Provisioning
Organisaties maken steeds meer gebruik van technologische hulpmiddelen om te innoveren. Ze zijn volop in beweging met nieuwe initiatieven en ‘de business’ wil in hoog tempo nieuwe cloud applicaties snel en veilig in gebruik kunnen nemen.
Deze innovaties maken veel zaken dan ook gemakkelijker voor bedrijven. Zo biedt bijvoorbeeld een online cloud archief het voordeel dat elke medewerker tegelijkertijd dezelfde documenten kan inzien. Daarnaast is het werk in veel gevallen flexibeler geworden. Medewerkers kunnen bijvoorbeeld vanuit huis of vanaf andere locaties werken.
Maar deze technologische ontwikkelingen en innovaties brengen ook uitdagingen met zich mee. Zo zijn er allerlei tools nodig zodat werknemers hun werk kunnen doen op meerdere locaties. Daarnaast moet er voor de samenwerking met partners en leveranciers ook een goed systeem of goede tool zijn, zodat het een soepele, maar ook veilige samenwerking kan zijn. Verder moeten bedrijven zich beschermen tegen hacks en datalekken.
Om al deze innovaties overzichtelijk te beheren en om ervoor te zorgen dat werknemers, partners en leveranciers gemakkelijk en veilig hun taken kunnen uitvoeren, is er een systeem nodig dat controle op de toegang van gebruikers houdt. Provisioning gaat over het automatisch beheren van de levenscyclus van gebruikers van een systeem, wat ook wel het automatiseren van de joiner, mover en leaver-cyclus wordt genoemd. Op deze pagina leggen we uit wat provisioning is en hoe het werkt.
Wat is provisioning?
Provisioning heeft alles te maken met het beheren van toegang tot bepaalde informatie in een IT-systeem. Dit gaat door middel van accounts van bijvoorbeeld medewerkers of externe gebruikers. Provisioning gaat niet alleen over het creëren van deze accounts, maar ook over bijwerken of verwijderen ervan. Dit is nodig, omdat er ontzettend veel gebruikers zijn, die niet allemaal dezelfde toegangsrechten hebben. En naast dat ze andere toegangsrechten hebben, veranderen die per gebruiker ook vaak. Zo kan een werknemer beginnen als stagiaire en eindigen als afdelingsleider. Deze veranderende toegangsrechten van een gebruiker noemen we de ‘user lifecycle’ ofwel de levenscyclus van een gebruiker.
Als er een nieuwe medewerker of partner wordt verwelkomd bij een bedrijf, of wanneer iemand van functie, afdeling of project verandert, heeft dat gevolgen voor zijn of haar rechten in het IT-systeem. Die moeten dus worden aangepast. Zo heeft iemand bijvoorbeeld toegang nodig tot meer informatie of krijgt iemand meer bevoegdheden om documenten aan te passen. Er moeten dan verschillende acties plaatsvinden om ervoor te zorgen dat diens toegang tot bedrijfsinformatie of -bronnen in overeenstemming blijft met het bedrijfs- en beveiligingsbeleid. Doordat provisioning alles te maken heeft met toegang verschaffen en veiligheid, valt het onder Identity & Access Management (IAM) van een bedrijf.
Identity & Access Management
Identity & Access Management (IAM) heeft hetzelfde doel als provisioning, namelijk het op een veilige manier beheren van de toegangsrechten van bedrijfsinformatie en -bronnen. Maar IAM is breder, en gaat meer over het overkoepelende beheer hiervan, terwijl provisioning gaat over het daadwerkelijk mogelijk maken van dit toegangsbeheer. Voor het automatiseren van de daadwerkelijke ‘provisioning’ is dus een tool of software nodig, waarmee die accounts beheerd kunnen worden en rechten automatisch toegewezen kunnen worden.
IAM houdt zich bezig met twee uitdagingen. De eerste uitdaging is het werk van alle betrokkenen van een bedrijf zo soepel en gemakkelijk mogelijk te maken. De tweede uitdaging is dit alles veilig houden. Het gaat dus over het bepalen en beheren van wie wanneer toegang heeft tot bepaalde informatie en middelen. Daar komen allerlei factoren bij kijken, die voor elk bedrijf weer anders zijn. Denk aan het aantal bedrijfsprocessen en de aard daarvan, gevoelige bedrijfsinformatie, het aantal partners en hun taak. Maar dus ook de gewenste manier van inloggen en het beheren van accounts en toegangsrechten.
Het handmatig opzetten van IAM kan dus nog een flinke klus zijn, omdat het toegangsbeheer voor elk bedrijf anders geregeld moet worden. Provisioning maakt het daadwerkelijk mogelijk dat er accounts en rechten worden toegekend en dat die eenvoudig kunnen worden beheerd.
