Post on 08-Jun-2015
Pizzasessie: ‘Hoe versla je het RBAC monster?’
User account life-cycle
• Instroom– Autorisaties voor de eerste keer uitdelen– Hoge impact op productiviteit
• Doorstroom– Extra autorisaties uitdelen– Overbodige autorisaties ontnemen? Hoe?– Gemiddelde impact op productiviteit
• Uitstroom– Lage impact, lage prioriteit
2
Instroom
• Registratie bij HRM leidend en tijdig?• Functies en afdeling gestroomlijnd?• Wat heeft een nieuwe medewerker nodig?
• “Copy user syndroom”• “Daar hebben we formulieren voor”• “We willen wel iets met rollen”
3
Doorstroom
• Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom
• Overbodige autorisaties intrekken, welke zijn dit dan?
• “Grace-period” waarin zowel oude als nieuwe autorisaties blijven gelden
• Wanneer ga je de autorisaties uitdelen?• Welke rol speelt een leidinggevende
hierin?
4
RBAC
• Wikipedia:“Role based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.”
• Grofweg:“Een kapstok om autorisaties aan op te hangen.”
5
Visie over RBAC
• HRM heeft een belangrijk aandeel in de vorming van een RBAC-model
• Je wilt naar RBAC toe gaan met minimale impact voor gebruikers
• RBAC is geen statisch model• Geen 100% vulling van het model• Slimme vulling, bijvoorbeeld door te
“stapelen”• Wijziging in de rol betekent wijziging in de
leden6
Wat moet je niet doen?
• 1+ jaar onderzoek doen wie precies wat nodig heeft
• Tijd besteden aan rollen met een lage bezetting
• Een RBAC model direct 100% “schoon” willen aanbieden
• De organisatie er buiten houden, het is geen 100% technische aangelegenheid
7
Wat kun je wel doen?
• Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen?
• Slim kijken naar de “top”• Besteed geen tijd aan uitzonderingen• Hanteer de 80/20 regel• Hang de “rollen” op aan het HRM systeem
8
Eerste aanpak
• Kijk naar je bestaande informatiesystemen, focus op Active Directory
• Wat zijn de “meest uitgedeelde” autorisaties?
• Kun je hier een “default” rol voor maken die voor iedereen gaat gelden?
• Hoe groter de “default” rol, hoe kleiner de andere rollen
9
10
HRM analyse (1)
• Welke functies en/of kostenplaatsen hebben de grootste bezetting?
• Is de beschikbare informatie uit HRM kwalitatief goed genoeg?
• Wordt de koppeling tussen functie/kostenplaats en de medewerker “tijdig” bijgehouden?
• Is deze informatie al voldoende specifiek?
11
12
HRM analyse (2)
• Welke combinatie van HRM gegevens is specifiek als input voor een rol?
• Kostenplaats + functie is vaak een goed uitgangspunt als “organisatie-rol”
• Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt
13
Role mining (1)
• De juiste combinatie voor de organisatie-rol is gevonden!
• Alle data van informatiesystemen inladen in een centrale data store
• Hoeveel medewerkers hebben we per organisatie-rol?
• Welke bezettingsgraad van autorisaties vinden we per organisatie-rol?
• Grote hoeveelheid informatie, slimme filtering
14
Role mining (2)
• Lijsten moeten korter en beter leesbaar• Weglaten autorisaties die al “default” zijn• >80%: hoge bezetting; onderdeel van de
rol• <80%: lage bezetting; uitzonderingen• <1 persoon in de organisatie-rol; geen
prio• <1 autorisatie-bezetting; geen prio
15
16
Vulling van RBAC matrix
• Resultaten van de role mining importeren; autorisatie-rollen
• Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol
• Eigenaar toewijzen van de rol, kostendrager van de kostenplaats?
17
Instroom (RBAC)
• Medewerker wordt in HRM ingeschreven• Medewerker krijgt een functie +
kostenplaats toegewezen• Provisioning wordt uitgevoerd, Active
Directory account wordt aangemaakt• RBAC matrix wordt ondervraagd op
functiecode en kostenplaatscode; resultaat zijn de “default” en overeenkomstige autorisatie-rollen
• RBAC provisioning voert autorisaties door18
19
20
21
Doorstroom (RBAC)
• Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan
• RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe
• RBAC provisioning ziet ook de autorisaties behorende bij de oude “organisatie-rol” en ontneemt deze
• Eventueel kan een grace-period worden toegestaan
22
Onderhoud
• Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar
• Self-service naar leidinggevenden of security-officer om autorisatie-rollen te beheren
• Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt
23
Extra voordelen RBAC
• Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol
• Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers
• Grote kans op lagere licentie-kosten• Je kunt rollen tijdsgebonden maken• Je kunt conflicten tussen rollen aanleggen• Je kunt risico-volle autorisaties via een
extra goedkeuring laten lopen24
25
26
27
28
29
30
31
32
33