Identity and Access Management (IAM/IDM)

Single Sign On en wachtwoordsynchronisatie: een krachtige combinatie

2011-11-23T04:04:00.000-08:00

Oplossingen voor wachtwoordsynchronisatie zijn van groot nut voor het vergroten van de efficiëntie en het reduceren van kosten. Oplossingen zoals Password Sychronisation Manager (PSM) van Tools4ever zorgen ervoor dat eindgebruikers - na het wijzigen van hun wachtwoord - direct aan kunnen melden op alle benodigde systemen en toepassingen op basis van hetzelfde wachtwoord. PSM zorgt er immers voor dat wachtwoorden in meerdere systemen synchroon zijn. Hierdoor wordt de productiviteit van eindgebruikers vergroot en blijft het aantal wachtwoordgerelateerde telefoontjes naar de helpdesk tot een minimum beperkt. Maar is het eigenlijk mogelijk om de efficiëntie en productiviteit van het personeel nog verder te verbeteren?

Als oplossingen voor wachtwoordsynchronisatie op standalone basis worden ingezet, moeten eindgebruikers zich echter nog altijd handmatig aanmelden op elke applicatie en elk systeem. Dit kan uitzonderlijk veel tijd beslag nemen. Volgens een recente enquête is 85,3% van de gebruikers van mening dat zij veel efficiënter zouden kunnen werken als ze minder tijd kwijt zouden zijn aan allerlei aanmeldingsprocedures.
Single Sign On (SSO)-producten zoals E-SSOM van Tools4ever bieden effectieve oplossingen voor dit soort problemen. Nadat een gebruiker zich heeft aangemeld op het netwerk en de door hem of haar benodigde applicaties en systemen, onthoudt E-SSOM automatisch welke aanmeldingsgegevens er nodig zijn. Daarop zal de gebruiker, elke keer wanneer een toepassing of systeem start, automatisch worden aangemeld.

Een interessante uitbreiding op Single Sign On is Authentication Management. Hiermee wordt de enig overgebleven username/wachtwoord combinatie vervangen door een pasje met een pincode. Een gebruiker kan snel en eenvoudig inloggen op de Active Directory en dus de SSO omgeving door een pas tegen de lezer aan te houden en een pincode in te voeren.

Wat gebeurt er echter als het Active Directory wachtwoord wijzigt? De koppeling tussen de pas en de username/password is hiermee niet langer geldig meer. Door PSM echter met E-SSOM te combineren is het mogelijk om deze koppeling geldig te houden om ook de wachtwoordwijziging door te voeren binnen E-SSOM.

Met een combinatie van deze twee oplossingen behoren tijdrovende aanmeldingsprocedures tot het verleden. Eindgebruikers profiteren van optimaal gebruiksgemak, terwijl de productiviteit van het personeel stijgt.

What’s in a Password?

2011-08-22T01:06:00.000-07:00

Zou je me geloven als ik zou beweren dat tegenwoordig minder dan 1% van alle wachtwoorden die in gebruik zijn werkelijk willekeurige wachtwoorden zijn? Dit is helaas waar. Een recent onderzoek laat zien dat minder dan 1% van wachtwoorden die op dit moment in gebruik zijn willekeurig of aselect zijn. In feite laat dit onderzoek zien hoe mensen hun wachtwoorden samenstellen. Resultaten uit het onderzoek zijn:
• 14% van alle wachtwoorden zijn afgeleid van een naam (JanSmit)
• 8% van alle wachtwoorden zijn een afgeleide van een plaatsnaam – vaak een naam van een stad of een dorp waar de persoon in kwestie woont of geboren is (Utrecht)
• 14% van wachtwoorden zijn zuiver numeriek van aard en soms zijn het opeenvolgende nummers (12345)
• 25% van wachtwoorden zijn willekeurige wachtwoorden uit het woordenboek (computer)
• Nog eens 8% zijn samengesteld uit toetsenbordpatronen, korte uitdrukkingen, woorden in het e-mail adres en herhalende woorden (asdf, zwartekat, @apple, roodrood – respectievelijk)
• De resterende 31% van wachtwoorden kon tijdens dit onderzoek niet in kaart worden gebracht

Deze informatie is alarmerend voor alle netwerk- en securitybeheerders in alle branches. Hoewel wachtwoordcomplexiteitsregels steeds vaker worden toegepast, geldt dit zeker nog niet voor alle organisaties. En zelf met wachtwoordcomplexiteit, zullen er werknemers zijn die wachtwoorden gebruiken die makkelijk te raden zijn. Dus om inbreuken op het netwerk te voorkomen, zullen organisaties moeten overwegen om password management serieuzer te nemen om het netwerk beter te beschermen. Er zijn diverse software oplossingen die organisaties kunnen implementeren om de risico’s op hun netwerkbeveiliging te reduceren.

Een mogelijkheid waar ik me graag op wil focussen is de implementatie van een oplossing met zogenaamde ‘two-factor authenticatie’. Deze oplossing omvat het veiligstellen van de primaire login door middel van een gebruikerspas of biometrie. In plaats van het invoeren van een gebruikersnaam of wachtwoord, kunnen gebruikers inloggen door gebruik te maken van een gebruikerspas/biometrie in combinatie met een lezer en het invoeren van hun pincode. Het combineren van een gebruikerspas/biometrie en een pincode zorgt voor een sterke authenticatie. Dit is een sterke combinatie omdat two-factor authenticatie gebaseerd is op iets wat de gebruikers bezitten (gebruikerspas/biometrie) en iets wat ze weten (pincode).

Enterprise Single Sign On Manager (E-SSOM) van Tools4ever biedt volledige integratie met alle gangbare two-factor authenticatie kaartreader, zoals HID, Mifare, Biometrie, Gridtoken, Proximity-based devices en RFID readers. E-SSOM biedt een ingebouwde integratie met de driver software van de (kaart) reader en koppelt de pass-card ID met de credentials van de gebruiker(gebruikersnaam/wachtwoord) in de Active Directory. Er is geen extra software nodig om deze koppeling te maken. Deze functie garandeert een gebruikersvriendelijke en veilige login voor alle gebruikers.