Hoe werkt provisioning?
Stel, er komt een nieuwe medewerker werken bij uw bedrijf. Een eerste stap voor de HR-afdeling is het aanmaken van een account voor deze persoon. Vervolgens moet er aan het desbetreffende account bepaalde toegangsrechten worden gekoppeld. De nieuwe medewerker heeft immers toegang nodig tot bepaalde applicaties, software en informatie, om zijn of haar werk goed uit te kunnen voeren.
In die toegang moet een balans worden aangebracht tussen het moeiteloos kunnen uitvoeren van werk, en het handhaven van de veiligheid. Voor sommige organisaties is deze balans lastiger te vinden dan bij andere organisaties. In de zorg kan het bepalen van die balans soms bijvoorbeeld lastig zijn, omdat men te maken heeft met persoonlijk informatie van patiënten.
Wanneer een medewerker promotie krijgt of van functie verandert, veranderen diens toegangsrechten soms. Dat heeft gevolgen voor de toegang tot applicaties. Zo zijn sommige tools of is sommige informatie niet meer nodig, terwijl er juist wel toegang nodig is tot andere informatie. Daarnaast veranderen soms niet alleen de toegangsrechten van medewerkers, maar bijvoorbeeld ook de structuur van een bedrijf. Verder hebben bepaalde externe partners ook permanent of eenmalig toegang nodig tot bedrijfsinformatie. Een bedrijf heeft dus niet alleen te maken met veranderende toegangsrechten, maar ook met nieuwe toegangsrechten, toegangsrechten die wegvallen of toegangsrechten die worden samengevoegd vanwege veranderde bedrijfsstructuren. En ten slotte moet er ook worden gezorgd dat medewerkers die een organisatie verlaten, geen toegang meer hebben tot de bedrijfsinformatie. En ook eenmalige samenwerkingspartners moeten geen permanente toegang kunnen krijgen.
Als dit allemaal handmatig dient te gebeuren dan is dat nog een hele klus, waarvan het beheer meestal voor rekening van de IT-afdeling komt. Het beheren van toegangsrechten en accounts kost vaak veel tijd voor die afdeling. Vandaar dat veel bedrijven ervoor kiezen om provisioning en het levenscyclusbeheer van gebruikers te automatiseren. Daardoor kunnen IT-afdelingen, en eventuele andere afdelingen, flink wat tijd besparen.
Automatische provisioning en lifecycle management
Tools voor geautomatiseerde provisioning, zoals Okta Identity Cloud Lifecycle Management, bieden een integratie met HR-software. Dat zorgt ervoor dat er allerlei profielen kunnen worden gekoppeld aan rechten of rechtensets. Een bedrijf hoeft dus niet alle eventuele bestaande profielen opnieuw te maken.
Stel, uw HR-afdeling maakt een nieuw medewerkersaccount aan. Dan kan Okta Identity Cloud, of een andere tool voor provisioning, dit account automatisch toegang verschaffen tot bijvoorbeeld de planning, het chatprogramma, of andere benodigde applicaties. Daarnaast heeft een administratiemedewerker waarschijnlijk toegang nodig tot andere applicaties dan een salesmedewerker. Bij de inrichting van Okta Identity Cloud wordt daarin voorzien zodat er in alle gevallen de juiste toegangsrechten worden vergeven.
De toegangsrechten en rechtensets worden allemaal beheerd in de provisioning-tool. Wanneer een medewerker een andere rol of functie krijgt binnen de organisatie, kunnen die rechten zo makkelijk worden aangepast of automatisch worden bijgewerkt naar bijvoorbeeld andere toegangsrechten.
Afhankelijk van de tool kunnen gebruikers zelf ook een toegangsverzoek indienen voor bepaalde applicaties. Die aanvraag gaat dan bijvoorbeeld rechtstreek naar de beheerder van de applicatie, of naar de manager van de afdeling. Na goedkeuring worden de rechten in de provisioning-tool automatisch aangepast. Wanneer medewerkers of partners een organisatie verlaten, kan het bedrijf er dankzij deze automatisering op vertrouwen dat hun accounts direct volledig worden verwijderd of gedeactiveerd.
Maar naast medewerkers kan de organisatie zelf ook veranderen. In het geval van een nieuwe applicatie, afdeling of systeem kunnen de toegangsrechten snel worden geregeld met behulp van een provisioning-tool. Dat gaat dan op basis van de beschikbare informatie in het programma over rechtensets en bedrijfsveiligheid.
