Hoe werkt de geautomatiseerde instroom, doorstroom en uitstroom?
Om gebruikersaccounts en hun toegangsrechten automatisch te beheren, zijn twee dingen nodig: Role Based Access Control (RBAC) en een directe koppeling tussen het HelloID IAM platform en het HR systeem.
Bij RBAC is de uitgifte van toegangsrechten één op één gerelateerd aan rollen binnen de organisatie. Weet je iemands rol, dan bepaalt het RBAC raamwerk automatisch welke toegangsrechten daar bij horen. Een administratief medewerker in een zorginstelling moet bijvoorbeeld wel toegang krijgen tot financiële systemen maar niet tot medische gegevens in het Elektronisch Patiënten Dossier. Terwijl een zorgverlener juist wel die medische gegevens moet kunnen raadplegen maar niet de financiële informatie. Binnen HelloID kun je zo’n RBAC structuur samenstellen met behulp van zogenaamde Business Rules die eenvoudig zijn in te stellen en te wijzigen. Tools4ever biedt hulpmiddelen zoals een Role Mining workshop om zo’n eerste RBAC model te ontwikkelen.
Vervolgens moet je van iedere medewerker op ieder moment weten welke rol deze heeft. Dit realiseren we door een bronsysteem – meestal het HR systeem – rechtstreeks te koppelen aan HelloID. In het HR systeem worden alle personeelsgegeven bijgehouden – inclusief iemands rol – en het systeem fungeert voor ons toegangsbeheer als de ‘single source of truth’. Rolwijzigingen daarin worden automatisch doorgegeven aan HelloID dat vervolgens zorgt de rechten worden aangepast aan iemands nieuwe rol. Zo voldoen we aan het ‘Least Privilege’ concept waarin iemand altijd alleen toegang heeft tot applicaties en data die voor de betreffende rol nodig zijn. Zo stelt HelloID de juiste rechten in bij de onboarding van nieuwe medewerkers, past het de rechten aan bij functieveranderingen en sluit het een account af als iemand de organisatie weer verlaat.
Hoe ondersteunen gedelegeerde beheerschermen de helpdesk?
Gebruikers kunnen tal van serviceverzoeken doen, variërend van een aanvraag voor een extra/tijdelijke toegang tot een bepaalde applicatie (bijvoorbeeld Visio) tot en met een accountnaam wijziging als iemand trouwt of gaat scheiden. Vaak vereist de afhandeling van zo’n verzoek ingewikkelde wijzigingen in een of meer aangesloten businessapplicaties en/of de Active Directory. De beheerfuncties van die systemen is vaak erg complex en een foutje kan ook veel problemen opleveren. Mensen moeten dus meestal eerst worden getraind om ermee te kunnen werken en bovendien is er vaak een dure beheerlicentie nodig. Tegelijkertijd wil je dit soort verzoeken ook niet alleen door gespecialiseerde IT medewerkers laten afhandelen.
Met zogenaamde gedelegeerde beheerschermen lost HelloID dit eenvoudig en efficiënt op. De beheerder krijgt een gebruiksvriendelijk beheerscherm dat is specifiek geconfigureerd voor de servicehandeling(en) die de helpdeskmedewerker moet kunnen uitvoeren. De gegevens van zo’n ingevuld en bevestigd formulier worden vervolgens binnen HelloID automatisch verwerkt en omgezet naar de juiste instellingen in de betrokken backoffice systemen. Zo kan de helpdesk veel meer beheertaken zelf uitvoeren zonder dure trainingen, zonder licentiekosten en zonder risico’s op vergissingen. En je IT specialisten kunnen zich richten op andere zaken.
Kun je dankzij RBAC alle toegangsrechten automatisch beheren?
Nee, met behulp van het RBAC model kunnen we de algemeen geldende toegangsrechten verstrekken. Voor sommige rollen is volledige gedefinieerd welke toegangsrechten noodzakelijk zijn. Bij zulke sleutelrollen – bijvoorbeeld de meer operationele rollen binnen zorginstellingen – kunnen we het rechtenbeheer dan ook volledig automatiseren. Bij minder strak omschreven rollen zoals een projectmanager, wordt alleen een set basisrechten verstrekt. Heeft iemand voor een specifiek project vervolgens een Visio licentie nodig dan moet deze apart worden aangevraagd. Vaak zien we een 80-20 verhouding. 80% van de rechten worden standaard verstrekt en beheerd aan de hand van het RBAC model. De overige 20% van de toegangsrechten gaan op aanvraag.
Hoe kunnen managers zelf serviceprocessen afhandelen?
Bij veel gebruikersverzoeken is eigenlijk iemands manager het meest geschikt om zulke verzoeken te behandelen. Die kan vaak het best beoordelen of iemand een bepaalde licentie of datatoegang echt nodig heeft. Ook let die manager van nature op de licentiekosten. Nu we met gedelegeerde beheerschermen helpdeskmedewerkers zelfstandiger laten werken, kunnen we met soortgelijke schermen ook managers een deel van de serviceverzoeken laten afhandelen voor hun eigen team.
Een manager krijgt dan toegang tot een gebruiksvriendelijk gebruikersinterface die specifiek is geconfigureerd voor de servicehandeling(en) die hij of zij zelf moet kunnen uitvoeren. De gegevens van een ingevuld en bevestigd formulier worden binnen HelloID automatisch verwerkt en omgezet naar de juiste instellingen in de achterliggende IT-systemen. Zo kunnen managers veel beheertaken zelf uitvoeren zonder training en extra licentiekosten. Op deze manier is het servicebeheer efficiënter en effectiever en ontlasten we de helpdesk.
Hoe werkt self-service voor het beheer van accounts en toegangsrechten
HelloID automatiseert de serviceprocessen. Via een gebruiksvriendelijk portal kan een gebruiker met één klik en eventueel een kort invulscherm zelf applicaties, toegangsrechten en andere zaken aanvragen. Voor ieder type aanvraag kan HelloID het achterliggende proces configureren. Zo moeten afhankelijk van iemands rol/afdeling en het type verzoek een of twee managers een aanvraag beoordelen. HelloID verzorgt dit automatische goedkeuringsproces. De manager krijgt het verzoek bijvoorbeeld in de mail en kan het goedkeuren, afwijzen of commentaar geven. Na goedkeuring zal HelloID de wijziging in de verschillende doelsystemen verwerken en activeren. HelloID ondersteunt ook tijdelijke activeringen. Zo kunnen licenties en toegangsrechten voor een afgebakende periode worden ingesteld – bijvoorbeeld gedurende een project – maar voorkomen we de ongewenste opstapeling van toegangsrechten.
