Provisioning is het automatisch aanmaken, bijwerken en intrekken van gebruikersaccounts en toegangsrechten in je IT-systemen. Het is de uitvoerende laag onder Identity & Access Management: gebruikers krijgen toegang tot wat ze nodig hebben op het moment dat ze het nodig hebben, en die toegang verdwijnt zodra iemand van rol verandert of vertrekt.
Voor een handvol gebruikers houd je dat handmatig bij. Bij honderden of duizenden accounts, verspreid over tientallen applicaties, loopt het vast: nieuwe medewerkers wachten op toegang die er nog niet is, en oud-medewerkers houden toegang die er allang niet meer hoort te zijn. Hieronder lees je wat geautomatiseerde provisioning aan dat probleem verandert.
Organisaties maken steeds meer gebruik van technologische hulpmiddelen om te innoveren. Ze zijn volop in beweging met nieuwe initiatieven en ‘de business’ wil in hoog tempo nieuwe cloud applicaties snel en veilig in gebruik kunnen nemen.
Deze innovaties maken veel zaken dan ook gemakkelijker voor bedrijven. Zo biedt bijvoorbeeld een online cloud archief het voordeel dat elke medewerker tegelijkertijd dezelfde documenten kan inzien. Daarnaast is het werk in veel gevallen flexibeler geworden. Medewerkers kunnen bijvoorbeeld vanuit huis of vanaf andere locaties werken.
Maar deze technologische ontwikkelingen en innovaties brengen ook uitdagingen met zich mee. Zo zijn er allerlei tools nodig zodat werknemers hun werk kunnen doen op meerdere locaties. Daarnaast moet er voor de samenwerking met partners en leveranciers ook een goed systeem of goede tool zijn, zodat het een soepele, maar ook veilige samenwerking kan zijn. Verder moeten bedrijven zich beschermen tegen hacks en datalekken.
Om al deze innovaties overzichtelijk te beheren en om ervoor te zorgen dat werknemers, partners en leveranciers gemakkelijk en veilig hun taken kunnen uitvoeren, is er een systeem nodig dat controle op de toegang van gebruikers houdt. Provisioning gaat over het automatisch beheren van de levenscyclus van gebruikers van een systeem, wat ook wel het automatiseren van de joiner, mover en leaver-cyclus wordt genoemd. Op deze pagina leggen we uit wat provisioning is en hoe het werkt.
Provisioning heeft alles te maken met het beheren van toegang tot bepaalde informatie in een IT-systeem. Dit gaat door middel van accounts van bijvoorbeeld medewerkers of externe gebruikers. Provisioning gaat niet alleen over het creëren van deze accounts, maar ook over bijwerken of verwijderen ervan. Dit is nodig, omdat er ontzettend veel gebruikers zijn, die niet allemaal dezelfde toegangsrechten hebben. En naast dat ze andere toegangsrechten hebben, veranderen die per gebruiker ook vaak. Zo kan een werknemer beginnen als stagiaire en eindigen als afdelingsleider. Deze veranderende toegangsrechten van een gebruiker noemen we de ‘user lifecycle’ ofwel de levenscyclus van een gebruiker.
Als er een nieuwe medewerker of partner wordt verwelkomd bij een bedrijf, of wanneer iemand van functie, afdeling of project verandert, heeft dat gevolgen voor zijn of haar rechten in het IT-systeem. Die moeten dus worden aangepast. Zo heeft iemand bijvoorbeeld toegang nodig tot meer informatie of krijgt iemand meer bevoegdheden om documenten aan te passen. Er moeten dan verschillende acties plaatsvinden om ervoor te zorgen dat diens toegang tot bedrijfsinformatie of -bronnen in overeenstemming blijft met het bedrijfs- en beveiligingsbeleid. Doordat provisioning alles te maken heeft met toegang verschaffen en veiligheid, valt het onder Identity & Access Management (IAM) van een bedrijf.
