Autorisatiebeheer
Autorisatiebeheer omvat het beheer van de toegang tot systemen en in welke mate iemand gerechtigd is binnen een applicatie. Beheer van deze autorisaties (bevoegdheden) kan met een aantal methoden ingericht worden. De meest gangbare methode is Role Based Access Control (RBAC). Op voorhand dienen de doelen pragmatisch en realistisch gesteld te worden en moet voor alle betrokkenen helder zijn wanneer deze doelen gerealiseerd zijn (en het project dus succesvol is).
Organisatie
De doelstelling van onze oplossingen is optimalisatie van gebruikers- en bevoegdheden processen. Techniek is daarbij natuurlijk een belangrijk aspect, echter aspecten als organisatie, processen, procedures, verantwoordelijkheden zijn daarbij minstens zo belangrijk. Op basis van de huidige werkwijze wordt bekeken hoe we de onderdelen kunnen optimaliseren. En dan hebben we het feitelijk over change management.
Ieder organisatieonderdeel heeft een rol in het gezamelijk succes en moet dus op tijd en actief bij het traject betrokken worden. Kritische succesfactoren zijn dus bewustwording in de organisatie en sponsoring van het top management. Uitgangspunt moet zijn dat de organisatie dit wil en iedereen z’n verantwoordelijk pakt.
Onderdelen Autorisatiebeheer
Voor inrichting van autorisatiebeheer dienen een aantal randvoorwaarden ingevuld te zijn. Denk hierbij aan helderheid en beschikbaarheid van benodigde gebruikergegevens en de kwaliteit van die gegevens. Maar ook inzichtelijkheid hoe de processen rondom gebruikersbeheer en autorisatiebeheer vandaag de dag worden ingevuld. Een autorisatiemanagement oplossing kent typisch de volgende onderdelen:
- Workflow Management
Dit onderdeel is feitelijk het 'gezicht' van de applicatie. Gebruikers kunnen bijvoorbeeld via de workflow webinterface aanvullende autorisatie aanvragen; de manager kan via dezelfde webinterface de aanvraag goed- dan wel afkeuren. Managers worden in staat gesteld de bevoegdheden van hun medewerkers te beheren conform gedefinieerde gebruikers- en bevoegdheden processen. Indien gewenst kan de manager dit beheer ook delegeren.
- Policy Managment
Met dit onderdeel kunnen regels (policies) van de organisatie ten aanzien van autorisaties worden geconfigureerd en beheerd. De mogelijkheden en flexibiliteit ervan is sterk gekoppeld aan de wijze waarop de organisatie binnen het autorisatie beheer systeem is geconfigureerd. Hierbij moet rekening worden gehouden met punten als:- RBAC standaarden (http://csrc.nist.gov/groups/SNS/rbac/)
- De organisatiestructuur (vaak gerelateerd aan de financiële structuur);
- Of een organisatieonderdeel de rollen van een ander organisatieonderdeel mag zien?
- Of een medewerker van het ene organisatieonderdeel aan de rol van een andere organisatiedeel gekoppeld mag worden?
- Wat de rol en de verantwoordelijkheid van de security/risk officer is?
- Is context based provisioning relevant.
- Account Provisioning
Dit onderdeel betreft het aansturen van doelsystemen (waarvoor je de autorisaties wilt beheren) voor wat betreft het aanmaken, aanpassen en verwijderen van identiteitsgegevens. Dit kan zowel handmatig (mail naar beheerder van doelsysteem) als automatisch door middel van fysieke koppeling met doelsysteem (al dan niet met agents). - Audit en Compliance Management
Een belangrijk onderdeel omdat middels de rapportages en functionaliteit (oa attastation, reconciliation en policy monitoring) inzichtelijk wordt gemaakt dat aan de policies van het bedrijf, maar zeker ook de geldende wet en regelgeving wordt voldaan.
Grabowsky heeft uitgebreide kennis en ervaring op het gebied van Autorisatiebeheer. Wij gaan graag met u als klant het gesprek aan om te bepalen hoe succes voor u op dit gebied kan worden gerealiseerd. Klik hier voor meer informatie over onze dienstverlening.
