際際滷

際際滷Share a Scribd company logo

Hoe versla je het role based access control monster

Download as PPTX, PDF
Tools4ever NL
Tools4ever NL
1 of 34
Downloaded 29 times
Pizzasessie: Hoe versla je het RBAC monster?
User account life-cycle Instroom Autorisaties voor de eerste keer uitdelen Hoge impact op productiviteit Doorstroom Extra autorisaties uitdelen Overbodige autorisaties ontnemen? Hoe? Gemiddelde impact op productiviteit Uitstroom Lage impact, lage prioriteit 2
Instroom Registratie bij HRM leidend en tijdig? Functies en afdeling gestroomlijnd? Wat heeft een nieuwe medewerker nodig? Copy user syndroom Daar hebben we formulieren voor We willen wel iets met rollen 3
Doorstroom Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom Overbodige autorisaties intrekken, welke zijn dit dan? Grace-period waarin zowel oude als nieuwe autorisaties blijven gelden Wanneer ga je de autorisaties uitdelen? Welke rol speelt een leidinggevende hierin? 4
RBAC Wikipedia: Role based access control (RBAC) is een methode waarmee op een effectieve en effici谷nte wijze toegangscontrole voor informatiesystemen kan worden ingericht. Grofweg: Een kapstok om autorisaties aan op te hangen. 5
Visie over RBAC HRM heeft een belangrijk aandeel in de vorming van een RBAC-model Je wilt naar RBAC toe gaan met minimale impact voor gebruikers RBAC is geen statisch model Geen 100% vulling van het model Slimme vulling, bijvoorbeeld door te stapelen Wijziging in de rol betekent wijziging in de leden 6
Wat moet je niet doen? 1+ jaar onderzoek doen wie precies wat nodig heeft Tijd besteden aan rollen met een lage bezetting Een RBAC model direct 100% schoon willen aanbieden De organisatie er buiten houden, het is geen 100% technische aangelegenheid 7
Wat kun je wel doen? Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen? Slim kijken naar de top Besteed geen tijd aan uitzonderingen Hanteer de 80/20 regel Hang de rollen op aan het HRM systeem 8
Eerste aanpak Kijk naar je bestaande informatiesystemen, focus op Active Directory Wat zijn de meest uitgedeelde autorisaties? Kun je hier een default rol voor maken die voor iedereen gaat gelden? Hoe groter de default rol, hoe kleiner de andere rollen 9
10
HRM analyse (1) Welke functies en/of kostenplaatsen hebben de grootste bezetting? Is de beschikbare informatie uit HRM kwalitatief goed genoeg? Wordt de koppeling tussen functie/kostenplaats en de medewerker tijdig bijgehouden? Is deze informatie al voldoende specifiek? 11
12
HRM analyse (2) Welke combinatie van HRM gegevens is specifiek als input voor een rol? Kostenplaats + functie is vaak een goed uitgangspunt als organisatie-rol Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt 13
Role mining (1) De juiste combinatie voor de organisatie-rol is gevonden! Alle data van informatiesystemen inladen in een centrale data store Hoeveel medewerkers hebben we per organisatie-rol? Welke bezettingsgraad van autorisaties vinden we per organisatie-rol? Grote hoeveelheid informatie, slimme filtering 14
Role mining (2) Lijsten moeten korter en beter leesbaar Weglaten autorisaties die al default zijn >80%: hoge bezetting; onderdeel van de rol <80%: lage bezetting; uitzonderingen <1 persoon in de organisatie-rol; geen prio <1 autorisatie-bezetting; geen prio 15
16
Vulling van RBAC matrix Resultaten van de role mining importeren; autorisatie-rollen Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol Eigenaar toewijzen van de rol, kostendrager van de kostenplaats? 17
Instroom (RBAC) Medewerker wordt in HRM ingeschreven Medewerker krijgt een functie + kostenplaats toegewezen Provisioning wordt uitgevoerd, Active Directory account wordt aangemaakt RBAC matrix wordt ondervraagd op functiecode en kostenplaatscode; resultaat zijn de default en overeenkomstige autorisatie-rollen RBAC provisioning voert autorisaties door 18
19
20
21
Doorstroom (RBAC) Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe RBAC provisioning ziet ook de autorisaties behorende bij de oude organisatie-rol en ontneemt deze Eventueel kan een grace-period worden toegestaan 22
Onderhoud Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar Self-service naar leidinggevenden of security- officer om autorisatie-rollen te beheren Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt 23
Extra voordelen RBAC Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers Grote kans op lagere licentie-kosten Je kunt rollen tijdsgebonden maken Je kunt conflicten tussen rollen aanleggen Je kunt risico-volle autorisaties via een extra goedkeuring laten lopen 24
25
26
27
28
29
30
31
32
33
Meer informatie? www.tools4ever.nl

