Lijkt me niet helemaal correct.

Het zou niet zo moeilijk moeten zijn om een procedure te verzinnen waarbij er bijvoorbeeld een notitie in het personeelsdossier gestopt wordt met naast "sleutels inleveren" een instructie "deze accounts uitzetten". Een kwestie van organiseren en dus nagedacht hebben over hoe zoiets in z'n werk gaat. Dat er vaak gewoon in het geheel niet nagedacht wordt over zulke zaken betekent inderdaad dat er op alle fronten steken worden laten vallen, echt niet alleen op ITgebied.

Je zou zelfs kunnen zeggen, waarom komt "HR" niet even langs bij IT om hierover te babbelen? Want aan de ene kant is het aan de informatietechniekafdeling om diensten te leveren en ze niet te leveren aan diegenen die er niet (meer) bij moeten, aan de andere kant is het de taak van de personeelsafdeling om niet alleen mensen netjes aan te nemen, maar ook ze ook weer netjes te laten gaan. En het is personeel, niet automatisering, die weet wie er wel en wie er niet in dienst is.

Persoonlijk heb ik wel eens bij weggaan al mijn eigen administratietoegang opgeheven, gewoon omdat ik geen zin had in beschuldigingen later, en het anders niet of nauwlijks zou gebeuren. Ik had al bedacht dat ik behoorlijke schade kon aanrichten, maar ook al besloten dat niet te gaan doen. Ik was uiteindelijk toch net niet bereid mijn withete woede in langlopende ellende om te zetten. Heeft dat bedrijf toch mooi gezwijnd, hoe hard ze het ook verdienden om in de grond te zakken.

Ik vind het eerder schokkend dat ruim 13% bij een oude werkgever probeert in te loggen. Dat zegt namelijk meer over de ex-werknemers dan over de ex-werkgever.

Dat klopt. Wat er vaak meespeelt is dat er helemaal geen gecentraliseerd accountbeheer is.
Allerhande systemen hebben hun eigen accounts, en de beheerder ervan is (op z'n best) de IT afdeling die over dat systeem gaat, of de applicatie beheerder.
Het kan heel goed dus zijn dat toegang tot een boekhoudsysteem gegeven wordt door iemand van de afdeling finance die applicatie- of functioneel beheerder is.
De IT afdeling heeft die applicatie kennis meestal niet, en is dan (slechts) systeem of platformbeheerder.

VPN accounts worden dan beheerd door het netwerk of firewall team, bijvoorbeeld.

"IT" heeft dan zelf niet eens een centraal loket voor accounts, en degene die meestal aangesproken wordt doet alleen desktop (KA) toegang.
Het aanvragen van toegang gaat dan als iemand het nodig heeft, met een mailtje van diens afdelingsmanager naar het contact daarvoor.
Dat contact controleert eventueel wel of iemand in dienst is (op basis van 'staat in het adresboek' en zeker als er al meer mensen van dezelfde manager toegang hebben loopt dat wel ).
Maar het verwijderen als iemand van functie verandert, of uit dienst gaat is feitelijk niemands probleem.

Er is dan uberhaupt geen centrale ingang voor aanvraag, of voor blokkering, en niemand of vrijwel niemand heeft een totaal overzicht van welke losstaande authenticatie systemen er zijn.
Ook 'IT' niet.

Onwenselijk, maar gewoon op veel plekken realiteit. Single Sign-On is helaas ook niet altijd mogelijk.

Zolang er iemand de personeelsdossiers bijhoudt waarbij iedere toegangsaanvraag resulteert in een notitie in het dossier "heeft deze toegang" heb je de noodzakelijke functionaliteit ook. Immers, zodra iemand vertrekt kan dan de afhandelaar bij de personeelsafdeling alle (applicatie)beheerders op het lijstje vertellen dat dit-en-dit account moet ophouden met functioneren.

Dit is mensenwerk. Je kan dat prima automatiseren met een stukje technologie, maar dat is geen noodzaak. Sterker, als je die toegangopheftaken en bijbehorend -beleid niet gedefinieerd hebt dan zal ook een SSOoplossing zulke mooi gecentraliseerde toegangsverlening bij vertrek van de werknemer niet opheffen.

Waarmee je weer terug bent bij af: De toegang wordt wel verleend maar niet weer opgeheven. Er is dus niet (voldoende) over nagedacht, ook niet bij "gewoon" een SSOoplossing naarbinnen schuiven.

Welkom Identity & Access Management....

Het is inderdaad mensenwerk, en inderdaad kun je in principe een hoop techniek ook met papier doen , maar het is ook erg menselijk dat dingen die omslachtig zijn, en niet strikt noodzakelijk vergeten of nagelaten worden.

