[SysAdmins] Nieuwe starter in bedrijf

Dit kan opgelost worden via een toegangsmanagement systeem. Voorbeelden hiervan zijn:
• Oracle identity management
• Dell Identity manager
• IBM Security and Access Management

Met deze pakketten is alles te automatiseren, waardoor alleen de aanvraag moet worden ingediend, en als alles netjes is ingeregeld wordt na goedkeuring de rest geautomatiseerd afgehandeld, of doorgegeven aan de juiste partij.

Dit proces heet onboarding. En alles wat genoemd wordt qua systemen zijn (deel) ondersteuningen van het proces en met klem GEEN oplossingen.

IDM zegt alleen iets over medewerkers. Ja, het kan een bron zijn. Moet je hem alleen wel gebruiken.
Ik zal je een geheim verklappen: dit proces begint en eindigt bij HR. Die weten nl als eerste dat er iemand komt, die moeten alles in gang zetten. En die hebben meestal geen zicht op wat er allemaal geregeld moet worden.

Wij gebruiken op kantoor als helpdesk/CMDB het pakket "iTop CMDB" van Combodo. Dat is een Open Source oplossing en primair bedoeld als (zoals de naam al zegt), CMDB / Helpdesk pakket.

Het leuke van het pakket is dat je met templates kunt werken en met (web) formulieren voor aanvragen.

Voor nieuw personeel doen wij dat op dit moment op een rudimentaire manier, het HR gedeelte zit er niet in en qua ICT vragen stellen we een paar eenvoudige vragen zoals "van welke gebruiker moeten we een kopie maken" "moet diegene telefonie hebben" "moet er gevoicelogd worden".

HR kan niet in het pakket (ze kunnen tickets inschieten via het portal, maar ze hebben geen toegang tot de "achterkant"), maar dat is omdat de behoefte bij ons op dit moment niet groot genoeg is daarvoor. Als je daarover goede afspraken maakt met HR, de flows goed in stelt en ze wegwijs maakt in het pakket is er geen enkele reden om HR geen toegang te geven tot het pakket.

Ik denk dat als je het goed in richt *en* de processen op orde hebt (die moet je definiëren voordat je ze gaat inrichten in het pakket, het pakket is maar een middel, een flow via papieren formulieren kan net zo goed werken als een electronische flow via zo'n pakket), zo'n pakket een goed hulpmiddel kan zijn.

Pakket: http://www.combodo.com/?lang=en

Mocht je het willen gaan gebruiken / evalueren. Het is gratis, Open Source en fuctioneel goed uit te breiden met zgn. extentions. Wil je er *toch* een licentie en support voor (en de zgn. ITSM Designer willen kunnen gebruiken), betaal je rond de 14.000 EUR per jaar.

Een overzicht van de extentions die er beschikbaar zijn:
https://wiki.openitop.org/doku.php?id=extensions:start

(Note: Wij gebruiken dit pakket nu een jaar of 2 in het bedrijf (~50 FTE waarvan 2 man technisch ICT, 2 functioneel beheer en de rest niet-technisch) en het bevalt zo goed, dat ik het ook voor mijn stichting heb ingezet. Beiden zonder support vanuit Combodo overigens.)

Bij ons komt alle informatie bij HR vandaan, zij weten op basis van een checklist welke rechten, apparatuur etc bij welke functie hoort.

Vervolgens melden zij dit via een template in ons ticket systeem.

IT maakt de medewerker aan en klaar.

HR zet bij ons de gebruiker in het HR systeem, vervolgens hebben we zelf software geschreven om ervoor te zorgen dat die gegevens in alle andere systemen komen die de gebruikersdata nodig hebben. Zoals de AD, Office365 (type licentie, e-mail adres wordt gegenereerd), Skype for Business (telefoonnummer wordt automatisch gegenereerd), intussen hangen er ongeveer 30 applicaties en websites aan.

Het enige wat HR bepaald dat is de Office 365 licentie omdat het in hun systeem is opgeslagen. Maar de licentie wordt weer bepaald aan de hand van strikte regels: vaste medewerker met laptop/pc = volledige licentie, inlener=geen licentie (heeft deze immers al via zijn/haar eigen werkgever) en zo zijn er nog een paar regels.

We proberen de AD koppelingen te vermijden in de software omdat bij ons het HR systeem de bron is van de gebruikersdata en niet de AD. Voor zover bekend bij onze IT afdeling is er nog maar 1 applicatie gekoppeld aan onze lokale AD.

Single sign on gebeurd via ADFS.

Een gebruiker krijgt bij ons standaard rechten waarbij hij zeker de eerste week zich helemaal kan inlezen in het bedrijf. De gebruiker mag via topdesk toegang aanvragen voor extra dingen, dit wordt via de manager geverifieerd of de toegang is toegestaan aangezien IT en HR bij ons de gebruiker niet kent qua rechten en taken wat hij/zij exact moet doen, de manager heeft die informatie wel.

Dit is in een bedrijf waar momenteel ongeveer 6000 user accounts zijn en groeiend (employees en contractors). Vandaar dat we bij IT niet veel meer met de hand willen doen, dat is onbegonnen werk.