* Bron: The science of password selection door Troy Hunt

IAM: Goliath versus David

2011-08-03T04:14:00.000-07:00

Eind 2010 gaf Gartner het rapport ‘Magic Quadrant for User Provisioning’ uit. Hierin geeft Gartner haar visie op Identity & Access Management (IAM) voor de komende jaren en de bijbehorende trends. Het Magic Quadrant maakt een splitsing tussen marktleiders, uitdagers, visionairs en kleine spelers. In het betreffende kwadrant staan de markleiders geclusterd op eenzame hoogte. In deze groep bevinden zich onder andere Oracle, IBM, Novell en CA. De overige leveranciers staan allen dicht bij elkaar in de overige kwadranten. Je zou kunnen concluderen dat er een elite bestaat van IAM leveranciers die klaarblijkelijk alles op orde hebben. Is dat dan ook een reden om voor deze partijen te kiezen?

Uit mijn ervaring met IAM-projecten zie ik regelmatig dat projecten worden gestart met leveranciers die tot de elite behoren. Deze leveranciers zetten een zwaar product als middelpunt in, om vervolgens een IAM oplossing om dit product heen te bouwen. Vaak wordt geprobeerd een utopie te creëren die vereist dat de IAM oplossing intensief aangepast moet worden. Er wordt gestart met het automatiseren van processen in de organisatie (workflow management en RBAC) en vervolgens worden IT procedures voor het beheren van user accounts in het netwerk geautomatiseerd. Het probleem hierbij is dat het lastig is om organisatieprocessen te automatiseren en dat het nog lastiger is om RBAC informatie te vullen met gewenste autorisatie-informatie. Tijdens de lange doorlooptijd treden wijzigingen in de organisatie op ten gevolge van re-organisaties, fusies en/of splitsingen. Deze projecten stranden vaak na een grote investering of worden maar deels in productie genomen.

Ik kan dus concluderen dat de keuze voor een leverancier die tot de elite behoord niet automatisch resulteert in een geslaagd IAM-project. Dit wordt ook door Gartner beaamd in het rapport. Elite leveranciers hanteren vaak zware projectstructuren en een groot aantal voorwaarden. Gartner maakt de opmerking dat te complexe benaderingen ervoor zorgen dat IAM-projecten vaak spaak lopen.

Gartner schetst nog een groot aantal punten, scenario’s en voorwaarden waaraan een IAM leverancier zou moeten voldoen. Opmerkelijk genoeg voldoet Tools4ever als Nederlandse niche speler aan al deze voorwaarden met een stabiele eigenwijze benadering die door veel klanten als prettig wordt ervaren. Vaak wordt er in aanbestedingstrajecten gekozen voor oplossingen van Tools4ever vanwege korte doorlooptijden, de vele succesvolle implementaties en een mix van een bottom-up en topdown benadering. Het succes van Tools4ever zit hem vooral in de volgende onderdelen die ook Gartner noemt als succesfactoren:

• Het niet splitsen van de implementatieverantwoordelijkheid tussen productleverancier en implementatiepartner. Tools4ever heeft reeds jaren geleden onderkend dat het succes van een IdM implementatie zit in de kennis en kunde van de IdM consultants en de complexe implementaties niet eenvoudig over te laten valt aan een implementatiepartner.

• Fasering: door IAM in allerlei kleinere deelprojecten op te splitsen over een lineaire tijdlijn wordt een logge scoop voorkomen. IAM-trajecten zijn vaak eenvoudig te splitsen in deeltrajecten waarbij ieder deeltraject al zichtbaar resultaat oplevert.

• Modulair: De technische oplossingen worden modulair opgebouwd waardoor er eenvoudig doorgebouwd kan worden. Hierdoor bereik je deelresultaten in plaats van eindpunten.

• Flexibel: Het stroomlijnen van de huidige situatie is meestal de start van een IAM traject. Door optimalisatie van huidige processen komt er tijd en ruimte vrij komt om aan vervolgstappen te kunnen werken.

• Een volledig portfolio: Tools4ever kan een volledig portfolio aan oplossingen bieden die zijn bewezen in productie bij klanten. Daarnaast kan Tools4ever een prima rol vervullen als deel supplier.

Het resultaat van de benadering van Tools4ever is dat vrijwel alle projecten slagen. De meeste klanten zitten in een fase waarbij er gemakkelijk kan worden doorgebouwd naar de volgende trends binnen IAM of een volgende fase van de huidige trends.

David won toch ook van Goliath!

Weg met de post-its

2011-07-07T02:10:00.000-07:00

Afgelopen week las ik het volgende nieuws op De Utrechtse Internet Courant :
In zijn ijver de bevolking van Utrecht te informeren over de politiehelikopter die gisteravond over de Utrechtse binnenstad vloog, heeft woordvoerder Thomas Aling vanmiddag per ongeluk een login en wachtwoord van de politiecomputer online gezet.

Aling twitterde een foto van een computerscherm, waarop een foto van de helikopter te zien was. Wat de woordvoerder even over het hoofd zag, was dat op het beeldscherm ook een briefje geplakt was met daarop de inlog en het wachtwoord van één van zijn collega’s.
Bron: http://www.duic.nl/nieuws/1775/politiewoordvoerder-zet-per-ongeluk-inlog-en-wachtwoord-online/

Aan het beeldscherm geplakte briefjes en post-its met inloggegevens en wachtwoorden zijn bijna niet meer weg te denken uit het bedrijfsleven. Kennelijk bezitten mensen zoveel – moeilijk te onthouden – wachtwoorden dat het opschrijven ervan noodzakelijk is. Een noodzakelijk kwaad, zo blijkt maar weer. Want het ondermijnt de informatiebeveiliging van de organisatie.

Er is een simpele oplossing om dit beveiligingsrisico te omzeilen. Met een Single Sign On oplossing hoeven eindgebruikers nog maar één wachtwoord en username te onthouden om in te loggen op hun computer zodat vervolgens alle benodigde applicaties automatisch geopend worden. De Single Sign On software neemt alle loginprocedures over en vult automatisch de benodigde logingegevens in. Indien nodig kan dit zelf gecombineerd worden met toegangspasjes. Dan er is er geen bestaansrecht meer voor de plakkers. Weg met de post-its.