Identity & Access Management (IAM) heeft hetzelfde doel als provisioning, namelijk het op een veilige manier beheren van de toegangsrechten van bedrijfsinformatie en -bronnen. Maar IAM is breder, en gaat meer over het overkoepelende beheer hiervan, terwijl provisioning gaat over het daadwerkelijk mogelijk maken van dit toegangsbeheer. Voor het automatiseren van de daadwerkelijke ‘provisioning’ is dus een tool of software nodig, waarmee die accounts beheerd kunnen worden en rechten automatisch toegewezen kunnen worden. Wil je het bredere kader doornemen? Lees dan ook onze uitleg over wat Identity & Access Management precies is en hoe authenticatieoplossingen zoals single sign-on en MFA daarbij passen.
IAM houdt zich bezig met twee uitdagingen. De eerste uitdaging is het werk van alle betrokkenen van een bedrijf zo soepel en gemakkelijk mogelijk te maken. De tweede uitdaging is dit alles veilig houden. Het gaat dus over het bepalen en beheren van wie wanneer toegang heeft tot bepaalde informatie en middelen. Daar komen allerlei factoren bij kijken, die voor elk bedrijf weer anders zijn. Denk aan het aantal bedrijfsprocessen en de aard daarvan, gevoelige bedrijfsinformatie, het aantal partners en hun taak. Maar dus ook de gewenste manier van inloggen en het beheren van accounts en toegangsrechten.
Het handmatig opzetten van IAM kan dus nog een flinke klus zijn, omdat het toegangsbeheer voor elk bedrijf anders geregeld moet worden. Provisioning maakt het daadwerkelijk mogelijk dat er accounts en rechten worden toegekend en dat die eenvoudig kunnen worden beheerd.
Stel, er komt een nieuwe medewerker werken bij uw bedrijf. Een eerste stap voor de HR-afdeling is het aanmaken van een account voor deze persoon. Vervolgens moet er aan het desbetreffende account bepaalde toegangsrechten worden gekoppeld. De nieuwe medewerker heeft immers toegang nodig tot bepaalde applicaties, software en informatie, om zijn of haar werk goed uit te kunnen voeren. Hoe die eerste werkdag soepel kan verlopen als provisioning goed is ingericht, lees je in ons artikel over de first day experience.
In die toegang moet een balans worden aangebracht tussen het moeiteloos kunnen uitvoeren van werk, en het handhaven van de veiligheid. Voor sommige organisaties is deze balans lastiger te vinden dan bij andere organisaties. In de zorg kan het bepalen van die balans soms bijvoorbeeld lastig zijn, omdat men te maken heeft met persoonlijk informatie van patiënten.
Wanneer een medewerker promotie krijgt of van functie verandert, veranderen diens toegangsrechten soms. Dat heeft gevolgen voor de toegang tot applicaties. Zo zijn sommige tools of is sommige informatie niet meer nodig, terwijl er juist wel toegang nodig is tot andere informatie. Daarnaast veranderen soms niet alleen de toegangsrechten van medewerkers, maar bijvoorbeeld ook de structuur van een bedrijf. Verder hebben bepaalde externe partners ook permanent of eenmalig toegang nodig tot bedrijfsinformatie. Een bedrijf heeft dus niet alleen te maken met veranderende toegangsrechten, maar ook met nieuwe toegangsrechten, toegangsrechten die wegvallen of toegangsrechten die worden samengevoegd vanwege veranderde bedrijfsstructuren. En ten slotte moet er ook worden gezorgd dat medewerkers die een organisatie verlaten, geen toegang meer hebben tot de bedrijfsinformatie. En ook eenmalige samenwerkingspartners moeten geen permanente toegang kunnen krijgen.
Als dit allemaal handmatig dient te gebeuren dan is dat nog een hele klus, waarvan het beheer meestal voor rekening van de IT-afdeling komt. Het beheren van toegangsrechten en accounts kost vaak veel tijd voor die afdeling. Vandaar dat veel bedrijven ervoor kiezen om provisioning en het levenscyclusbeheer van gebruikers te automatiseren. Daardoor kunnen IT-afdelingen, en eventuele andere afdelingen, flink wat tijd besparen.