Zo helpt de provisioning-tool dus tijdens de volledige gebruikerscyclus. Het biedt een centrale locatie voor het beheer van accounts en het helpen garanderen van de bedrijfsveiligheid. Dit bespaart de IT-afdeling tijd, en geeft ze de mogelijkheid om er ook automatische rapportages mee te maken. Daarin kunnen ze bijvoorbeeld zien welke gebruiker een bepaalde toegang heeft gekregen, en wie de opdracht daarvoor heeft goedgekeurd. Zaken die essentieel zijn om aantoonbaar in controle te zijn van de vergeven toegangsrechten bij bijvoorbeeld audits. Maar ook om aan regelgeving rondom compliancy en certificeringen te voldoen.
FuseLogic, Okta Identity Cloud en provisioning
FuseLogic staat voor een moderne aanpak van Identity & Access Management en is voorstander van pragmatische oplossingen waarbij de organisatie met al haar processen en dynamiek het uitgangspunt vormt. Daarom zijn wij partner van Okta Identity Cloud. Dat is de moderne Identity Management standaard, die is ontwikkeld voor snelle implementaties.
Okta Identity Cloud
Okta Identity Cloud vormt een basis voor veilige verbindingen tussen mensen en technologie. Okta Identity Cloud is een cloudplatform voor allerlei Identity Management-toepassingen. Okta Identity Cloud zorgt ervoor dat bedrijven eenvoudig en automatisch de toegang kunnen beheren voor medewerkers, partners, klanten en andere partijen. Dit is mogelijk voor allerlei soorten applicaties en op elk apparaat. Doordat Okta Identity Cloud ‘out of the box’ integraties biedt voor duizenden apps en toepassingen, is de kans groot dat Okta Identity Cloud de meeste applicaties van de organisatie direct ondersteunt. Het platform is daarmee niet alleen een provisioning-tool, maar een tool die is in te zetten op alle vlakken van Identity Management.
Okta Identity Cloud en provisioning
Okta Identity Cloud zorgt voor het automatisch beheer van rechten en accounts. Het uitgangspunt daarbij zijn de bestaande bedrijfsprocessen en -informatie. Zo kunt u bijvoorbeeld bepaalde partners automatisch toegang verlenen of ontzeggen tot specifieke bronnen, op basis van bestaande gegevens. Ook kunnen er alvast toekomstige wijzingen worden vastgelegd. Daardoor kan bijvoorbeeld worden bepaald dat een stagiair voor een aantal maanden toegang krijgt tot informatie.
Met intuïtieve Self Service mogelijkheden wordt het zelf aanvragen van toegang zo soepel mogelijk gemaakt. U kunt zelf bepalen hoe u die toegang vervolgens wilt kunnen verschaffen, bijvoorbeeld door een goedkeuring van een applicatiemanager.
Natuurlijk heeft u het beheer te allen tijde zelf in de hand. Zo kunt u rapporten inzien, en kunt u ervoor kiezen om een periodieke controle te doen van alle toegangsrechten. Daarnaast kunt u ook bepaalde toegang onmogelijk maken in het systeem. Zo kunt u bijvoorbeeld vaststellen dat alleen het managementteam een bepaalde autorisatie kan aanvragen. Of dat een autorisatie na een vastgestelde tijd weer automatisch wordt ingetrokken. De zaken die u vast laat leggen, hangen natuurlijk volledig af van uw bedrijfsprocessen en -regels. Op die manier is Okta Identity Cloud een veilige basis voor uw bedrijf.
Identity Management heeft vaak het imago dat het moeilijk is in te richten en dat het veel tijd kost voordat het waarde toevoegt. Dat doen wij anders. Met onze oplossing op basis van het Okta Identity Cloud-platform beschikt u over alles wat nodig is om de levenscyclus van gebruikers te automatiseren. Zo heeft uw bedrijf dus wel de controle over wie welke toegang heeft, zonder dat u er veel tijd aan hoeft te besteden. Dit komt door de slimme self-servicemogelijkheden.
Hiermee kunnen we het Identity Management van een organisatie eenvoudig automatiseren en de implementatie van nieuwe apps of systemen versnellen.
Meer weten?
Technologie alleen is niet voldoende voor succesvolle Identity Management of provisioning. Bij het verschaffen van toegang tot bedrijfsinformatie zijn de vragen ‘wie’ en ‘waarom’ cruciaal. Bij FuseLogic kijken we daarom op basis van onze jarenlange ervaring graag vanuit een organisatie naar een IAM-vraagstuk. De bestaande bedrijfsprocessen en data in bestaande systemen zijn daarbij het startpunt. Hierdoor kunnen we zorgen voor snel resultaat, waardoor de organisatie kan ervaren hoe het in de praktijk zal kunnen werken.
Wilt u meer weten over provisioning, over onze werkwijze of over hoe wij Identity Management at the speed of business realiseren? Neem dan contact met ons op. We helpen u graag.