SlideShare ist ein Scribd-Unternehmen logo

Hoe versla je het role based access control monster

Als PPTX, PDF herunterladen
Tools4ever NL
Tools4ever NL
1 von 34
Pizzasessie: „Hoe versla je het RBAC monster?‟
User account life-cycle • Instroom – Autorisaties voor de eerste keer uitdelen – Hoge impact op productiviteit • Doorstroom – Extra autorisaties uitdelen – Overbodige autorisaties ontnemen? Hoe? – Gemiddelde impact op productiviteit • Uitstroom – Lage impact, lage prioriteit 2
Instroom • Registratie bij HRM leidend en tijdig? • Functies en afdeling gestroomlijnd? • Wat heeft een nieuwe medewerker nodig? • “Copy user syndroom” • “Daar hebben we formulieren voor” • “We willen wel iets met rollen” 3
Doorstroom • Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom • Overbodige autorisaties intrekken, welke zijn dit dan? • “Grace-period” waarin zowel oude als nieuwe autorisaties blijven gelden • Wanneer ga je de autorisaties uitdelen? • Welke rol speelt een leidinggevende hierin? 4
RBAC • Wikipedia: “Role based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.” • Grofweg: “Een kapstok om autorisaties aan op te hangen.” 5
Visie over RBAC • HRM heeft een belangrijk aandeel in de vorming van een RBAC-model • Je wilt naar RBAC toe gaan met minimale impact voor gebruikers • RBAC is geen statisch model • Geen 100% vulling van het model • Slimme vulling, bijvoorbeeld door te “stapelen” • Wijziging in de rol betekent wijziging in de leden 6
Wat moet je niet doen? • 1+ jaar onderzoek doen wie precies wat nodig heeft • Tijd besteden aan rollen met een lage bezetting • Een RBAC model direct 100% “schoon” willen aanbieden • De organisatie er buiten houden, het is geen 100% technische aangelegenheid 7
Wat kun je wel doen? • Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen? • Slim kijken naar de “top” • Besteed geen tijd aan uitzonderingen • Hanteer de 80/20 regel • Hang de “rollen” op aan het HRM systeem 8
Eerste aanpak • Kijk naar je bestaande informatiesystemen, focus op Active Directory • Wat zijn de “meest uitgedeelde” autorisaties? • Kun je hier een “default” rol voor maken die voor iedereen gaat gelden? • Hoe groter de “default” rol, hoe kleiner de andere rollen 9
10
HRM analyse (1) • Welke functies en/of kostenplaatsen hebben de grootste bezetting? • Is de beschikbare informatie uit HRM kwalitatief goed genoeg? • Wordt de koppeling tussen functie/kostenplaats en de medewerker “tijdig” bijgehouden? • Is deze informatie al voldoende specifiek? 11
12
HRM analyse (2) • Welke combinatie van HRM gegevens is specifiek als input voor een rol? • Kostenplaats + functie is vaak een goed uitgangspunt als “organisatie-rol” • Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt 13
Role mining (1) • De juiste combinatie voor de organisatie-rol is gevonden! • Alle data van informatiesystemen inladen in een centrale data store • Hoeveel medewerkers hebben we per organisatie-rol? • Welke bezettingsgraad van autorisaties vinden we per organisatie-rol? • Grote hoeveelheid informatie, slimme filtering 14
Role mining (2) • Lijsten moeten korter en beter leesbaar • Weglaten autorisaties die al “default” zijn • >80%: hoge bezetting; onderdeel van de rol • <80%: lage bezetting; uitzonderingen • <1 persoon in de organisatie-rol; geen prio • <1 autorisatie-bezetting; geen prio 15
16
Vulling van RBAC matrix • Resultaten van de role mining importeren; autorisatie-rollen • Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol • Eigenaar toewijzen van de rol, kostendrager van de kostenplaats? 17
Instroom (RBAC) • Medewerker wordt in HRM ingeschreven • Medewerker krijgt een functie + kostenplaats toegewezen • Provisioning wordt uitgevoerd, Active Directory account wordt aangemaakt • RBAC matrix wordt ondervraagd op functiecode en kostenplaatscode; resultaat zijn de “default” en overeenkomstige autorisatie-rollen • RBAC provisioning voert autorisaties door 18
19
20
21
Doorstroom (RBAC) • Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan • RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe • RBAC provisioning ziet ook de autorisaties behorende bij de oude “organisatie-rol” en ontneemt deze • Eventueel kan een grace-period worden toegestaan 22
Onderhoud • Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar • Self-service naar leidinggevenden of security- officer om autorisatie-rollen te beheren • Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt 23
Extra voordelen RBAC • Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol • Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers • Grote kans op lagere licentie-kosten • Je kunt rollen tijdsgebonden maken • Je kunt conflicten tussen rollen aanleggen • Je kunt risico-volle autorisaties via een extra goedkeuring laten lopen 24
25
26
27
28
29
30
31
32
33
Meer informatie? www.tools4ever.nl

Empfohlen

Value Stream Mapping
Value Stream MappingValue Stream Mapping
Value Stream Mapping
Frederickvc
 
SharePoint Saturday NL 24032012
SharePoint Saturday NL 24032012SharePoint Saturday NL 24032012
SharePoint Saturday NL 24032012
gdoeswijk
 
AVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, Antwerpen
AVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, AntwerpenAVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, Antwerpen
AVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, Antwerpen
TOPdesk
 
Presentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coneyPresentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coney
drs Pieter de Kok RA
 
1 hans outhuis is de vraag nog wel te sturen
1 hans outhuis is de vraag nog wel te sturen 1 hans outhuis is de vraag nog wel te sturen
1 hans outhuis is de vraag nog wel te sturen
NMITSymposium
 
BPM in een notendop...
BPM in een notendop...BPM in een notendop...
BPM in een notendop...
Silvester_Modderkolk
 
HR kan slimmer en beter
HR kan slimmer en beterHR kan slimmer en beter
HR kan slimmer en beter
Anita Lettink
 
Talent&Performance Management: Ber Damen (Berenschot)
Talent&Performance Management: Ber Damen (Berenschot)Talent&Performance Management: Ber Damen (Berenschot)
Talent&Performance Management: Ber Damen (Berenschot)
TalentPerformance
 

Empfohlen

Value Stream Mapping
Value Stream MappingValue Stream Mapping
Value Stream Mapping
Frederickvc
 
SharePoint Saturday NL 24032012
SharePoint Saturday NL 24032012SharePoint Saturday NL 24032012
SharePoint Saturday NL 24032012
gdoeswijk
 
AVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, Antwerpen
AVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, AntwerpenAVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, Antwerpen
AVEVE Service delivery van de toekomst, TOPdesk on Tour 2016, Antwerpen
TOPdesk
 
Presentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coneyPresentatie 2e roundtable ai and audit 2018 coney
Presentatie 2e roundtable ai and audit 2018 coney
drs Pieter de Kok RA
 
1 hans outhuis is de vraag nog wel te sturen
1 hans outhuis is de vraag nog wel te sturen 1 hans outhuis is de vraag nog wel te sturen
1 hans outhuis is de vraag nog wel te sturen
NMITSymposium
 
BPM in een notendop...
BPM in een notendop...BPM in een notendop...
BPM in een notendop...
Silvester_Modderkolk
 
HR kan slimmer en beter
HR kan slimmer en beterHR kan slimmer en beter
HR kan slimmer en beter
Anita Lettink
 
Talent&Performance Management: Ber Damen (Berenschot)
Talent&Performance Management: Ber Damen (Berenschot)Talent&Performance Management: Ber Damen (Berenschot)
Talent&Performance Management: Ber Damen (Berenschot)
TalentPerformance
 
Functioneel Beheer en Informatiemanagement: 2015 - 2020
Functioneel Beheer en Informatiemanagement: 2015 - 2020Functioneel Beheer en Informatiemanagement: 2015 - 2020
Functioneel Beheer en Informatiemanagement: 2015 - 2020
Martijn Buurman
 
Toc it agile slide share
Toc it agile slide shareToc it agile slide share
Toc it agile slide share
asnelders
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Harold van Heeringen
 
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
HOlink
 
OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...
OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...
OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...
Sogeti Nederland B.V.
 
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
OperatieNUP
 
FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...
FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...
FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...
Nesma
 
TOPAAS Versie 2.0, een praktische inleiding
TOPAAS Versie 2.0, een praktische inleidingTOPAAS Versie 2.0, een praktische inleiding
TOPAAS Versie 2.0, een praktische inleiding
Jaap van Ekris
 
Morphis LEAN klantprocessen
Morphis LEAN klantprocessenMorphis LEAN klantprocessen
Morphis LEAN klantprocessen
Morphis
 
A2 Mark Van Pee
A2 Mark Van PeeA2 Mark Van Pee
A2 Mark Van Pee
Erwin Buggenhout
 
Business process flows, business rules, queues en status reason
Business process flows, business rules, queues en status reasonBusiness process flows, business rules, queues en status reason
Business process flows, business rules, queues en status reason
Dynamics 365 Customer Engagement Professionals Netherlands (CEProNL)
 
