Pizzasessie: ‘Hoe versla je het RBAC monster?’

User account life-cycle

• Instroom– Autorisaties voor de eerste keer uitdelen– Hoge impact op productiviteit

• Doorstroom– Extra autorisaties uitdelen– Overbodige autorisaties ontnemen? Hoe?– Gemiddelde impact op productiviteit

• Uitstroom– Lage impact, lage prioriteit

2

Instroom

• Registratie bij HRM leidend en tijdig?• Functies en afdeling gestroomlijnd?• Wat heeft een nieuwe medewerker nodig?

• “Copy user syndroom”• “Daar hebben we formulieren voor”• “We willen wel iets met rollen”

3

Doorstroom

• Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom

• Overbodige autorisaties intrekken, welke zijn dit dan?

• “Grace-period” waarin zowel oude als nieuwe autorisaties blijven gelden

• Wanneer ga je de autorisaties uitdelen?• Welke rol speelt een leidinggevende

hierin?

4

RBAC

• Wikipedia:“Role based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.”

• Grofweg:“Een kapstok om autorisaties aan op te hangen.”

5

Visie over RBAC

• HRM heeft een belangrijk aandeel in de vorming van een RBAC-model

• Je wilt naar RBAC toe gaan met minimale impact voor gebruikers

• RBAC is geen statisch model• Geen 100% vulling van het model• Slimme vulling, bijvoorbeeld door te

“stapelen”• Wijziging in de rol betekent wijziging in de

leden6

Wat moet je niet doen?

• 1+ jaar onderzoek doen wie precies wat nodig heeft

• Tijd besteden aan rollen met een lage bezetting

• Een RBAC model direct 100% “schoon” willen aanbieden

• De organisatie er buiten houden, het is geen 100% technische aangelegenheid

7

Wat kun je wel doen?

• Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen?

• Slim kijken naar de “top”• Besteed geen tijd aan uitzonderingen• Hanteer de 80/20 regel• Hang de “rollen” op aan het HRM systeem

8

Eerste aanpak

• Kijk naar je bestaande informatiesystemen, focus op Active Directory

• Wat zijn de “meest uitgedeelde” autorisaties?

• Kun je hier een “default” rol voor maken die voor iedereen gaat gelden?

• Hoe groter de “default” rol, hoe kleiner de andere rollen

9

10

HRM analyse (1)

• Welke functies en/of kostenplaatsen hebben de grootste bezetting?

• Is de beschikbare informatie uit HRM kwalitatief goed genoeg?

• Wordt de koppeling tussen functie/kostenplaats en de medewerker “tijdig” bijgehouden?

• Is deze informatie al voldoende specifiek?

11

12

HRM analyse (2)

• Welke combinatie van HRM gegevens is specifiek als input voor een rol?

• Kostenplaats + functie is vaak een goed uitgangspunt als “organisatie-rol”

• Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt

13

Role mining (1)

• De juiste combinatie voor de organisatie-rol is gevonden!

• Alle data van informatiesystemen inladen in een centrale data store

• Hoeveel medewerkers hebben we per organisatie-rol?

• Welke bezettingsgraad van autorisaties vinden we per organisatie-rol?

• Grote hoeveelheid informatie, slimme filtering

14

Role mining (2)

• Lijsten moeten korter en beter leesbaar• Weglaten autorisaties die al “default” zijn• >80%: hoge bezetting; onderdeel van de

rol• <80%: lage bezetting; uitzonderingen• <1 persoon in de organisatie-rol; geen

prio• <1 autorisatie-bezetting; geen prio

15

16

Vulling van RBAC matrix

• Resultaten van de role mining importeren; autorisatie-rollen

• Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol

• Eigenaar toewijzen van de rol, kostendrager van de kostenplaats?

17

Instroom (RBAC)

• Medewerker wordt in HRM ingeschreven• Medewerker krijgt een functie +

kostenplaats toegewezen• Provisioning wordt uitgevoerd, Active

Directory account wordt aangemaakt• RBAC matrix wordt ondervraagd op

functiecode en kostenplaatscode; resultaat zijn de “default” en overeenkomstige autorisatie-rollen

• RBAC provisioning voert autorisaties door18

19

20

21

Doorstroom (RBAC)

• Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan

• RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe

• RBAC provisioning ziet ook de autorisaties behorende bij de oude “organisatie-rol” en ontneemt deze

• Eventueel kan een grace-period worden toegestaan

22

Onderhoud

• Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar

• Self-service naar leidinggevenden of security-officer om autorisatie-rollen te beheren

• Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt

23

Extra voordelen RBAC

• Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol

• Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers

• Grote kans op lagere licentie-kosten• Je kunt rollen tijdsgebonden maken• Je kunt conflicten tussen rollen aanleggen• Je kunt risico-volle autorisaties via een

extra goedkeuring laten lopen24

25

26

27

28

29

30

31

32

33

Meer informatie?www.tools4ever.nl