More Related Content

Hoe versla je het role based access control monster

  • 1. Pizzasessie: Hoe versla je het RBAC monster?
  • 2. User account life-cycle Instroom Autorisaties voor de eerste keer uitdelen Hoge impact op productiviteit Doorstroom Extra autorisaties uitdelen Overbodige autorisaties ontnemen? Hoe? Gemiddelde impact op productiviteit Uitstroom Lage impact, lage prioriteit 2
  • 3. Instroom Registratie bij HRM leidend en tijdig? Functies en afdeling gestroomlijnd? Wat heeft een nieuwe medewerker nodig? Copy user syndroom Daar hebben we formulieren voor We willen wel iets met rollen 3
  • 4. Doorstroom Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom Overbodige autorisaties intrekken, welke zijn dit dan? Grace-period waarin zowel oude als nieuwe autorisaties blijven gelden Wanneer ga je de autorisaties uitdelen? Welke rol speelt een leidinggevende hierin? 4
  • 5. RBAC Wikipedia: Role based access control (RBAC) is een methode waarmee op een effectieve en effici谷nte wijze toegangscontrole voor informatiesystemen kan worden ingericht. Grofweg: Een kapstok om autorisaties aan op te hangen. 5
  • 6. Visie over RBAC HRM heeft een belangrijk aandeel in de vorming van een RBAC-model Je wilt naar RBAC toe gaan met minimale impact voor gebruikers RBAC is geen statisch model Geen 100% vulling van het model Slimme vulling, bijvoorbeeld door te stapelen Wijziging in de rol betekent wijziging in de leden 6
  • 7. Wat moet je niet doen? 1+ jaar onderzoek doen wie precies wat nodig heeft Tijd besteden aan rollen met een lage bezetting Een RBAC model direct 100% schoon willen aanbieden De organisatie er buiten houden, het is geen 100% technische aangelegenheid 7
  • 8. Wat kun je wel doen? Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen? Slim kijken naar de top Besteed geen tijd aan uitzonderingen Hanteer de 80/20 regel Hang de rollen op aan het HRM systeem 8
  • 9. Eerste aanpak Kijk naar je bestaande informatiesystemen, focus op Active Directory Wat zijn de meest uitgedeelde autorisaties? Kun je hier een default rol voor maken die voor iedereen gaat gelden? Hoe groter de default rol, hoe kleiner de andere rollen 9
  • 10. 10
  • 11. HRM analyse (1) Welke functies en/of kostenplaatsen hebben de grootste bezetting? Is de beschikbare informatie uit HRM kwalitatief goed genoeg? Wordt de koppeling tussen functie/kostenplaats en de medewerker tijdig bijgehouden? Is deze informatie al voldoende specifiek? 11
  • 12. 12
  • 13. HRM analyse (2) Welke combinatie van HRM gegevens is specifiek als input voor een rol? Kostenplaats + functie is vaak een goed uitgangspunt als organisatie-rol Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt 13
  • 14. Role mining (1) De juiste combinatie voor de organisatie-rol is gevonden! Alle data van informatiesystemen inladen in een centrale data store Hoeveel medewerkers hebben we per organisatie-rol? Welke bezettingsgraad van autorisaties vinden we per organisatie-rol? Grote hoeveelheid informatie, slimme filtering 14
  • 15. Role mining (2) Lijsten moeten korter en beter leesbaar Weglaten autorisaties die al default zijn >80%: hoge bezetting; onderdeel van de rol <80%: lage bezetting; uitzonderingen <1 persoon in de organisatie-rol; geen prio <1 autorisatie-bezetting; geen prio 15
  • 16. 16
  • 17. Vulling van RBAC matrix Resultaten van de role mining importeren; autorisatie-rollen Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol Eigenaar toewijzen van de rol, kostendrager van de kostenplaats? 17
  • 18. Instroom (RBAC) Medewerker wordt in HRM ingeschreven Medewerker krijgt een functie + kostenplaats toegewezen Provisioning wordt uitgevoerd, Active Directory account wordt aangemaakt RBAC matrix wordt ondervraagd op functiecode en kostenplaatscode; resultaat zijn de default en overeenkomstige autorisatie-rollen RBAC provisioning voert autorisaties door 18
  • 19. 19
  • 20. 20
  • 21. 21
  • 22. Doorstroom (RBAC) Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe RBAC provisioning ziet ook de autorisaties behorende bij de oude organisatie-rol en ontneemt deze Eventueel kan een grace-period worden toegestaan 22
  • 23. Onderhoud Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar Self-service naar leidinggevenden of security- officer om autorisatie-rollen te beheren Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt 23
  • 24. Extra voordelen RBAC Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers Grote kans op lagere licentie-kosten Je kunt rollen tijdsgebonden maken Je kunt conflicten tussen rollen aanleggen Je kunt risico-volle autorisaties via een extra goedkeuring laten lopen 24
  • 25. 25
  • 26. 26
  • 27. 27
  • 28. 28
  • 29. 29
  • 30. 30
  • 31. 31
  • 32. 32
  • 33. 33