Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Pizzasessie:
„Hoe versla je het
RBAC monster?‟
User account life-cycle
• Instroom
– Autorisaties voor de eerste keer uitdelen
– Hoge impact op productiviteit
• Doorstroo...
Instroom
• Registratie bij HRM leidend en tijdig?
• Functies en afdeling gestroomlijnd?
• Wat heeft een nieuwe medewerker ...
Doorstroom
• Nieuwe autorisaties uitdelen, zelfde
problematiek als bij instroom
• Overbodige autorisaties intrekken, welke...
RBAC
• Wikipedia:
“Role based access control (RBAC) is een
methode waarmee op een effectieve en
efficiënte wijze toegangsc...
Visie over RBAC
• HRM heeft een belangrijk aandeel in de
vorming van een RBAC-model
• Je wilt naar RBAC toe gaan met minim...
Wat moet je niet doen?
• 1+ jaar onderzoek doen wie precies wat nodig
heeft
• Tijd besteden aan rollen met een lage bezett...
Wat kun je wel doen?
• Je werkt vandaag de dag al met gevulde
informatiesystemen, waarom die situatie niet als
uitgangspun...
Eerste aanpak
• Kijk naar je bestaande
informatiesystemen, focus op Active Directory
• Wat zijn de “meest uitgedeelde” aut...
10
HRM analyse (1)
• Welke functies en/of kostenplaatsen hebben de
grootste bezetting?
• Is de beschikbare informatie uit HRM...
12
HRM analyse (2)
• Welke combinatie van HRM gegevens is
specifiek als input voor een rol?
• Kostenplaats + functie is vaak ...
Role mining (1)
• De juiste combinatie voor de organisatie-rol is
gevonden!
• Alle data van informatiesystemen inladen in ...
Role mining (2)
• Lijsten moeten korter en beter leesbaar
• Weglaten autorisaties die al “default” zijn
• >80%: hoge bezet...
16
Vulling van RBAC matrix
• Resultaten van de role mining importeren;
autorisatie-rollen
• Rollen versleutelen met coderinge...
Instroom (RBAC)
• Medewerker wordt in HRM ingeschreven
• Medewerker krijgt een functie + kostenplaats
toegewezen
• Provisi...
19
20
21
Doorstroom (RBAC)
• Nieuwe functie/kostenplaats is geregistreerd
voordat dit ook werkelijk in zal gaan
• RBAC provisioning...
Onderhoud
• Betrek zoveel mogelijk de organisatie; koppel
rollen aan een eigenaar
• Self-service naar leidinggevenden of s...
Extra voordelen RBAC
• Je kunt rapportages maken die tonen wie extra
rechten heeft naast de rol
• Je kunt full auto-provis...
25
26
27
28
29
30
31
32
33
Meer informatie?
www.tools4ever.nl
Upcoming SlideShare
Loading in …5
×

