Vraag

vrijdag 3 mei 2024 10:38

Acties:
  • 0 Henk 'm!
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 17-09 12:13

Milmoor

Footsteps and pictures.

Topicstarter
(jarig!)
Mijn vraag
Ik zoek tooling voor rechtenbeheer. In mijn ideaalbeeld is het personeelsregistratiesysteem het startpunt, en wordt aan de hand daarvan 80% van de accountmutatie geautomatiseerd. Meer mag natuurlijk ;). Voor de overige 20% krijgt de helpdesk aanwijzigingen wat er moet gebeuren (bijv. vraag Pietje om een account aan te maken in applicatie X). Wat meer detailwensen:
  • begin/einddatum rechten van te voren in te stellen
  • niet alleen welke rechten, maar ook waarom iemand bepaalde rechten heeft a.d.h.v. functie/specialisme
  • eigenaarschap zoveel mogelijk bij leidinggevende
  • inzichtelijk voor leidinggevende
Relevante software en hardware die ik gebruik
  • Personeelzaken doet nu de aanvragen voor accountmutaties, op aangeven van leidinggevenden. Control controleert op functiescheiding, waarna IT de mutatie doorvoert. Dit traject verloopt via TOPdesk. De uitvoering is volledig handwerk.
  • Zo'n 300 medewerkers.
  • Gezien alle cyberincidenten van de laatste jaren is er meer aandacht en meer budget beschikbaar voor het netjes regelen van het rechtenbeheer.
  • Op dit moment werken we met een geneste AD: medewerker - functie/specialisme - rechtengroep - recht. Dus effectief AGDLP, hoewel dat een verouderde term is. Dat werkt prima, hoewel het voor sommigen als erg abstract gezien wordt. Die zouden liever de medewerkers rechtstreeks aan recht of rechtengroep hangen. Dat is echter niet handig bij mutaties. Dus met frisse tegenzin schikt iedereen zich... behalve Entra ID. Daar merk je dat applicaties die deze gebruiken steeds meer uitgaan van een platte AD-structuur. Dat begint een probleem te worden, omdat de tussenlagen van de nesting mee geïmporteerd worden en men in de applicatie met overbodige groepen zit, als het al werkt.
  • Omdat sommige software niet met nesting overweg kan draait er nu wat scripting die de AD uitleest en plat slaat naar de database. Aan de hand daarvan krijg de helpdesk een seintje als mensen niet alleen indirect, maar ook rechtstreeks aan een groep gehangen moet worden. Niet mooi, wel praktisch. 100% maatwerk van mijn hand, en niet goed door anderen te onderhouden.
Wat ik al gevonden of geprobeerd heb
  • Ooit begonnen aan een implementatietraject van Umra (Rechtenbeheer en tooling). Dat is gestaakt wegens teveel onverwacht meerkosten. Ik was het vertrouwen in de leverancier kwijt, en de opbrengst/kosten stonden niet meer in verhouding. Ik zie dat UMRA inmiddels IAM als opvolger heeft, en HelloID daar weer op volgt. Indertijd waren er weinig alternatieven.
  • We zijn aan het kijken naar Delinea Secret Server. Deze is voor de toegang van externen en het beheer van de serviceaccounts.
  • Topicus heeft KeyHub. Die lijkt echter meer voor het regelen van toegang op moment dat het nodig is, en niet voor het beheer van de accounts te zijn.

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

Alle reacties

vrijdag 3 mei 2024 22:54

Acties:
  • 0 Henk 'm!
  • i-chat
  • Registratie: Maart 2005
  • Niet online

i-chat

de grote hamvraag hier is natuurlijk waar je nu al je accounts in beheert, om een goed product of workflow aan te raden moet je eerst kijken naar de gemeenschappelijke deler

werk je met ms365 met gSuite met lokale ms AD of nog helemaal nergens mee

zo maar wat punten waar je nog over na kunt denken

vrijdag 3 mei 2024 23:18

Acties:
  • 0 Henk 'm!
  • GrasshopperNL
  • Registratie: April 2013
  • Laatst online: 22:14

GrasshopperNL

Je zou naar PIM van Microsoft kunnen kijken, of inderdaad naar HelloID self-service.

[ Voor 6% gewijzigd door GrasshopperNL op 03-05-2024 23:19 ]

zaterdag 4 mei 2024 09:03

Acties:
  • 0 Henk 'm!
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 17-09 12:13

Milmoor

Footsteps and pictures.