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakFacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
Dirk Tuip
 
Bedrijfsprocessen Stroomlijnen
Bedrijfsprocessen StroomlijnenBedrijfsprocessen Stroomlijnen
Bedrijfsprocessen Stroomlijnen
Pieter Bos
 
Workloadmeting in de social profit en publieke sector
Workloadmeting in de social profit en publieke sectorWorkloadmeting in de social profit en publieke sector
Workloadmeting in de social profit en publieke sector
quest-it
 
Presentation Sligro group a
Presentation Sligro group aPresentation Sligro group a
Presentation Sligro group a
Lauran van Hoek
 
Barcamp 12 mei 2011 - Ctac
Barcamp 12 mei 2011 - CtacBarcamp 12 mei 2011 - Ctac
Barcamp 12 mei 2011 - Ctac
inovatiecentrumlimburg
 
Logistieke Barcamp 12 mei 2011 - Ctac
Logistieke Barcamp 12 mei 2011 - CtacLogistieke Barcamp 12 mei 2011 - Ctac
Logistieke Barcamp 12 mei 2011 - Ctac
Innovatiecentrum Limburg vzw
 
Agile werken @schiphol
Agile werken @schipholAgile werken @schiphol
Agile werken @schiphol
Delta-N
 
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
SURF Events
 
e HRM: Het implementeren van een "way of life"
e HRM: Het implementeren van een "way of life" e HRM: Het implementeren van een "way of life"
e HRM: Het implementeren van een "way of life"
Visma
 
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Tools4ever NL
 
Pizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4everPizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Tools4ever NL
 

Weitere ähnliche Inhalte

Ähnlich wie Hoe versla je het role based access control monster

Toc it agile slide share
Toc it agile slide shareToc it agile slide share
Toc it agile slide share
asnelders
 
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
HOlink
 
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
OperatieNUP
 
Presentation Sligro group a
Presentation Sligro group aPresentation Sligro group a
Presentation Sligro group a
Lauran van Hoek
 

Ähnlich wie Hoe versla je het role based access control monster (20)

Functioneel Beheer en Informatiemanagement: 2015 - 2020
Functioneel Beheer en Informatiemanagement: 2015 - 2020Functioneel Beheer en Informatiemanagement: 2015 - 2020
Functioneel Beheer en Informatiemanagement: 2015 - 2020
 
Toc it agile slide share
Toc it agile slide shareToc it agile slide share
Toc it agile slide share
 
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
Begroten van software projecten - Hogeschool Rotterdam gastcollege 05-11-2013
 
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
Meer grip op nieuwe releases? Hoe blijf je bij? - Susanne Zuurendonk - HO-lin...
 
OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...
OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...
OPS als enabler voor DevOps bij KvK - Robbert van der Houwen (KvK) & Conrad H...
 
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
Stelselinformatiepunt; wat u wilt weten over het stelsel (Operatie NUP congr...
 
FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...
FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...
FPAgile - Meten in een Agile omgeving - Van denken in oplossingen naar denken...
 
TOPAAS Versie 2.0, een praktische inleiding
TOPAAS Versie 2.0, een praktische inleidingTOPAAS Versie 2.0, een praktische inleiding
TOPAAS Versie 2.0, een praktische inleiding
 
Morphis LEAN klantprocessen
Morphis LEAN klantprocessenMorphis LEAN klantprocessen
Morphis LEAN klantprocessen
 
A2 Mark Van Pee
A2 Mark Van PeeA2 Mark Van Pee
A2 Mark Van Pee
 
Business process flows, business rules, queues en status reason
Business process flows, business rules, queues en status reasonBusiness process flows, business rules, queues en status reason
Business process flows, business rules, queues en status reason
 
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaakFacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
FacilityApps presentatie bij de VSR Borrel over innovatie in schoonmaak
 
Bedrijfsprocessen Stroomlijnen
Bedrijfsprocessen StroomlijnenBedrijfsprocessen Stroomlijnen
Bedrijfsprocessen Stroomlijnen
 
Workloadmeting in de social profit en publieke sector
Workloadmeting in de social profit en publieke sectorWorkloadmeting in de social profit en publieke sector
Workloadmeting in de social profit en publieke sector
 
Presentation Sligro group a
Presentation Sligro group aPresentation Sligro group a
Presentation Sligro group a
 
Barcamp 12 mei 2011 - Ctac
Barcamp 12 mei 2011 - CtacBarcamp 12 mei 2011 - Ctac
Barcamp 12 mei 2011 - Ctac
 
Logistieke Barcamp 12 mei 2011 - Ctac
Logistieke Barcamp 12 mei 2011 - CtacLogistieke Barcamp 12 mei 2011 - Ctac
Logistieke Barcamp 12 mei 2011 - Ctac
 
Agile werken @schiphol
Agile werken @schipholAgile werken @schiphol
Agile werken @schiphol
 
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
IT-administratie (CMDB) niet belangrijk? Besparen én verbeteren - Robert Krem...
 
e HRM: Het implementeren van een "way of life"
e HRM: Het implementeren van een "way of life" e HRM: Het implementeren van een "way of life"
e HRM: Het implementeren van een "way of life"
 

Mehr von Tools4ever NL

Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4ever
Tools4ever NL
 
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsArnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
Tools4ever NL
 

Mehr von Tools4ever NL (18)

Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
Presentatie Ger Wierenga_De waarde van de koppeling tussen AFAS Profit en Too...
 
Pizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4everPizzasessie SSO en Thin Cliensts: presentatie Tools4ever
Pizzasessie SSO en Thin Cliensts: presentatie Tools4ever
 
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialistPizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
Pizzasessie SSO en Thin Clients: presentatie ThinClientSpecialist
 
Pizzasessie SSO en Thin Cliensts: presentatie IGEL
Pizzasessie SSO en Thin Cliensts: presentatie IGELPizzasessie SSO en Thin Cliensts: presentatie IGEL
Pizzasessie SSO en Thin Cliensts: presentatie IGEL
 
Pizzasessie SSO en Thin Clients: presentatie Citrix
Pizzasessie SSO en Thin Clients: presentatie CitrixPizzasessie SSO en Thin Clients: presentatie Citrix
Pizzasessie SSO en Thin Clients: presentatie Citrix
 
Pizzasessie TOPdesk presentatie Tjeerd Seinen
Pizzasessie TOPdesk presentatie Tjeerd SeinenPizzasessie TOPdesk presentatie Tjeerd Seinen
Pizzasessie TOPdesk presentatie Tjeerd Seinen
 
Pizzasessie TOPdesk-presentatie: Anton van Kessel
Pizzasessie TOPdesk-presentatie: Anton van KesselPizzasessie TOPdesk-presentatie: Anton van Kessel
Pizzasessie TOPdesk-presentatie: Anton van Kessel
 
Password Management & SSO door Eric Vlasman
Password Management & SSO door Eric VlasmanPassword Management & SSO door Eric Vlasman
Password Management & SSO door Eric Vlasman
 
Informatievoorziening in de zorg_Jan Willem Schoemaker
Informatievoorziening in de zorg_Jan Willem SchoemakerInformatievoorziening in de zorg_Jan Willem Schoemaker
Informatievoorziening in de zorg_Jan Willem Schoemaker
 
Veilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpersVeilige informatievoorziening bij westfriesgasthuis rob kuijpers
Veilige informatievoorziening bij westfriesgasthuis rob kuijpers
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4ever
 
Enterprise single sign on by tools4ever
Enterprise single sign on by tools4everEnterprise single sign on by tools4ever
Enterprise single sign on by tools4ever
 
Identity management in de zorg
Identity management in de zorgIdentity management in de zorg
Identity management in de zorg
 
Rene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijsRene Bosman_De weg naar eenvoudig beheer in het onderwijs
Rene Bosman_De weg naar eenvoudig beheer in het onderwijs
 
Jacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4everJacques Vriens_De organisatie Tools4ever
Jacques Vriens_De organisatie Tools4ever
 
Hans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerprocesHans Delwel_Invoering EPD vraagt om uniform beheerproces
Hans Delwel_Invoering EPD vraagt om uniform beheerproces
 
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijsArnout van der Vorst_De waarde van Identity Management in het onderwijs
Arnout van der Vorst_De waarde van Identity Management in het onderwijs
 
Tjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4everTjeerd Seinen_Toelichting Identity Management producten tools4ever
Tjeerd Seinen_Toelichting Identity Management producten tools4ever
 

