Implementatie autorisaties

Een autorisatiebeleid inclusief procedures zorgt op papier voor betrouwbare en beheersbare informatiesystemen met transparante en controleerbare autorisaties. Vervolgens moet je dit in de praktijk brengen én in stand houden.

Klantvraag:
Toekenning van autorisaties inrichten in overeenstemming met het beleid. Procedures implementeren die borgen dat dit zo blijft. Met speciale aandacht voor externe (SaaS) applicaties.

Onze aanpak

Dit implementatietraject is voor woningcorporatie Welbions fase 2 van het autorisatieproject. In fase 1 zijn beleid, procedures en een autorisatiematrix als startpunt opgeleverd. Dezelfde projectleider van ITwoon was wederom een dag per week op locatie in Hengelo voor dit project. Een projectgroep met afvaardiging vanuit Control, HRM, leidinggevenden en I&A werkte samen aan de implementatie. Er was veel aandacht voor communicatie via intranet en e-mail of via toelichting tijdens bijvoorbeeld teamleidersoverleg.

Geleverde diensten

Applicatie Consultancy
Projectmanagement

Active Directory

In het beleid is vastgesteld dat autorisaties nooit rechtstreeks aan personen worden toegekend, maar alleen vanuit profielen die verduidelijken waarom iemand bepaalde rechten heeft. Tevens garandeert dit dat collega’s met dezelfde functie ook over een identieke set rechten beschikken.

Binnen het primaire systeem waren al zulke profielen voor de autorisaties ingericht. Vanuit de in fase 1 opgestelde autorisatiematrix zijn deze met gelijke namen ook in de Active Directory (AD) aangemaakt en ingericht, volgens het Role-Based Access Control mechanisme. Naast functieprofielen met rechten voor dagelijkse lijntaken creëerden we extra profielen voor bijzondere taken buiten de reguliere werkzaamheden. Gebruik van applicaties, toegang tot mappen op netwerkschijven, gedeelde mailboxen; alle typen rechten worden vanuit deze profielen toegekend.

Een specialist van Previder ondersteunde de basisinrichting in de AD en ontwikkelde scripts voor de migratie. Bijvoorbeeld een export van de autorisaties per gebruiker vóór de migratie en om in bulk de rechtstreeks toegekende rechten te verwijderen.

We kozen voor een gefaseerde livegang. In eerste instantie werd per profiel, in overleg met de teams, één medewerker op de nieuwe manier geautoriseerd. Op deze dag werden enkele problemen weggewerkt, waarna twee weken later de rest van organisatie soepel over ging. Externe gebruikers volgden weer op een later moment.

Procedures in TOPdesk

Voor de afdeling I&A was dit project mede aanleiding om de module Wijzigingsbeheer in TOPdesk in gebruik te nemen. Een van de I&A-medewerkers binnen de projectgroep coördineerde dit onderdeel. Een consultant van TOPdesk hielp bij de eerste inrichting.

Aan de self service kant garanderen formulieren een duidelijke en volledige aanvraag voor bijvoorbeeld een functiewijziging. Aan de behandelaarskant zorgt een werkstroom dat de aanvraag langs de juiste functionarissen gaat. Behandelaars krijgen de uit te voeren acties gepresenteerd. Akkoord van leidinggevende en/of Control wordt vastgelegd. Zo zijn de procedures ingebed in de werkwijze van de organisatie en blijft de gewenste inrichting van autorisaties in stand. Tot slot activeerden en configureerden we security logging in de AD tbv auditing. Zo is elke wijziging te achterhalen, ook als deze onverhoopt niet (volledig) in TOPdesk is vastgelegd.

Externe applicaties

Steeds meer software wordt als SaaS-oplossing aangeboden. Corporaties communiceren via diverse (social) media. En door bijvoorbeeld ketensamenwerking zijn gegevens van huurders, woningzoekenden of medewerkers via portalen op websites van partners te benaderen. Medewerkers hebben vaak eigen accounts voor deze diensten waarmee zij ook buiten kantoor kunnen inloggen. Dit vraag speciale aandacht binnen autorisatieprocedures. Anders loop je het risico dat oud-medewerkers toegang houden en bijvoorbeeld klantgegevens gebruiken of op social media berichten verspreiden namens de corporatie.

Welbions besloot I&A de volledige regie op accountmutaties te geven en zoveel mogelijk ook de daadwerkelijke uitvoering. Door onder andere interviews met key users is een overzicht vastgesteld en de uitvoerende bepaald. Specifieke inrichting in TOPdesk en de AD zorgt dat de medewerker Servicedesk die de mutatie uitvoert, weet bij welke externe applicaties en websites actie vereist is. Zo zijn deze gegarandeerd onderdeel van de procedure.

Het resultaat

Autorisaties voor alle bevoegde personen zijn toegekend vanuit profielen, zowel in het primaire systeem als in de Active Directory. Autorisatieprocedures beginnen met een formulier in TOPdesk. Inrichting borgt dat de aanvraag langs de juiste functionarissen loopt. Ook voor externe applicaties en inclusief vastlegging van onder andere akkoorden.

Wij werken regelmatig samen met