Hoe versla je het role based access control monster

1,070 views

Published on

  • Be the first to comment

  • Be the first to like this

Hoe versla je het role based access control monster

  1. 1. Pizzasessie: „Hoe versla je het RBAC monster?‟
  2. 2. User account life-cycle • Instroom – Autorisaties voor de eerste keer uitdelen – Hoge impact op productiviteit • Doorstroom – Extra autorisaties uitdelen – Overbodige autorisaties ontnemen? Hoe? – Gemiddelde impact op productiviteit • Uitstroom – Lage impact, lage prioriteit 2
  3. 3. Instroom • Registratie bij HRM leidend en tijdig? • Functies en afdeling gestroomlijnd? • Wat heeft een nieuwe medewerker nodig? • “Copy user syndroom” • “Daar hebben we formulieren voor” • “We willen wel iets met rollen” 3
  4. 4. Doorstroom • Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom • Overbodige autorisaties intrekken, welke zijn dit dan? • “Grace-period” waarin zowel oude als nieuwe autorisaties blijven gelden • Wanneer ga je de autorisaties uitdelen? • Welke rol speelt een leidinggevende hierin? 4
  5. 5. RBAC • Wikipedia: “Role based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.” • Grofweg: “Een kapstok om autorisaties aan op te hangen.” 5
  6. 6. Visie over RBAC • HRM heeft een belangrijk aandeel in de vorming van een RBAC-model • Je wilt naar RBAC toe gaan met minimale impact voor gebruikers • RBAC is geen statisch model • Geen 100% vulling van het model • Slimme vulling, bijvoorbeeld door te “stapelen” • Wijziging in de rol betekent wijziging in de leden 6
  7. 7. Wat moet je niet doen? • 1+ jaar onderzoek doen wie precies wat nodig heeft • Tijd besteden aan rollen met een lage bezetting • Een RBAC model direct 100% “schoon” willen aanbieden • De organisatie er buiten houden, het is geen 100% technische aangelegenheid 7
  8. 8. Wat kun je wel doen? • Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen? • Slim kijken naar de “top” • Besteed geen tijd aan uitzonderingen • Hanteer de 80/20 regel • Hang de “rollen” op aan het HRM systeem 8
  9. 9. Eerste aanpak • Kijk naar je bestaande informatiesystemen, focus op Active Directory • Wat zijn de “meest uitgedeelde” autorisaties? • Kun je hier een “default” rol voor maken die voor iedereen gaat gelden? • Hoe groter de “default” rol, hoe kleiner de andere rollen 9
  10. 10. 10
  11. 11. HRM analyse (1) • Welke functies en/of kostenplaatsen hebben de grootste bezetting? • Is de beschikbare informatie uit HRM kwalitatief goed genoeg? • Wordt de koppeling tussen functie/kostenplaats en de medewerker “tijdig” bijgehouden? • Is deze informatie al voldoende specifiek? 11
  12. 12. 12
  13. 13. HRM analyse (2) • Welke combinatie van HRM gegevens is specifiek als input voor een rol? • Kostenplaats + functie is vaak een goed uitgangspunt als “organisatie-rol” • Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt 13
  14. 14. Role mining (1) • De juiste combinatie voor de organisatie-rol is gevonden! • Alle data van informatiesystemen inladen in een centrale data store • Hoeveel medewerkers hebben we per organisatie-rol? • Welke bezettingsgraad van autorisaties vinden we per organisatie-rol? • Grote hoeveelheid informatie, slimme filtering 14
  15. 15. Role mining (2) • Lijsten moeten korter en beter leesbaar • Weglaten autorisaties die al “default” zijn • >80%: hoge bezetting; onderdeel van de rol • <80%: lage bezetting; uitzonderingen • <1 persoon in de organisatie-rol; geen prio • <1 autorisatie-bezetting; geen prio 15
  16. 16. 16
  17. 17. Vulling van RBAC matrix • Resultaten van de role mining importeren; autorisatie-rollen • Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol • Eigenaar toewijzen van de rol, kostendrager van de kostenplaats? 17
  18. 18. Instroom (RBAC) • Medewerker wordt in HRM ingeschreven • Medewerker krijgt een functie + kostenplaats toegewezen • Provisioning wordt uitgevoerd, Active Directory account wordt aangemaakt • RBAC matrix wordt ondervraagd op functiecode en kostenplaatscode; resultaat zijn de “default” en overeenkomstige autorisatie-rollen • RBAC provisioning voert autorisaties door 18
  19. 19. 19
  20. 20. 20
  21. 21. 21
  22. 22. Doorstroom (RBAC) • Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan • RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe • RBAC provisioning ziet ook de autorisaties behorende bij de oude “organisatie-rol” en ontneemt deze • Eventueel kan een grace-period worden toegestaan 22
  23. 23. Onderhoud • Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar • Self-service naar leidinggevenden of security- officer om autorisatie-rollen te beheren • Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt 23
  24. 24. Extra voordelen RBAC • Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol • Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers • Grote kans op lagere licentie-kosten • Je kunt rollen tijdsgebonden maken • Je kunt conflicten tussen rollen aanleggen • Je kunt risico-volle autorisaties via een extra goedkeuring laten lopen 24
  25. 25. 25
  26. 26. 26
  27. 27. 27
  28. 28. 28
  29. 29. 29
  30. 30. 30
  31. 31. 31
  32. 32. 32
  33. 33. 33
  34. 34. Meer informatie? www.tools4ever.nl

×