De keerzijde van gratis e-maildiensten

2011-04-26T08:26:00.000-07:00

Veel scholen hebben de afgelopen jaren gretig gebruik gemaakt van de gratis e-maildiensten van bijvoorbeeld Google en Microsoft. Gmail en MS Live@Edu bieden een aantal tastbare voordelen voor scholen en universiteiten (bijvoorbeeld afgestuurde studenten houden een account), maar het creëren en beheren van de user accounts in deze e-mailtoepassingen kan een behoorlijke uitdaging zijn. Daarnaast worden Active Directory wachtwoorden niet automatisch gesynchroniseerd met deze gratis diensten en dat kan een extra belasting vormen voor de helpdesk omdat wachtwoorden voor e-mail vaker gereset moeten worden.

Tools4ever biedt oplossingen voor beide problemen. Onze oplossing User Management Resource Administrator (UMRA) kan informatie ophalen uit het schoolinformatiesysteem en deze data gebruiken om automatisch een e-mailadres aan te maken in de gehoste e-mailoplossing. Wanneer studenten afstuderen kunnen hun AD accounts automatisch worden verplaatst naar een Alumni OU en worden de juiste aanpassingen gedaan in Gmail of MS Live.

Onze oplossingen PSM (Password Synchronization Manager) en SSRPM (Self Service Reset Password Management) kunnen eveneens koppelen met deze hosted e-maildiensten. Als een gebruiker een AD wachtwoord vergeet of wachtwoord van de gratis e-maildienst dan kunnen zij een webpagina bezoeken, een aantal vragen beantwoorden en vervolgens beide wachtwoorden resetten. Hoewel het niet zo vaak voorkomt bij studenten, docenten en personeel hebben wachtwoorden een vervaldatum en moeten ze regelmatig vernieuwd worden. PSM onderschept het nieuw ingestelde AD wachtwoord en kan het wachtwoord versturen naar de hosted e-maildienst zodat wachtwoorden in alle toepassingen hetzelfde zijn en blijven.

Wilt u voorkomen dat uw gratis e-mail systeem een fortuin kost in onderhoud en helpdeskkosten? Bezoek dan onze website

Vraag naar systeembeheerders groeit….onnodig

2011-04-26T03:02:00.000-07:00

Medio april ontving ik een nieuwsbrief van één van de toonaangevende IT-vakbladen in Nederland met daarin een artikel dat luidde: “Vraag naar systeembeheerders groeit”. Uit de Banometer (toont het aantal nieuw verschenen ict-personeelsadvertenties per week op dertien recruitment websites) bleek dat in bijna alle functiegroepen er minder vraag was naar nieuwe mensen. Alleen de systeembeheerders deden het opvallend goed. Met 190 nieuwe online vacatures was er 19 procent meer vraag in deze functiegroep.

Het blijkt dus dat er ofwel nieuwe organisaties zijn die op zoek zijn naar systeembeheerders of dat bestaande organisaties op zoek zijn naar (meer) systeembeheerders. Gezien de huidige economische situatie lijkt het laatste mij meer waarschijnlijk. Uit ervaring weet ik dat de vraag naar systeembeheerders in veel gevallen onnodig is en dat taken die systeembeheerders uitvoeren vaak ook uitgevoerd kunnen worden door minder-skilled helpdesk medewerkers. Want een hoog percentage van de werkzaamheden van senior systeembeheerders omvatten eenvoudige, repeterende handelingen, zoals het aanmaken van een user account in diverse systemen en applicaties. Echter, het delegeren van dit soort eenvoudige taken naar de IT-helpdesk ligt vaak gevoelig omdat men denkt dat deze minder-skilled medewerkers hiervoor direct toegang moeten hebben tot het netwerk en teveel vrijheid hebben om wijzigingen door te kunnen voeren. Wegens security risico’s en non-conformiteit van beheerprocedures zijn systeembeheerders huiverig om taken te delegeren.

Er bestaat echter software waarmee het eenvoudig en veilig is om veel voorkomende handelingen te delegeren naar de IT-helpdesk zonder dat zij toegang hebben tot het netwerk. Met de Helpdesk Delegatie (HD) Module van User Management Resource Administrator (UMRA) kunnen de helpdesk medewerkers middels een set van formulieren onder meer de user accounts beheren en worden daarmee automatisch de opgestelde procedures gevolgd zonder een risico op non-conformiteit. Na inventarisatie van de bestaande beheertaken wordt UMRA ingericht. Hierbij worden alle handmatige en op scripts gebaseerde handelingen in UMRA scenario’s vastgelegd. Aan de scenario’s worden elektronische formulieren gekoppeld die gedelegeerd kunnen worden naar helpdesk medewerkers. Een helpdesk medewerker voert wijzigingen in het netwerk dus door middels de standaard formulieren. UMRA voert de wijziging vervolgens daadwerkelijk door in het netwerk. Het is dus mogelijk dat non-skilled ICT-medewerkers veilig (zonder domain admin rechten) allerlei beheerstaken, zoals accounts aanmaken, bewerken, verwijderen en wachtwoorden resetten, kunnen uitvoeren zonder over expliciete ICT kennis te beschikken en zonder direct toegang te hebben tot het netwerk.

Two-factor authentication

2011-04-04T07:27:00.000-07:00

De Self Service Password Management oplossing van Tools4ever heeft altijd al een web interface gehad, zodat gebruikers zelfstandig hun Active Directory wachtwoorden kunnen resetten via het intranet of via het web. Aan de hand van een aantal eenvoudige, vooraf gedefinieerde vragen kunnen eindgebruiker hun wachtwoord resetten. Hoewel deze methode algemeen aanvaard is bij veel organisaties, zoeken andere organisaties naar een extra vorm van authenticatie.

In februari hebben wij een nieuwe SSRPM Security Module module vrijgegeven, inclusief two-factor authenticatie via e-mail. Two-factor authentication (TFA of 2FA) betekent dat twee onafhankelijk middelen worden ingezet om de identiteit van iemand te bevestigen.

Wanneer een gebruiker inlogt op het Active Directory-domein na de implementatie van Self Service Reset Pasword Management en de geconfigureerde vragen beantwoord, worden zij ook gevraagd een prive e-mailadres op te geven. Als een eindgebruiker vervolgens een wachtwoord vergeet, kunnen zij de vragen beantwoorden. Echter, voordat zij de laatste fase bereiken en daadwerkelijk een nieuw wachtwoord kunnen instellen, moeten zij eerst de PIN-code invoeren die per e-mail naar hun prive-adres is gestuurd. Dit scenario illustreert de twee basis onderdelen van two-factor authenticatie, te weten "iets wat je hebt" (in dit geval een prive e-mailadres) en "iets wat je weet" (antwoord op persoonlijke vragen).