Hoe versla je het role based access control monster

  • 1. Pizzasessie: „Hoe versla je het RBAC monster?‟
  • 2. User account life-cycle • Instroom – Autorisaties voor de eerste keer uitdelen – Hoge impact op productiviteit • Doorstroom – Extra autorisaties uitdelen – Overbodige autorisaties ontnemen? Hoe? – Gemiddelde impact op productiviteit • Uitstroom – Lage impact, lage prioriteit 2
  • 3. Instroom • Registratie bij HRM leidend en tijdig? • Functies en afdeling gestroomlijnd? • Wat heeft een nieuwe medewerker nodig? • “Copy user syndroom” • “Daar hebben we formulieren voor” • “We willen wel iets met rollen” 3
  • 4. Doorstroom • Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom • Overbodige autorisaties intrekken, welke zijn dit dan? • “Grace-period” waarin zowel oude als nieuwe autorisaties blijven gelden • Wanneer ga je de autorisaties uitdelen? • Welke rol speelt een leidinggevende hierin? 4
  • 5. RBAC • Wikipedia: “Role based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.” • Grofweg: “Een kapstok om autorisaties aan op te hangen.” 5
  • 6. Visie over RBAC • HRM heeft een belangrijk aandeel in de vorming van een RBAC-model • Je wilt naar RBAC toe gaan met minimale impact voor gebruikers • RBAC is geen statisch model • Geen 100% vulling van het model • Slimme vulling, bijvoorbeeld door te “stapelen” • Wijziging in de rol betekent wijziging in de leden 6
  • 7. Wat moet je niet doen? • 1+ jaar onderzoek doen wie precies wat nodig heeft • Tijd besteden aan rollen met een lage bezetting • Een RBAC model direct 100% “schoon” willen aanbieden • De organisatie er buiten houden, het is geen 100% technische aangelegenheid 7
  • 8. Wat kun je wel doen? • Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen? • Slim kijken naar de “top” • Besteed geen tijd aan uitzonderingen • Hanteer de 80/20 regel • Hang de “rollen” op aan het HRM systeem 8
  • 9. Eerste aanpak • Kijk naar je bestaande informatiesystemen, focus op Active Directory • Wat zijn de “meest uitgedeelde” autorisaties? • Kun je hier een “default” rol voor maken die voor iedereen gaat gelden? • Hoe groter de “default” rol, hoe kleiner de andere rollen 9
  • 10. 10
  • 11. HRM analyse (1) • Welke functies en/of kostenplaatsen hebben de grootste bezetting? • Is de beschikbare informatie uit HRM kwalitatief goed genoeg? • Wordt de koppeling tussen functie/kostenplaats en de medewerker “tijdig” bijgehouden? • Is deze informatie al voldoende specifiek? 11
  • 12. 12
  • 13. HRM analyse (2) • Welke combinatie van HRM gegevens is specifiek als input voor een rol? • Kostenplaats + functie is vaak een goed uitgangspunt als “organisatie-rol” • Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt 13
  • 14. Role mining (1) • De juiste combinatie voor de organisatie-rol is gevonden! • Alle data van informatiesystemen inladen in een centrale data store • Hoeveel medewerkers hebben we per organisatie-rol? • Welke bezettingsgraad van autorisaties vinden we per organisatie-rol? • Grote hoeveelheid informatie, slimme filtering 14
  • 15. Role mining (2) • Lijsten moeten korter en beter leesbaar • Weglaten autorisaties die al “default” zijn • >80%: hoge bezetting; onderdeel van de rol • <80%: lage bezetting; uitzonderingen • <1 persoon in de organisatie-rol; geen prio • <1 autorisatie-bezetting; geen prio 15
  • 16. 16
  • 17. Vulling van RBAC matrix • Resultaten van de role mining importeren; autorisatie-rollen • Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol • Eigenaar toewijzen van de rol, kostendrager van de kostenplaats? 17
  • 18. Instroom (RBAC) • Medewerker wordt in HRM ingeschreven • Medewerker krijgt een functie + kostenplaats toegewezen • Provisioning wordt uitgevoerd, Active Directory account wordt aangemaakt • RBAC matrix wordt ondervraagd op functiecode en kostenplaatscode; resultaat zijn de “default” en overeenkomstige autorisatie-rollen • RBAC provisioning voert autorisaties door 18
  • 19. 19
  • 20. 20
  • 21. 21
  • 22. Doorstroom (RBAC) • Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan • RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe • RBAC provisioning ziet ook de autorisaties behorende bij de oude “organisatie-rol” en ontneemt deze • Eventueel kan een grace-period worden toegestaan 22
  • 23. Onderhoud • Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar • Self-service naar leidinggevenden of security- officer om autorisatie-rollen te beheren • Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt 23
  • 24. Extra voordelen RBAC • Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol • Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers • Grote kans op lagere licentie-kosten • Je kunt rollen tijdsgebonden maken • Je kunt conflicten tussen rollen aanleggen • Je kunt risico-volle autorisaties via een extra goedkeuring laten lopen 24
  • 25. 25
  • 26. 26
  • 27. 27
  • 28. 28
  • 29. 29
  • 30. 30
  • 31. 31
  • 32. 32
  • 33. 33