Topicstarter
(jarig!)
i-chat schreef op vrijdag 3 mei 2024 @ 22:54:
de grote hamvraag hier is natuurlijk waar je nu al je accounts in beheert, om een goed product of workflow aan te raden moet je eerst kijken naar de gemeenschappelijke deler

werk je met ms365 met gSuite met lokale ms AD of nog helemaal nergens mee

zo maar wat punten waar je nog over na kunt denken
Duh, sorry. We hebben op dit moment alles in de lokale AD, aangevuld met Entra ID. Ik meen dat daartussen een sync draait, maar weet dat niet zeker. De laatste wordt steeds belangrijker nu er steeds meer naar de cloud gaat.

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

zaterdag 4 mei 2024 10:18

Acties:
  • 0 Henk 'm!
  • i-chat
  • Registratie: Maart 2005
  • Niet online

i-chat

met risico om iets heel doms te zeggen aangezien het voor mij al wel weer enkele jaren geleden is dat ik meüberhaupt in dit soort s*** heb verdiept.

maar volgens mij gaat entraID hier juist wél iets kunnen doen precies omdat het wat platter is ga je middels meer user+rights gebaseerde aanpak dingen wat platter maken tooling zoals pim zou daar goed bij kunnen helpen

je grootste bezwaar is dat je naar wat ik begrepen heb uit je eerste post een redelijke ommezwaai zult willen maken om meer uit enrtraID te halen aan se andere kant is dit wel spul dat je al hebt en waar je bekend mee bent

zaterdag 4 mei 2024 10:33

Acties:
  • 0 Henk 'm!
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 17-09 12:13

Milmoor

Footsteps and pictures.

Topicstarter
(jarig!)
Het nadeel van rechten direct aan gebruikers hangen is dat je niet weet waarom ze de rechten hebben. Dat is onhandig als een deel van de werkzaamheden naar iemand anders gaan. Moeten de rechten op pakket X dan wel of niet mee? De hoeveelheid parttimers/dubbelfuncties neemt toe, en daarmee worden de mutaties gecompliceerder. Die discussie heb ik liever vooraf bij het inrichten, dan tijdens de accountmutatie. Daarom een tussenlaag met functie/specialisme. De leidinggevende kan daardoor aangeven dat iemand baliemedewerker wordt, hij/zij weet echt niet of daarvoor in pakket Y schrijfrechten op Q nodig zijn. Met Entra ID lijkt dat niet de insteek te zijn. Ik ga PIM bekijken.

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

zaterdag 4 mei 2024 10:42

Acties:
  • 0 Henk 'm!
  • Milmoor
  • Registratie: Januari 2000
  • Laatst online: 17-09 12:13

Milmoor

Footsteps and pictures.

Topicstarter
(jarig!)
Bekeken: PIM is zo te zien de voordeur van Entra ID. Heb je wel/geen toegang tot een rol, en je kan bij tijdelijke toegang vastleggen waarom. Vergelijkbaar met Topicus Keyhub. Met de rechten inrichting zelf bemoeit het zich niet.

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

donderdag 9 mei 2024 12:20

Acties:
  • +1 Henk 'm!
  • semyon.exe
  • Registratie: Januari 2016
  • Laatst online: 06-08 12:39

semyon.exe

Ik moet zeggen dat HelloID toch wel echt een enorme verbetering is t.o.v. IAM, kan aanraden nog een keer een blik te nemen of een demo te doen als je daar tot in de gelegenheid bent. Het is nu een SaaS product dat actief wordt bijgewerkt, wel met een haakje naar je on-prem omgeving als je nog afhankelijk bent van een lokaal AD.

Het mooie ervan is dat je verschillende soorten bronsystemen kunt hebben, en als je HR afdeling een minder populair systeem gebruikt dit vaak nog wel te integreren is. Ook integratie met TOPdesk is mogelijk, niet _alles_ wordt ondersteund maar veel wel.

Vooral de kwestie van mensen met dubbelrollen, stapelende rollen en specialisaties is goed op te lossen met hun business rule model, je stelt eerst een "geboorterecht" op, dan ga je op organisatie, afdeling etc. door met het uitdelen van rechten. Het mooie van integreren met een HR systeem is dat het begint en eindigt bij HR, het uitdelen en intrekken van rechten verloopt automatisch, en elke wijziging op uitgedeelde rechten is een wijziging voor iedereen die in zo'n groep valt, dan ben je ook van mensen af die rechten sparen tijdens hun dienstverband.

Ook kun je met de producten binnen HelloID een winkeltje opzetten waarmee men tijdelijk rechten kunnen aanvragen (a lá PIM in Entra ID) tot applicaties of custom dingen.

[ Voor 13% gewijzigd door semyon.exe op 09-05-2024 12:23 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq