IAM in control heeft een middelgrote gemeente inzicht gegeven en geholpen controle te krijgen op het gebied van Identity & Access Management. De gemeente weet nu precies welke medewerkers toegang hebben tot welke systemen en waarom. Hoe? Met behulp van role mining en de implementatie van softwarepakket SmartAIM voert de gemeente de regie over haar identiteits- en autorisatiemanagement.

In 2021 klopte de gemeente aan bij IAM in control. De gemeente met meer dan 150.000 inwoners wilde inzicht hebben in hoeverre zij ‘in control’ zijn wat betreft Identity en Acces Management (IAM). Zij wilden inzicht in de huidige situatie van hun autorisatiemanagement en dit vergelijken met de gewenste situatie. “We hebben een bedrijfsscan, oftewel een GAP analyse, uitgevoerd op verschillende niveaus en de mate van regie van deze gemeente in kaart gebracht. Uit deze GAP-analyse is een advies gekomen over wat de gemeente moest doen om minimaal low level in control te komen op het gebied van IAM”, vertelt Martijn Verhagen, IAM-consultant bij IAM in control.

Vervolgens heeft IAM in control de gemeente geadviseerd over de implementatie van het door hen gekozen IAM softwarepakket SmartAIM. SmartAIM bleek een goede match met de gemeente, vanwege de omvang en het aantal applicaties dat er draait. IAM in control heeft zo’n 300 applicaties in kaart gebracht, waarvan er voor 250 door IAM in control autorisaties zijn aangemaakt om toe te kunnen wijzen aan medewekers en via SmartAIM lopen. De toegangsrechten van de overige 50 applicaties, die hoofdzakelijk in de business zitten, worden nog door de gemeente zelf geregeld. “Het is wenselijk om die straks ook via SmartAIM te laten verlopen, want dan heb je er als business geen omkijken meer naar.” aldus de gemeente.

De rol van Role mining
Naast advisering heeft IAM in control de betreffende gemeente ook geholpen met de uitwerking van het implementatietraject. Zo heeft Martijn zich gestort op het onderdeel role mining. IAM in control heeft een eigen role mining methode ontwikkeld om autorisaties en rollen in kaart te brengen. “We confronteren de organisatie en laten ze eigenaarschap voelen. Data is van de business dus autorisaties liggen niet alleen op het bordje van ICT, iedereen gaat zelf over zijn of haar eigen informatie en wie erbij kan”.

Deze methode wordt ondersteund met eigen role mining tooling van IAM in control. Martijn geeft aan dat je idealiter geen autorisaties individueel toekent maar op basis van Role Based Access Control (RBAC) of Attribute Based Access Control (ABAC). In het geval van deze gemeente hebben we gekozen voor RBAC. Dit houdt in dat medewerkers autorisaties toegewezen krijgen op basis van rollen. Zo kun je eenvoudig en doelgericht autorisaties aanvragen of toewijzen en deze ook efficiënt beheren. Door dit proces zorg je ervoor dat de organisatie regie krijgt op toegang.

Geautomatiseerde toegang

De wens van de gemeente was om zo veel mogelijk geautomatiseerd toegang te hebben. Daarom zijn er specifieke keuzes gemaakt in het rollenmodel. Rol- en applicatie-eigenaren hebben hier een belangrijke rol in gespeeld. Naast deze betrokkenen is ook informatie opgehaald bij het teammanagement en een interne deskundige op het gebied van autorisaties. Daarnaast is er vanuit de gemeente een ketenregisseur aangewezen die nauw samenwerkte met Martijn en de grote lijnen bewaakte.

Tijdens workshops is het rollenvoorstel per organisatieonderdeel opgesteld en gefinetuned. Na afronding is over het algemeen het rollenmodel voor 80/90% gereed. Als de rollen voldoen aan de voorgestelde kwaliteitsstandaarden, kan het model van de role miningtool naar het IAM-systeem in productie worden gebracht.

Volledig ingericht
SmartAIM draait inmiddels volledig en is ingericht met alle rechten van de doelsystemen die Martijn heeft aangeleverd. De IAM-beheerder van de gemeente koppelt alle doelsystemen in SmartAIM en er worden flows aangemaakt voor bijvoorbeeld het koppelen van rechten aan een medewerker op basis van een Topdeskticket. De gemeente heeft meer zicht gekregen op de toegangssituatie. Medewerkers zijn aan de hand meegenomen in het proces en hebben de juiste training gekregen in het gebruik van de applicatie.

Efficiency, veiligheid en kostenbesparingen
Autorisatieverzoeken lopen via het IAM-pakket en niet meer buitenom. Hierdoor gaan medewerkers efficiënter werken, omdat ze direct beschikken over alle systemen die zij dagelijks nodig hebben om hun werk goed uit te kunnen voeren. Dat geldt ook voor nieuwe medewerkers of medewerkers die wisselen van functie. Gebruikersaccounts van medewerkers worden geautomatiseerd geblokkeerd zodra ze uit dienst gaan. Er wordt veiliger samengewerkt en mogelijke risico’s worden beperkt.

“We kijken met een tevreden gevoel en mooi resultaat op dit project terug”, geeft Martijn aan. “Niet alleen heeft deze gemeente de regie weer terug over IAM, ook was het interessant om hen te begeleiden bij de andere manier van werken. Want, wil het project slagen, is het belangrijk dat het nieuwe beleid ook beleefd en doorleefd moet worden door een organisatie”.