Tools voor geautomatiseerde provisioning, zoals Okta Identity Cloud Lifecycle Management, bieden een integratie met HR-software. Dat zorgt ervoor dat er allerlei profielen kunnen worden gekoppeld aan rechten of rechtensets. Een bedrijf hoeft dus niet alle eventuele bestaande profielen opnieuw te maken.
Stel, uw HR-afdeling maakt een nieuw medewerkersaccount aan. Dan kan Okta Identity Cloud, of een andere tool voor provisioning, dit account automatisch toegang verschaffen tot bijvoorbeeld de planning, het chatprogramma, of andere benodigde applicaties. Daarnaast heeft een administratiemedewerker waarschijnlijk toegang nodig tot andere applicaties dan een salesmedewerker. Bij de inrichting van Okta Identity Cloud wordt daarin voorzien zodat er in alle gevallen de juiste toegangsrechten worden vergeven.
De toegangsrechten en rechtensets worden allemaal beheerd in de provisioning-tool. Wanneer een medewerker een andere rol of functie krijgt binnen de organisatie, kunnen die rechten zo makkelijk worden aangepast of automatisch worden bijgewerkt naar bijvoorbeeld andere toegangsrechten.
Afhankelijk van de tool kunnen gebruikers zelf ook een toegangsverzoek indienen voor bepaalde applicaties. Die aanvraag gaat dan bijvoorbeeld rechtstreek naar de beheerder van de applicatie, of naar de manager van de afdeling. Na goedkeuring worden de rechten in de provisioning-tool automatisch aangepast. Wanneer medewerkers of partners een organisatie verlaten, kan het bedrijf er dankzij deze automatisering op vertrouwen dat hun accounts direct volledig worden verwijderd of gedeactiveerd.
Maar naast medewerkers kan de organisatie zelf ook veranderen. In het geval van een nieuwe applicatie, afdeling of systeem kunnen de toegangsrechten snel worden geregeld met behulp van een provisioning-tool. Dat gaat dan op basis van de beschikbare informatie in het programma over rechtensets en bedrijfsveiligheid.
Zo helpt de provisioning-tool dus tijdens de volledige gebruikerscyclus. Het biedt een centrale locatie voor het beheer van accounts en het helpen garanderen van de bedrijfsveiligheid. Dit bespaart de IT-afdeling tijd, en geeft ze de mogelijkheid om er ook automatische rapportages mee te maken. Daarin kunnen ze bijvoorbeeld zien welke gebruiker een bepaalde toegang heeft gekregen, en wie de opdracht daarvoor heeft goedgekeurd. Zaken die essentieel zijn om aantoonbaar in controle te zijn van de vergeven toegangsrechten bij bijvoorbeeld audits. Maar ook om aan regelgeving rondom compliancy en certificeringen te voldoen.
Als je verschillende cloudapplicaties op dezelfde manier wilt aansluiten op je bronsysteem, kom je al snel uit bij SCIM. SCIM staat voor System for Cross-domain Identity Management en is de open standaard waarmee een identity-platform zoals Okta accounts en groepen kan aanmaken, bijwerken en deactiveren in een aangesloten applicatie. Doordat de meeste SaaS-leveranciers SCIM ondersteunen, hoef je niet voor elke applicatie een eigen koppeling te bouwen.
Just-in-time (JIT) provisioning is een variant die het account pas aanmaakt op het moment dat een gebruiker voor het eerst inlogt via federated authenticatie, bijvoorbeeld via SAML of OIDC. Dat is handig voor applicaties die je niet vooraf wilt vullen met accounts of voor scenario's met veel wisselende externe gebruikers. SCIM is daarentegen geschikter voor applicaties waar accounts ook bestaan zonder dat de gebruiker is ingelogd, of waar fijnmazige groepen en attributen meegestuurd moeten worden.