Zoals The Eagle aangeeft, het proces van onboarding & offboarding moet 100% inzichtelijk zijn voordat je iets kan optimaliseren en/of automatiseren. Dat houdt dus in dat alles, en niet alleen ICT, bepaalde info op een bepaald moment moet krijgen om zijn/haar werk te doen.

Maar je vraagt hoe het voor de ICT'er uitpakt en dan schrik ik een beetje van jouw omschrijving. Policies (per gebruiker??) en andere zaken die blijkbaar met het handje worden ingevuld? Een goede stap voor de IT-afdeling is RBAC inrichten op basis van de historische aanvragen en dat kan platform-onafhankelijk. Als je dat in place hebt, is het niet heel lastig of veel werk om een aanvraag handmatig of geautomatiseerd te verwerken; je hebt al minder mogelijkheden tot fouten maken en door RBAC krijgt een nieuwe medewerker automagisch al toegang tot shareX of applicationY.

Het automatiseren van het zaakje is een klein stukje kosten en groot stukje nadenken. Er zijn verschillende gratis/betaalde oplossingen om dit te realiseren. Je kan scripten (Powershell / Bash / whatever), je kan een extra tool inzetten zoals RES One Service Store of je maakt gewoon een werkinstructie die fail-safe is (inclusief doodlopende paden met terugverwijzing naar afdeling X voor meer info).

Zoals al een beetje wordt aangegeven moet je toe naar een situatie waarin je helemaal niks hoeft te doen voor nieuwe medewerkers. Koppel het aan de systemen van HR zodat als iemand wordt aangenomen alle benodigde processen automatisch worden gestart.

Dat kan alleen werken als je al je systemen centraal kan beheren. Als je met de hand naar twintig losse applicaties toe moet om daar een account aan te maken dan gaat er altijd wel iets mis. Leer die twintig applicaties om naar een centrale database met gebruikers te kijken en/of single sign on te gebruiken.

Als je toch bezig bent kijk dan ook direct naar een exit-procedure voor als mensen weer vertrekken. Dat is vaak nog lastiger dan een onboard-procedure. Twee vragen zijn van belang: Hoe lang bewaren we gegevens van ex-medewerkers? Wie mogen er bij die gegevens en/of hoe dragen we die over naar andere medewerkers?

Een collega van mij vertelde me ooit: "Het enige IT-systeem dat altijd accuraat is, is de salarisadministratie. Alles kan hier fout gaan maar er heeft nog nooit iemand ook maar één dag salaris te veel gekregen."

CAPSLOCK2000 schreef op donderdag 1 december 2016 @ 18:10:
Een collega van mij vertelde me ooit: "Het enige IT-systeem dat altijd accuraat is, is de salarisadministratie. Alles kan hier fout gaan maar er heeft nog nooit iemand ook maar één dag salaris te veel gekregen."

Dat is toch wel een erg gewaagde aanname. Ik hoop niet dat die collega bij jullie salarisadministratie zit of in jou geval juist wel.

Van alle IT systemen die volgens de gebruiker niet goed werken gaat de gebruiker over klagen behalve... Als hij/zij teveel salaris heeft gekregen, waarom zou die dan gaan klagen? Dus hoe weet je dat er nog nooit iemand een dag te veel salaris heeft gehad? Dat weet je dus niet tenzij je alles met de hand gaat controleren wat bijna niet te doen is.

Het probleem met dat soort stoere en boude uitspraken is dat ze zelden kloppen als je ze 100% letterlijk neemt. Dat geldt ook voor de voorgaande zin

Natuurlijk zal er ook met de salarisadministratie ooit wel eens een foutje worden gemaakt, toch denk ik dat er een directe kern van waarheid in zit. Het punt is dat het dan geen IT-probleem meer is maar een probleem van financieel probleem van de afdeling Boekhouding & Accounting. In tegenstelling tot de IT heeft dat vakgebied duizenden jaren kennis en ervaring achter zich staan bij het omgaan met dit soort problemen. Er zin allerlei regels, procedures en gewoontes ontwikkelt om de kans op fouten te verkleinen en achteraf te kunnen controleren of alles goed is gegaan. Natuurlijk is dat niet perfect, het blijft mensenwerk, maar de kans op (onopgemerkte) fouten is een stuk kleiner dan in de IT.

Dat het direct om echt geld gaat speelt natuurlijk ook wel een rol, het is geen abstract potentieel gevaar in de verre toekomst maar het gaat om harde pegels die direct je zak uit rollen. Het advies dat verstopt zit in die stoere uitspraak is dat je moet proberen in te haken op bestaande processen in plaats het wiel opnieuw uit te vinden. De salarisadministratie heeft betrouwbare procedures die ze uitvoeren als mensen in of uit dienst treden. Als je daar gebruik van kan maken dan is dat voor iedereen makkelijker en het voorkomt dat er discrepanties over wie er nu eigenlijk in dienst is en wie rechten op de systemen heeft.

[ Voor 17% gewijzigd door CAPSLOCK2000 op 02-12-2016 11:03 ]