28-6-2011

1

SISLink 2011

IDENTITY MANAGEMENT AS A SERVICE

EEN NIEUWE HYPE OF EEN BEPROEFDE DIENST?

VRIJDAG 24 juni 2011

Gemaakte keuzes en de ervaringen in het

gebruik bij de AHK

ing. Ferry J. de Jong MSc RI

Hoofd ICT

1

2

AHK (Amsterdamse hogeschool voor de Kunsten)

2

6 gebouwen in het centrum van

Amsterdam

Conservatorium van Amsterdam, de

Theaterschool, Academie van

Bouwkunst, Academie voor

Beeldende vorming, Reinwardt

Academie (Museologie), Nederlandse

Film en Televisie Academie

3400 studenten/ cursisten

± 700 medewerkers en

± 700 freelance (gast)docenten

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

2

3

ICT bij de AHK, enige kenmerken (1)

• Centrale ICT met uitzondering van zeer specifieke

onderwijsonderdelen (bv rendering en film opslag bij de

Film Academie)

• Maken nu 3 jaar gebruik van servervirtualisatie

(VMware 4, 150 VS) in combinatie met centrale storage

(EMC SAN, 15 TB)

(OS servers: Windows en Linux, databases: Oracle, MS

SQL Server en MySQL)

• 400 Mac’s en 900 Windows werkplekken + …

• Glasvezelring (2 Gb/s) tussen de locaties (cwdm),

verbinding met internet 1 Gb/s (SURFnet)

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

• Functionaliteit is leidend

• Toepassen van standaard software open source en …

• Zoveel mogelijk gebruik maken van open standaarden

• Er moet voor alle onderdelen van de ICT een significante

ondersteuning mogelijk zijn door leverancier/third parties

• ICT omvat: helpdesk, systeem- en netwerkbeheer,

technisch - en (functioneel) applicatiebeheer,

procesbeheer en ICT architectuur.

• Functioneel applicatiebeheer vindt plaatst bij de

business units. Niet altijd even gemakkelijk

ICT bij de AHK, enige kenmerken (2)

4

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

3

IdentitySyncIGI group

ActiveDirectory

KaartManagement

Systeem

Self ServicePortal

(Novell)Bron-

systeemPersoneel

(PersMaster)

Bron-systeem

GastDocenten (Synergy)

Bron-Systeem

Studenten (Alluris)

Mail enAgenda (Zimbra)

ldap

5

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

6

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

4

Aanvulling door kennis

van IdM Branche Cloud

leverancier

•Onderwijs proces

Extra aanvulling door

kennis van IdM Branche

Cloud leverancier

•Gekoppelde systemen

7

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

IdentitySyncIGI group

ActiveDirectory

KaartManagement

Systeem

Self ServicePortal

(Novell)Bron-

systeemPersoneel

(PersMaster)

Bron-systeem

GastDocenten (Synergy)

Bron-Systeem

Studenten (Alluris)

Mail enAgenda (Zimbra)

ldap

8

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

5

Waarom niet zelf doen?

9

Geen hardware-, OS beheer

Geen kennis nodig van IdM

applicatie

Geen zorg m.b.t. techniek van de

koppelingen

Je kunt al je energie richten op

het implementeren van de

functionaliteit

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

Waarom niet zelf doen?

10

Techniek

Ontbreken van kennis m.b.t. technieken om koppelingen

(SPML (Service Provisioning Markup Language), java etc.)

te maken

Onvoldoende ervaring m.b.t. het maken van koppelingen

IdM Branch Cloud (Identity as a Service – IGI group)

Gebruik maken van ervaring opgedaan in onze branch

m.b.t. IdM en Acces Management

Er worden veel dezelfde koppelingen gemaakt. Delen van

de kosten

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

6

11

Wat blijft er over?

11

Er blijft nog wel wat te doen:

Maken van een scope, ambitie beleidsplan IdM

Functioneel inrichten koppelingen

Last but not least:

Te koppelen systemen moeten gekoppeld worden. Wie

doet dat en wie voert de regie?

Maken van afspraken over: ............

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

Te maken afspraken?

• Governance (wat wil je geregeld hebben)

• SLA

• Security maatregelen

• Privacy , geheimhoudingsverklaring (onderdeel

bewerkersovereenkomst)

• Lock-in (business rules, koppeling documenten,

gebruikte standaarden, .....)

• Proces einde contract

12

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

7

Waar heb je last van?

13

• Je moet je conformeren aan de business rules zoals

deze standaard gedefinieerd zijn

Onderstaande documenten zullen redelijk standaard zijn:

• SLA

• Security maatregelen

• Privacy overeenkomst, geheimhoudingsverklaring

(onderdeel bewerkersovereenkomst)

• Proces einde contract

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

Inventarisatie

Per koppeling meerdere partijen nodig:

• IdM Branche Cloud leverancier

• AHK functioneel beheer

• ICT

• (de leverancier van de te koppelen functionaliteit)14

Voorbereiding

• Business rules

• Inventarisatie van de koppeling gegevens (belangrijkste)

– Gegevens

– Bewerkingen op gegevens

– Triggers

– Te gebruiken standaarden

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

8

Op welke niveaus moet je

aansturen?

Overal niveau: IdM projectmanager

Bewaakt de overall view

• Business rules

• Communicatie met projectmanager van de IdM

Branche Cloud leverancier

Consultancy

• Informatie Manager

• Hoofd ICT

• Service Manager

• Security Officer

• Architect15

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

1616

Organisatiestructuur (hoofdniveau)

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

9

Aansturing (vervolg 1)

Projectmanager koppelingen

Bewaakt op overall koppelingniveau

• Overall technisch overzicht

• Beheer koppelingsdocumenten (functioneel)

• Beheer business rules

• Directory koppeling (technisch/ functioneel)

• Uitvoering Authenticatie (technisch)

• Migratie (technisch/ functioneel)

17

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

1818

Organisatiestructuur (vervolg 1)

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

10

Aansturing (vervolg 2)

Per koppeling een koppeling manager

Bewaakt op overall koppelingniveau

• Uitvoering koppelingsdocument

• Communicatie met de “uitvoerders” van de IdM Branche

Cloud leverancier, functioneel beheer (en externe

vertegenwoordigers van de te koppelen functionaliteit)

19

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

2020

Organisatiestructuur (vervolg 2)

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

11

21

Aansturing (hulpmidden)

• Business rules

• Standaard koppelingsdocument (uniforme beschrijving per

koppeling)

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

22

Waar staan we nu

• Al twee testen achter de rug

Ziet er goed uit

• Staan nu op het punt van life gaan

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

12

23

Ervaringen tot nu toe

• Leverancier levert know how die wij niet hebben en niet

willen hebben (zorgt ook voor onrust op de afdeling)

• Aansturing eigen organisatie onderschat

• Heel belangrijk is de allignment met de leverancier

• Ik weet wel dat als we het niet geSaaSd hadden dat we

dan niet zo ver waren geweest.

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

24

Knelpunten

• Overgang naar een nieuw SIS wat nog niet af was en

vorige week in productie is genomen (B&E Alluris)

• Overgang van SUN LDAP naar OpenLDAP

• Overgang van Windows 2008 met een nieuwe AD

• Te weinig kennis van te koppelen systemen

• Te weinig resources op regie vlak

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

28-6-2011

13

25

SIS

Lin

k,

IdM

as a

Serv

ice,

24 ju

ni

2011

Succes met

Identity

Managementferry.dejong@ahk.nl

020-5277704