In de praktijk combineren organisaties beide aanpakken: SCIM voor de kernapplicaties waar HR-data leidend is, JIT voor randapplicaties of partneraccounts waar je onnodige accounts wilt voorkomen.
Provisioning krijgt vaak de meeste aandacht bij de start van een implementatie, maar deprovisioning is minstens zo belangrijk. Achterblijvende accounts van oud-medewerkers, ingehuurde experts of leveranciers zijn een bekende route voor incidenten en een terugkerend bevinding bij audits. Wanneer toegangsrechten niet automatisch worden ingetrokken, ontstaat er ‘access creep’: gebruikers die in de loop der tijd meer rechten verzamelen dan ze nodig hebben.
Bij geautomatiseerde deprovisioning is HR (of een ander bronsysteem) leidend. Zodra een dienstverband eindigt, een contract afloopt of een rol vervalt, trekt het identity-platform de toegang automatisch in: accounts worden gedeactiveerd, sessies worden beëindigd en groepslidmaatschappen worden opgeruimd. Voor compliance-kaders zoals ISO 27001, NEN 7510 of SOC 2 leg je dit ook aantoonbaar vast in het auditspoor. Wie hier verder in wil sturen, breidt provisioning uit met Identity Governance & Administration voor periodieke access reviews en certificeringsrondes.
Provisioning en directory-synchronisatie worden vaak door elkaar gebruikt, maar ze doen niet hetzelfde. Synchronisatie houdt twee directories (bijvoorbeeld Active Directory en een cloud-directory) gelijk: gebruikersattributen, groepen en wachtwoordhashes worden eenrichtings- of tweerichtings gerepliceerd. Provisioning gaat een stap verder en zorgt dat accounts en rechten in de doelapplicaties zelf worden aangemaakt, gewijzigd en verwijderd op basis van bedrijfsregels.
In een cloud-first omgeving is HR vaak het bronsysteem voor provisioning, terwijl directory-synchronisatie wordt gebruikt om legacy- of on-premise systemen aangesloten te houden. De twee vullen elkaar dus aan: synchronisatie levert de identiteitsdata, provisioning vertaalt die data naar concrete toegang per applicatie.
FuseLogic staat voor een moderne aanpak van Identity & Access Management en is voorstander van pragmatische oplossingen waarbij de organisatie met al haar processen en dynamiek het uitgangspunt vormt. Daarom zijn wij partner van Okta Identity Cloud. Dat is de moderne Identity Management standaard, die is ontwikkeld voor snelle implementaties. Met 18 jaar ervaring en 40+ implementaties begeleiden we als Okta Apex Partner de volledige Okta-implementatie: van inrichting van het bronsysteem tot SCIM-koppelingen met de belangrijkste cloudapplicaties.
Okta Identity Cloud vormt een basis voor veilige verbindingen tussen mensen en technologie. Okta Identity Cloud is een cloudplatform voor allerlei Identity Management-toepassingen. Okta Identity Cloud zorgt ervoor dat bedrijven eenvoudig en automatisch de toegang kunnen beheren voor medewerkers, partners, klanten en andere partijen. Dit is mogelijk voor allerlei soorten applicaties en op elk apparaat. Doordat Okta Identity Cloud ‘out of the box’ integraties biedt voor duizenden apps en toepassingen, is de kans groot dat Okta Identity Cloud de meeste applicaties van de organisatie direct ondersteunt. Het platform is daarmee niet alleen een provisioning-tool, maar een tool die is in te zetten op alle vlakken van Identity Management.
Okta Identity Cloud zorgt voor het automatisch beheer van rechten en accounts. Het uitgangspunt daarbij zijn de bestaande bedrijfsprocessen en -informatie. Zo kunt u bijvoorbeeld bepaalde partners automatisch toegang verlenen of ontzeggen tot specifieke bronnen, op basis van bestaande gegevens. Ook kunnen er alvast toekomstige wijzingen worden vastgelegd. Daardoor kan bijvoorbeeld worden bepaald dat een stagiair voor een aantal maanden toegang krijgt tot informatie.