Two-factor authentication biedt een extra aanvulling qua beveiliging op de webinterface. Wij zijn van plan dit in de nabije toekomst verder uit te breiden door het sturen van PIN-codes via SMS. Houdt deze blog in de gaten voor meer informatie.

Op onze website kunt u meer lezen over deze software Tools4ever's Self Service Password Reset.

Uw Identity Management-strategie: Wat staat er op het menu?

2011-03-23T03:28:00.000-07:00

Identity Management-projecten hebben de reputatie langdurig, kostbaar en technisch complex te zijn. Wat zegt u ervan als u van de voordelen van een Identity Management-strategie kunt genieten zonder gedoe en de overhead die normaal gepaard gaat met technisch complexe projecten? En dat binnen de grenzen van uw budget?

Dankzij honderden Identity Management projecten die zijn uitgevoerd door de technische consultants, is Tools4ever in staat om een aantal Identity Management best practices op te stellen, die erop gericht zijn maximaal resultaat te halen uit een minimale inspanning.

Eén van die best practices is de ontwikkeling van het Identity Management Maturity Model. Een andere best practice is het Identity Management à la carte menu, waaruit blijkt dat Tools4ever de capaciteit heeft om zowel point solutions als een geïntegreerde Identity Management oplossing te kunnen leveren.

Hier vindt u de menukaart van het Identity Management à la carte menu. (De geschatte implementatietijd verwijst naar een middelgrote organisatie met ongeveer 2000 gebruikers):

Delegatie van het beheer van alle gebruikersaccounts en hun resources (2 dagen);

Synchronisatie met HR-systeem (2 dagen);

Identity Management Self Service Portal en Workflow Management (5 dagen);

RBAC - Role Based Access Control niveau 1 (3-5 dagen);

Web portal voor de auditing en het beheren van NTFS-rechten of groepen (2 dagen);

Single Sign-On voor uw 10 belangrijkste applicaties (3 dagen);

Self Service Password Management (1-3 dagen);

Wachtwoord synchronisatie (1 dag).

Welke gerechten neemt u?

Bezoek www.tools4ever.com voor meer informatie over onze oplossingen en hoe deze kunnen helpen om uw Identity Management doelstelling te behalen.

Afwezigheidsassistent in Outlook beheren zonder directe toegang tot de mailbox

2011-02-21T01:49:00.000-08:00

Een veelvoorkomende situatie bij organisaties: een werknemer is ziek of langdurig afwezig en de Afwezigheidsassistent in zijn/haar Outlook is niet geactiveerd. Resultaat: e-mails worden niet beantwoord, slechte service en boze klanten.

Omwille van de gegevensbescherming is het niet mogelijk om de Afwezigheidsassistent in te schakelen zonder direct toegang te hebben tot de mailbox. Een andere werknemer moet dus op de hoogte zijn (of worden gebracht) van de inlogcodes van de afwezige werknemer om de e-mails te lezen, e-mails te forwarden en de Afwezigheidsassistent in te schakelen. Dat is een onveilige situatie.

Dit probleem kunt u echter eenvoudig oplossen met Out of Office Manager Tool (OOMT) van Tools4ever.

Met OOMT kunnen beheerders of helpdeskmedewerkers de Outlook-assistent instellen zonder in te loggen op de mailbox van de betreffende gebruiker. Deze taak kan tevens gedelegeerd worden aan afdelingen, zelfs zonder de toekenning van extra admin rechten.

Integratie HTM-systeem
Het is ook mogelijk om OOMT te integreren in User Management Resource Administrator (UMRA) van Tools4ever om zo een koppeling te maken met het HRM-systeem van het bedrijf. In het HRM-systeem wordt bijgehouden wanneer een werknemer ziek, op vakantie of zakenreis is en ook wanneer een werknemer de organisatie verlaat. Dankzij deze integratie kan UMRA automatisch de Out of Office Afwezigheidsassistent instellen en eventueel e-mailberichten doorsturen zodat deze kunnen worden beantwoord.

Zo wordt professionele afhandeling van e-mailverkeer in uw organisatie gewaarborgd.

Een vliegende start met Role Based Access Control (RBAC)

2010-08-18T07:39:00.000-07:00

RBAC, ofwel Role Based Access Control, is in! Steeds meer organisaties die ik spreek zien het belang van op een gestructureerde wijze toekennen en beheren van autorisaties in het netwerk. De situatie is nu vaak dat bij het toekennen van autorisaties een kopie gemaakt van een collega die ‘ongeveer’ dezelfde functie heeft. Zo krijgen nieuwe medewerkers vaak toegang tot systemen en applicaties die zij helemaal niet nodig hebben. Er wordt zelden aandacht besteed aan het ontnemen van autorisaties na het kopiëren van een gebruiker. En dat heeft consequenties voor onder meer de licentiekosten en de informatiebeveiliging.

RBAC is één van de mogelijkheden om dit probleem op te lossen. RBAC bestaat uit een matrix van rollen, functies en specifieke toegangsrechten. Als bijvoorbeeld een nieuwe medewerker in dienst komt, dan wordt via de RBAC matrix bepaalt wat de nieuwe medewerker mag op het netwerk. Zover de theorie. In de praktijk blijkt dat met name het vullen van een dergelijke matrix veel problemen met zich meebrengt. Want medewerkers voelen zich vaak uniek en dit leidt niet zelden tot net zoveel rollen als er medewerkers zijn. En dat levert uiteindelijk een eindeloze en onwerkbare matrix op. Organisaties zijn daarom bang om RBAC binnen hun organisatie te implementeren. Toch zijn er organisaties die eraan beginnen en er dan naar streven om 100 procent van de medewerkers in de RBAC matrix te krijgen. Dit is mijns inziens onbegonnen werk en neemt jaren tijd in beslag van zowel management als de Security-officer.

Wil je een snelle start maken met RBAC? Dat is heel goed mogelijk, maar streef dan niet naar 100 procent in de eerste instantie. Op basis van de informatie uit het HR-systeem is het heel goed mogelijk om de top 50 meest voorkomende combinaties van afdelingen en functies in de organisatie te ontdekken. Hiermee kan al 80 procent van de RBAC matrix worden gevuld. En dat kan al binnen een paar dagen! Vervolgens wordt via een workflowapplicatie de overige 20 procent handmatig ingevuld door de manager van een medewerker.

Het kan misschien wel jaren duren voordat de RBAC matrix 100 procent ingevuld is, maar door gebruik te maken van bestaande systemen en bronnen – zoals het HR-systeem – én het centraal stellen van de manager wordt het vullen van de RBAC matrix een hanteerbaar proces met een direct resultaat. Dat betekent voordeel met betrekking tot haalbaarheid van RBAC, de hoeveelheid benodigde moeite en een positieve IT audit-normering. Een indirecte spin-off is een reductie van onder meer licentiekosten, opslag en security-incidenten.

Meer informatie over RBAC van Tools4ever kan je vinden op Hoe werkt Role Based Access Control RBAC by Indentity Management?

IAM valkuilen voor directie en Raad van Bestuur

2010-07-01T09:09:00.000-07:00

Ik kom bij veel organisaties over de vloer en praat dan meestal met de afdeling ICT over het stroomlijnen van user account beheer. Liever zie ik ook een business manager aan tafel. Maar het implementeren van een Identity en Access Management (IAM) technologie wordt binnen organisaties bijna altijd gezien als een puur technische zaak. En natuurlijk moet er technisch één en ander gebeuren om het beheren van identiteiten (léés user accounts) te vereenvoudigen. Denk maar aan het stroomlijnen van het user accountbeheer door helpdesk, applicatiebeheerders en systeembeheerders. En dan hebben we vaak te maken met een mix van systemen en applicaties.

Echter, de scope van een IAM oplossing beperkt zich volgens mij absoluut niet alleen tot de afdeling ICT en heeft een veel bredere impact. Raad van Bestuur en directie realiseren zich (nog) niet dat een IAM-omgeving ook een aantal belangrijke organisatorische wijzigingen met zich meebrengt. En daarmee stoten zij zich tegen het hoofd.

Bredere impact
Een IAM-omgeving heeft effect op de gehele organisatie en niet alleen ICT. Zo kan de technologie een belangrijke rol spelen als het gaat om het naleven van wet- en regelgeving of vraagt het van de organisatie om eens goed na te denken over de hiërarchie. Echter, veel organisaties zien dit niet en ontwikkelen geen beleid ten aanzien van een IAM-omgeving. Deze organisaties trappen in een aantal valkuilen.

Mogelijke valkuilen
Een eerste valkuil is dat organisaties te ‘snel’ willen voldoen aan auditeisen en daarvoor simpelweg een export/rapportage oplossing implementeren. Zij voldoen hiermee aan de gestelde auditeisen, maar het is zeker geen structurele oplossing. Want vervuiling die ooit is ontstaan in het bronsysteem komt bij iedere rapportage weer boven.
Hieruit vloeit direct een tweede valkuil. Organisaties die geen beleid uitdenken, stellen het bronsysteem – lees HR-systeem - niet centraal als het gaat om het bijhouden van in- en uitdienst, wijzigingen van functie en/of afdeling en de hiërarchie van alle medewerkers, inclusief uitzendkrachten, freelancers, interim medewerkers en vrijwilligers. En wat is er nu mooier dan een bronsysteem gebruiken dat altijd up-to-date is.
Daarnaast vergeten de organisaties vaak de medewerker en de manager centraal te stellen in het IAM proces. Daarentegen staat de afdeling ICT centraal. De manager weet exact welke resources haar/zijn medewerkers nodig hebben om hun werkzaamheden te kunnen uitvoeren. En een medewerker is prima instaat om aan te geven wat zij/hij nodig heeft om werkzaamheden uit te voeren. Door de medewerker en manager zelf resources te laten aanvragen, wordt de afdeling ICT minder belast met dit soort taken. En de lastige en langdurige communicatie tussen ICT en manager over de juiste resources blijft achterwege.

Tot slot
Tot slot resulteert het ontbreken van een beleid in de valkuil om veel stappen in het IAM-proces tegelijk in te voeren, terwijl dit juist heel goed gefaseerd kan.
Het wordt tijd dat ICT en de business samenwerken als het gaat om het implementeren van een Identity & Access Management omgeving. En dat bestaat uit zowel technologie als beleid. Creëer zo veel mogelijk draagvlak bij het management om te voorkomen dat uw organisatie ook in een valkuil belandt.

Lees meer op de website van Tools4ever over Indentity & Access Management oplossingen en wat dit voor uw organisatie kan betekenen.

Koppelen van Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo, etc.

2010-06-25T02:23:00.000-07:00

Een medewerker in een organisatie heeft vaak toegang tot meerdere applicaties in het netwerk. De toegang wordt gereguleerd door authenticatie (username/password) en autorisatie (toegang tot resources binnen de applicatie) van de medewerker in het netwerk. Het beheer van de authenticatie en autorisaties is belegd bij de afdeling ICT en de functioneel beheerders van de applicaties.

Het efficiënt en effectief inrichten van het beheer van de authenticatie en autorisaties is één van de onderdelen van Identity en Access Management. Een belangrijk criterium bij de keuze van een Identity en Access Management oplossing is de mogelijkheid om te kunnen koppelen met de betreffende systemen.

Welke aspecten zijn hierbij van belang? Hieronder worden een aantal punten belicht die u wellicht kunnen helpen bij de afweging om een systeem te koppelen.

Type koppelingen
Meestal wordt er een onderscheid gemaakt tussen een bronkoppeling en een doelkoppeling. Een bronkoppeling is de input/invoer voor het identity management proces en is de start voor het in-/uit- en doorstroomproces van een user account van een medewerker. Gangbare bronsystemen zijn: PZ systeem, Datawarehouse, flexpoolsysteem, rooster- en planningsystemen, etc. Een doelkoppeling is een afnemend systeem van het identity management proces (ook wel downstream provisioning genoemd). Het identity management systeem beheert dan volledig automatisch de user accounts tbv authenticatie en autorisatie in het doelsysteem.

Welke doelsystemen moeten gekoppeld worden?
Tijdens de eerste oriëntatie van een identity management systeem wordt vaak aangegeven dat alle of zoveel mogelijk applicaties gekoppeld moeten worden. Waarbij zoveel gestreefd wordt naar 100% auto provisioning. Dit streven is begrijpelijk maar wellicht niet verstandig omdat, zoals zovaak, 100% automatisering meestal sub optimaal is. Ik kom vaak organisaties tegen met een applicatielandschap van +500 applicaties en een wens om zoveel mogelijk te koppelen. Het is dan goed om te kijken hoeveel user accounts per applicatie beheerd moeten worden. Indien een applicatie minder dan 300 user accounts heeft, loont (een positieve ROI) het over het algemeen niet om een koppeling te realiseren. Aan de andere kant is het beter om met de applicaties te beginnen waar nagenoeg iedere medewerker een account in heeft. Denk hierbij aan Active Directory, Email (Exchange), zorgsysteem, internetportaal, telefoonboek, telefooncentrale, facility management systeem, etc.

Koppelingen van Tools4ever
Om een implementatie snel en kostenefficiënt te realiseren is het van belang dat de leverancier van de identity management oplossing een groot aantal out-of-the-box koppelingen beschikbaar heeft. Voor een Nederlands bedrijf is het dan goed om te kijken naar ondersteuning van locale (Nederlandse) systemen en applicaties. Denk hierbij aan koppelingen met Beaufort, AFAS, TopDesk, Ultimo, EZIS (Chipsoft), Focus/Helios (Databalk), Cura (Unit4), etc. Tools4ever is een van oorsprong Nederlands softwarebedrijf en heeft een groot aan koppelingen direct beschikbaar. Zie Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo voor een overzicht van de koppelingen.

Ga voor de quick win in Indentity Management!

2010-01-12T04:17:00.000-08:00

Organisaties beginnen inmiddels de noodzaak voor een identity management oplossing in te zien. Dat wordt vooral gedreven door compliance en auditing eisen. Maar organisaties zijn erg huiverig voor het implementeren van een identity management oplossing. Waardoor komt dat?

Het antwoord is op die vraag eenvoudig. Een strategische identity management omgeving gaat in veel gevallen gepaard met een langdurig implementatietraject; meerdere consultants, projectleiders en allerlei administratieve en organisatorische handelingen die bij ieder IT-project komen kijken. En dan nog maar te zwijgen over het prijskaartje wat sommige leveranciers hanteren. Mijns inziens kan met een IDM project zeer snel en eenvoudig een eerste stap naar een complete identity management worden gezet.

In zo’n eerste stap kan bijvoorbeeld een koppeling tussen een HR-systeem met de Active Directory worden gerealiseerd. Eventuele functiewijzigingen en medewerkers die in of uit dienst treden binnen een organisatie kunnen geheel of automatische gesynchroniseerd worden in de Active Directory. Een eerste stap kan er voor zorgen dat user account direct aangemaakt zijn en het basis account (bijvoorbeeld Exchange en Office) direct beschikbaar is voor de medewerker. Resultaat, een significante reductie van de doorlooptijd en een verhoogde productiviteit van medewerkers.
En de eerste stap naar een strategische identity management omgeving is daarmee gezet. Al binnen enkele weken. Die omgeving kunt u vervolgens verder gefaseerd uitbouwen met bijvoorbeeld workflow management, RBAC of auditing.

Uit ervaring weet ik dat 20 procent van de effort 80 procent van het resultaat oplevert. Mijn advies is dus “schrap de poespas en ga voor de quick win. ”

Lees meer over de mogelijkheden van Identity Management op: complexiteit beheer user accounts medewerker in een organisatie

Staat uw Identity Management op de tocht?

2009-12-24T04:27:00.000-08:00

Een goed uitgedacht identity management beleid is al jaren een ondergeschoven kindje binnen organisaties. De meeste organisaties gaan pas met identity management aan de slag wanneer zij hier omwille van regelgeving of externe audits niet meer omheen kunnen. Dat is dan ook de reden dat andere landen hierop voorlopen ten opzichte van Nederland. Het naleven van compliance en audits is natuurlijk een hele goede aanleiding voor een strategisch identity management beleid , maar door hier de focus op te leggen doet een ander gevaar zich voor.

Technische inrichting Identity Management
Er zijn verschillende mogelijkheden voor het technisch inrichten van een identity management omgeving. Veel organisaties maken mijn inziens een minder logische keuze. Omdat zij zich blind staren op audits en regelgeving, implementeren zij vaak een BI-systeem of datawarehouse-achtige oplossing waarin toegangsrechten van medewerkers worden opgeslagen. Iedere maand haalt deze oplossing dan een CSV bestand met mutaties op bij de verschillende netwerksystemen (bijvoorbeeld HR-systeem, Active Directory). Vervolgens wordt uit deze database een rapport uitgedraaid en aan de hand daarvan worden inconsistenties ten aan aanzien van regelgeving opgeheven.

Vervuiling bronsystemen
Op het eerste gezicht klinkt dit heel logisch. Maar als we kijken naar andere mogelijkheden voor het technisch inrichten van een identity management omgeving, dan zullen organisaties zich realiseren dat deze werkwijze water naar de zee dragen is. Want als het netwerksysteem vervuild is – en dat is bij veel organisaties het geval – dan laat ieder CSV bestand ook ieder keer een vervuiling zien. Daarnaast is de ervaring dat organisaties al snel 1 à 2 FTE nodig hebben voor het managen van de maandelijkse rapportages. Tot slot, betekent een maandelijkse (en niet real-time) update van toegangsrechten dat ontslagen of tijdelijke werknemer nog steeds toegang hebben tot het bedrijfsnetwerk. Door deze aanpak komt het beheren van user accounts dus op de tocht staan.

Ik denk dat organisaties hun auditing proces anders kunnen inrichten, waarmee ook het beheren van user accounts wordt ondersteund. Ik adviseer organisaties om als eerste stap in hun identity management beleid user accounts (automatisch) te provisionen. De logs en rapportages kunnen worden gebruik voor auditing en compliance. Twee vliegen in één klap dus! En zelf meerdere vliegen, want ook workflow management en RBAC kunnen hier eenvoudig aan toegevoegd worden. En dat betekent een completere indentity management omgeving.

Laat me weten als je meer wilt weten over dit onderwerp. Je kan me bereiken bij Tools4ever per telefoon 035 - 543 27 35 of per email tseinen@tools4ever.com.

Auto Provisioning eisen aan een HRM systeem

2009-05-28T11:26:00.001-07:00

Algelopen 26 mei heb ik een workshop gegeven op het Identity & Access Management congres van Heliview. De workshop bestond uit een casestudy van de implementatie van UMRA bij Stichting Talant. De casestudy werd kundig gepresenteerd door Geert Huiting.

Het tweede deel van de workshop bestond uit een interactieve sessie waarbij ikzelf verder in ben gegaan op verschillende aandachtsgebieden op het gebied van Identity Management. In deze blog wil ik graag 1 van de onderwerpen graag beschrijven omdat mede hiervoor veel aandacht bestond bij de deelnemers van de workshop.

Interessant aandachtsgebied was "Welke eisen gelden aan een HRM systeem voor succesvolle implementatie van een auto provisioning koppeling." Voorbeelden van Nederlandse HRM systemen zijn: Beaufort (RAET), PIMS (Centric), AFAS Profit (AFAS), Perman (ADP), PMS (LogicaCMG), Exact, etc. maar ook internationale systemen: SAP HR, PeopleSoft, etc.

Wat is een auto provisioning koppeling met een HRM systeem?
Deze koppeling zorgt ervoor dat iedere wijziging in het HRM systeem gedetecteerd wordt, en vervolgens wordt doorgevoerd in het netwerk. Bijvoorbeeld: een medewerker komt nieuw indienst van een organisatie en wordt door de afdeling PZ in het HRM systeem (bijv. Beaufort) ingevoerd. Het HRM systeem bevat NAW-gegevens van de medewerker maar ook indienstdatum, contracttype, salaris, etc. Bij de detectie door de koppeling wordt een user account aangemaakt in het netwerk zodat de nieuwe medewerker op de eerste werkdag kan inloggen, emailen, en toegang heeft tot afdelingsmappen en applicaties. Zelfde type mutaties kunnen doorgevoerd worden bij functie-, afdeling- en locatiewijzigingen. Uiteindelijk kan een account ook "ontmanteld" worden, dit heet zogenaamd: "de-provisioning".

Eisen aan een HRM systeem
Wat zijn nu de eisen aan een HRM system om auto provisioning goed te laten functioneren? Het is duidelijk dat het opzetten van auto provisioning veel voordelen biedt voor de afdeling ICT: het gehele user account beheer proces wordt nagenoeg automatisch uitgevoerd op basis van een uitermate correcte bron. De bron bevat tenslotte salarisgegevens en wordt onderhouden door de PZ afdeling die administratief goed georganiseerd zijn.

Door deze voordelen worden vaak de volgende eisen door de afdeling ICT over het hoofd gezien:

Tijdigheid
Een user account moet op de eerste werkdag van een medewerker aangemaakt en beschikbaar zijn. Dit is vaak de eerste dag van de maand. Voor een HRM systeem geldt vaak dat een medewerker "pas" wordt opgevoerd op de 15de van de maand, vlak voor de salarisrun. Indien het laatste het geval is, is het van belang dat de procedures/werkwijze op de afdeling PZ worden aangepast voordat een koppeling geïmplementeerd wordt. Wellicht ten overvloede: het aanpassen van een werkwijze op de afdeling PZ ten behoeve van een efficiëntieverbetering op de afdeling ICT leidt zeer waarschijnlijk tot weerstand op de afdeling PZ.

Volledigheid
Voor alle user accounts in het netwerk dient een contract aanwezig te zijn in het HRM systeem. Dit is heel vaak niet het geval voor uitzendkrachten en freelancers. Dit type medewerker wordt doorgaans niet in het HRM systeem opgeslagen omdat hiervoor geen wettelijke verplichting is en ook geen salarisbetaling voor gedaan hoeft te worden. Interessant detail is overigens dat deze groep van medewerkers vaak voor de meeste mutaties zorgen in het netwerk. Het komt zelden voor dat uitzendkrachten en freelancers t.b.v. de koppeling alsnog opgenomen worden in het HRM systeem. Directe noodzaak ontbreekt en doorlooptijd om een tijdelijke medewerker geregistreerd te krijgen in het HRM systeem is doorgaans veel te lang.

Ten aanzien van tijdelijke krachten moet dus een alternatief geïmplementeerd worden. Wij adviseren vaak om een elektronisch (web portaal) formulier aan te bieden aan de (assistent)managers zodat de afdelingen zelf een user account van een tijdelijke medewerker kunnen beheren.

Naast het probleem rondom de tijdelijke medewerkers speelt volledigheid van informatie in het PZ-systeem ook op het gebied van: 1) vulling BSN nummer (voorheen SOFI nummer). Het BSN nummer is noodzakelijk om een unieke identificatie te maken tussen de medewerker in het PZ-systeem en het user account in het netwerk. Het komt voor dat het BSN niet 100% aanwezig is voor alle medewerkers in het PZ-systeem. Soms is het nummer 12 ingevuld om de 11-proef te omzeilen. 2) het bijhouden van de relatie tussen medewerker :: afdeling :: manager. De relatie tussen medewerker en afdeling is vaak wel aanwezig maar de releatie tussen afdeling en manager ontbreekt nog wel eens. Met de volledig relatie medewerker :: afdeling :: manager is het mogelijk om allerlei handelingen met user accounts volledig naar de manager te automatiseren, bijvoorbeeld: melding nieuwe medewerker in dienst naar de manager, melding en afhandelen medewerker uitdienst (ontmantelen user account), informeren manager of user accounts en rechten/applicaties voor de medewerkers die op de afdeling werkzaam zijn, etc.

Correctheid
Medewerkers maken zich doorgaans minder druk om een incorrecte naamgeving op de salarisstrook dan een incorrecte naamgeving in de displaynaam van de emaillijst. Een incorrecte opgave (bijvoorbeeld meisjesnaam i.p.v. partnernaam) in de emaillijst leidt direct tot verzoek tot wijziging door de medewerker. Dit betekent dat correcte vastlegging meer van belang wordt dan strikt noodzakelijk is voor de standaard registratie in het HRM systeem. Denk hierbij aan: functienaam, afdeling, voorkeursnaamgeving, spelling van de naam., etc.

Bereidwilligheid
Door het plaatsen van een koppeling worden de eisen hoger (zie punten hierboven) aan de registratie van een medewerker in het HRM systeem. Meestal beseft de PZ afdeling dit niet direct maar een (klein) deel van de meldingen van de ICT helpdesk verplaatsen zich van de helpdesk naar de afdeling PZ. De reden van een foutief gespeld emailadres van een medewerker is niet het gevolg van een foutieve invoer door de afdeling ICT maar een foutieve invoer in het HRM systeem. Door de automatische koppeling moet de correctie doorgevoerd worden in het HRM systeem en moet de medewerker dus contact opnemen met de afdeling PZ i.p.v. de helpdesk.

Wellicht zijn deze punten stof tot overweging in het proces om een koppeling aan te brengen. Let op dat dit een algemene opsomming is en dat er veel specifieke situaties per organisatie kunnen zijn die weer anders opgelost kunnen worden.

Laat me weten als je meer wilt weten over dit onderwerp. Je kan me bereiken bij Tools4ever per telefoon 035 - 543 27 35 of per email tseinen@tools4ever.com.

Koppelingen van Tools4ever
Om een implementatie snel en kostenefficiënt te realiseren is het van belang dat de leverancier van de identity management oplossing een groot aantal out-of-the-box koppelingen beschikbaar heeft. Tools4ever is een van oorsprong Nederlands softwarebedrijf en heeft een groot aan koppelingen direct beschikbaar voor de Nederlandse markt. Zie Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo voor een overzicht van de koppelingen.

Nieuw product in de Identity and Access Management Suite: Enterprise SSO Manager

2009-05-09T14:50:00.000-07:00

Ruim 10 jaar geleden is Tools4ever begonnen in de Identity Management markt met een (auto) user provisioning oplossing. Deze oplossing was gericht op de Windows NT netwerken en werd voornamelijk voor bulk import oplossingen gebruikt bij universiteiten. 5 jaar geleden heeft Tools4ever de beslissing genomen om zich verder te specialiseren in identity management omgevingen en heeft veel resources ingezet om succesvolle oplossingen te creëren.

UMRA
Het eerst ontwikkelde product in deze lijn was UMRA. UMRA is een user account provisioning oplossing en is inmiddels uitgegroeid tot een volwaardige user account management oplossing met ondermeer de volgende onderdelen: ondersteuning van hybride netwerken (Windows, Novel, Unix, AS/400, Mainframe, etc.); auto provisioning vanuit alle gangbare PZ-systemen (Beaufort, SAP HR, PeopleSoft, PIMS, AFAS, etc); Delegatie naar de helpdesk; Self Service naar de organisatie; workflow voor het goedkeuren van user management aanvragen door het management; reporting en auditing. Met UMRA heeft Tools4ever altijd een praktische benadering gehanteerd: implementatie stap-voor-stap, gunstige TCO en een zeer korte implementatietijd van enkele dagen.

Marktleider
UMRA is in Nederland de absolute marktleider op het gebied van Identity Management. Zowel op het gebied van het leveren van standaard software als wel professional services voor de implementatie van de software. Er is geen is software partij met meer implementaties of een consultancy bedrijf met meer concrete kennis over Identity management toepassingen.

Wachtwoord Managment
3 jaar na de ontwikkeling van UMRA heeft Tools4ever verschillende wachtwoord management oplossingen uitgebracht. Voornaamste doel van deze oplossingen is om het aantal wachtwoord reset calls naar de helpdesk te reduceren en het leven van de eindgebruiker aangaande het onthouden van usernames/wachtwoorden te vereenvoudigen. Onderdelen van de wachtwoord management oplossingen zijn: self service wachtwoord reset (SSRPM); wachtwoord synchronisatie (PSM) en wachtwoord complexity management (PCM).

SSRPM
Met het toepassen van SSRPM is het mogelijk dat de eindgebruiker zelf zijn/haar wachtwoord kan resetten zonder dat hiervoor de helpdesk gebeld moet worden. Voordat de eindgebruiker zijn/haar wachtwoord kan resetten, moet eerst het juiste antwoord op een aantal persoonlijke vragen gegeven worden. Bij de meeste organisaties hebben we reducties gezien van meer dan 90% van het aantal wachtwoord reset calls naar de helpdesk.

Release van Enterprise SSO Manager (E-SSOM)
Met de release van E-SSOM wordt de strategie van Tools4ever doorgezet om steeds een completere Identity Management portfolio aan te bieden. E-SSOM is een volwaardige SSO-oplossing en hiermee is het mogelijk om ervoor te zorgen dat een eindgebruiker zich nog maar éénmaal hoeft aan te melden op het netwerk en dat vervolg logins in applicaties automatisch door E-SSOM worden afgehandeld. Naast de eenvoud voor de eindgebruiker levert dit allerlei voordelen voor de ICT afdeling op.

Op dit moment zijn verschillende pilots van E-SSOM actief. De verwachting is dat ik in de loop van volgende maand hier de eerste resultaten over kan melden.

Tools4ever op Heliview congres 26 mei 2009

2009-04-15T15:32:00.001-07:00

Tools4ever doet mee met het Identity and Access Management congres van Heliview. Het congres wordt gehouden op 26 mei te Hoevelaken. Ga voor meer informatie over het congres naar http://www.tools4ever.com/heliview.

Tools4ever verzorgt twee presentaties op het congres. De eerste wordt gegeven door KPN, tijdens deze presentatie zal Arnold Hoogerwerf van KPN uitleggen hoe de implementatie van UMRA en SSRPM bij KPN breed is uitgevoerd. Arnold zal voornamelijk ingaan op de eisen/wensen aan de Identity Management oplossing, de implementatie van UMRA, resultaten van de implementatie.

De tweede presentatie wordt gegeven door Geert Huiting van de Stichting Talant. Stichting Talant is een zorg instelling in het noorden van Nederland en is een organisatie van meer dan 6000 medewerkers. Talant werkt al geruime tijd met UMRA. 1 van de belangrijkste redenen om met een Identity Management oplossing te gaan werken was het voldoen aan eisen van de HKZ normering.

Zie website tools4ever voor meer informatie: http://www.tools4ever.com/UMRA