaast kun je bijvoorbeeld filteren op medewerkers per afdeling (zoals Grocery en Health), maar ook op gebruikers met een specifieke functietitel (zoals Product Communications Facilitator).
Per groep zie je het aantal gebruikers, en welke rechten zijn verstrekt in de verschillende doelsystemen. Ook zijn de uitzonderingen gemarkeerd en kun je eenvoudig inzoomen op een bepaalde groep. Je ziet dan bijvoorbeeld dat bij twee medewerkers van de Outdoors afdeling een specifieke permissie ontbreekt, inclusief de verdere details. Zo kun je als beheerder de status van je rollenmodel regelmatig beoordelen en verbeterpunten herkennen. Handig daarbij is de markering van permissies die ook al in een ‘bovenliggende groep’ worden gebruikt. Zo voorkomen we dat we rechten dubbel verstrekken.
Meer weten over de Governance module?
Tot nu toe gebruikten we dus alleen een role mining proces bij de initiële HelloID Provisioning uitrol, om zo eenvoudig een eerste rollenmodel samen te stellen. Met de nieuwe Role Mining tool kunnen we dat rollenmodel nu ook gaandeweg steeds verder uitbouwen, optimaliseren en up-to-date houden. De Role Mining functionaliteit is beschikbaar als onderdeel van de Governance module. Meld je aan voor een gratis demo om zelf te ervaren hoe de Governance features werken in jouw HelloID omgeving.
Geschreven door:
Arnout van der Vorst
Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf. Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.