Met intuïtieve Self Service mogelijkheden wordt het zelf aanvragen van toegang zo soepel mogelijk gemaakt. U kunt zelf bepalen hoe u die toegang vervolgens wilt kunnen verschaffen, bijvoorbeeld door een goedkeuring van een applicatiemanager.
Natuurlijk heeft u het beheer te allen tijde zelf in de hand. Zo kunt u rapporten inzien, en kunt u ervoor kiezen om een periodieke controle te doen van alle toegangsrechten. Daarnaast kunt u ook bepaalde toegang onmogelijk maken in het systeem. Zo kunt u bijvoorbeeld vaststellen dat alleen het managementteam een bepaalde autorisatie kan aanvragen. Of dat een autorisatie na een vastgestelde tijd weer automatisch wordt ingetrokken. De zaken die u vast laat leggen, hangen natuurlijk volledig af van uw bedrijfsprocessen en -regels. Op die manier is Okta Identity Cloud een veilige basis voor uw bedrijf.
Identity Management heeft vaak het imago dat het moeilijk is in te richten en dat het veel tijd kost voordat het waarde toevoegt. Dat doen wij anders. Met onze oplossing op basis van het Okta Identity Cloud-platform beschikt u over alles wat nodig is om de levenscyclus van gebruikers te automatiseren. Zo heeft uw bedrijf dus wel de controle over wie welke toegang heeft, zonder dat u er veel tijd aan hoeft te besteden. Dit komt door de slimme self-servicemogelijkheden.
Hiermee kunnen we het Identity Management van een organisatie eenvoudig automatiseren en de implementatie van nieuwe apps of systemen versnellen.
Technologie alleen is niet voldoende voor succesvolle Identity Management of provisioning. Bij het verschaffen van toegang tot bedrijfsinformatie zijn de vragen ‘wie’ en ‘waarom’ cruciaal. Bij FuseLogic kijken we daarom op basis van onze jarenlange ervaring graag vanuit een organisatie naar een IAM-vraagstuk. De bestaande bedrijfsprocessen en data in bestaande systemen zijn daarbij het startpunt. Hierdoor kunnen we zorgen voor snel resultaat, waardoor de organisatie kan ervaren hoe het in de praktijk zal kunnen werken.
Wilt u meer weten over provisioning, over onze werkwijze of over hoe wij Identity Management at the speed of business realiseren? Neem dan contact met ons op. We helpen u graag.
Wat is provisioning in IT?
Provisioning is het automatisch aanmaken, bijwerken en verwijderen van gebruikersaccounts en toegangsrechten in IT-systemen. Het is de uitvoerende laag onder Identity & Access Management en regelt dat de juiste mensen op het juiste moment toegang hebben tot de juiste applicaties.
Wat is het verschil tussen provisioning en authenticatie?
Provisioning bepaalt welke accounts en rechten een gebruiker heeft. Authenticatie (bijvoorbeeld via SSO en MFA) controleert bij elke inlogpoging of iemand daadwerkelijk is wie hij of zij claimt te zijn. Beide zijn nodig: zonder goede provisioning zijn de rechten niet kloppend, zonder goede authenticatie weet je niet wie er inlogt.
Wat is SCIM-provisioning?
SCIM (System for Cross-domain Identity Management) is een open standaard waarmee identity-platforms accounts en groepen geautomatiseerd kunnen synchroniseren met cloudapplicaties. SCIM voorkomt dat je voor elke applicatie een eigen koppeling moet bouwen.
Wat is deprovisioning?
Deprovisioning is het tegenovergestelde van provisioning: het automatisch intrekken van toegang als een dienstverband, contract of rol eindigt. Het voorkomt achterblijvende accounts en is een vast onderdeel van audits voor ISO 27001, NEN 7510 en SOC 2.
Hoe lang duurt een provisioning-implementatie?
Bij FuseLogic werken we met een MVP-aanpak: een eerste werkende provisioning-flow is in 10 tot 30 dagen live, daarna breiden we per sprint uit met extra applicaties en scenario's.