Noodzakelijk is niet het abstracte begrip wat in het praatje van de directeur genoemd wordt, maar wat iemand _nodig_ heeft voor z'n werk.

HR heeft niet als kerntaak het bijhouden van toegangscontrole. De mensen met affiniteit voor HR werk hebben daar typisch weinig voeling mee.
En als er maar een beetje churn is wordt een papieren systemen gewoon hinderlijk, zowel voor HR als voor degenen die erop moeten aan/af melden.

Afgezien van een wat abstracte bedrijfskeuze is feitelijk 'iedereen' in zo'n model het erover eens dat het een onding is wat je best kunt negeren als het zo uitkomt.
Ingebouw falen dus.

Wil je een kans hebben dat iets serieus gebruikt wordt, moet je het makkelijk genoeg bruikbaar maken, feitelijk _beter_ bruikbaar dan wanneer je het zou negeren .
Uiteindelijk is ook automatiseren om het _werk_ makkelijker te maken, niet een doel op zich.

Ik zie wel dat ik me een beetje in de term vergist heb - Single SignOn op zich is niet noodzakelijk (wel handig), maar vooral een centraal authenticatie/authorizatie systeem .
Dat kan een bepaalde koppeling hebben met HR systemen, hoewel die toch een andere scope hebben .
Verder zijn er altijd wel wat uitzondering qua toegang. (externe support partijen, soms ook inhuurpersoneel ) die niet in een HR systeem staan maar toch toegang nodig hebben.

Maar goed, een regelmatige validatie tussen HR en de accounts van eigen personeel, en een centrale plek waarbij 'uit dienst' meteen opgeschoond kan worden zijn al voldoende voor het doel.



Ook als je wilt beginnen met een heel simpele policy - 'uit dienst, toegang dicht' moet je een voldoende goed operationeel proces hebben om ook zo te werken.
Anders blijft het een papieren wens. Daarmee kun je dan wel iemand de schuld geven als het is misgegaan (want er was een regel voor, die door iedereen genegeerd werd ) maar ondertussen is het wel mis.

Als je een technische oplossing kunt bieden waarbij het _zonder_ die oplossing doen alleen maar onhandiger is dan het doen met heb je het wel goed aangepakt.

Een van de problemen is dat veel servers/software eigen 'service-accounts' hebben, welke veel-te-veel rechten hebben voor waar ze uiteindelijk voor bedoeld zijn.

Als iemand uit dienst gaat, ga je niet 'even' alle andere wachtwoorden wijzigen...

Of weten jullie, als IT'ers, echt alleen maar het wachtwoord van je eigen persoonlijke account?

Of dat mensen gewoon niet doorhebben dat iets eigenlijk wel noodzakelijk is en dus gedaan moet worden. Electronische toegang opheffen is vergelijkbaar met fysieke sleutels terugvragen. Waar pure electronische toegang opheffen danwel niet gebeurt om het object (OTP-fob, patentsleutel) terug te krijgen, is het wellicht handig je te herinneren dat dat niet de enige reden is dat je sleutels terugvraagt.


Dat is te nauw. Je kan op die redenering namelijk verbieden dat er ook maar enige toegangscontrole geheven wordt, fysiek danwel electronisch, alle sloten verwijderen en de deuren permanent open, want niet strikt noodzakelijk om je werk te doen en het zit maar in de weg enzo.


Dat is geen excuus, helaas. De personeelsafdeling is er voor aannemen en afvloeien van, jawel, personeel. Daar hoort het bijhouden van een hoop papierwerk bij. Dan is het toevoegen van een lijstje "deze toegangsbeheerders verwittigen de toegang van dit ex-personeelslid op te heffen" aan het betreffende takenlijstje een stuk minder werk dan er een hele parallele infrastructuur voor op te zetten. Zie het als een formaliteit en het past ineens prima in waar die afdeling voor bestaat.


Dat is een probleem dat toch al binnen "HR" bestaat, tot op het punt dat er bedrijven schermen met het niet hebben van zo'n afdeling. Kwestie van de hele formaliteitenmolen netjes opzetten, en goed kiezen wat en waarom je administreert, ongeacht of je dat nou met papier of geheel elektronies doet.

Het ging me dan ook om het opzetten van een goeddoordacht beleidssysteem, onafhankelijk van wat voor techniek je daarvoor gebruikt. Leg je daar niet de nadruk op dan roept er weer zo'n ITert "ohjaikweethet, SSO!", wat dan vervolgens toch weer op de bek gaat. Als niet jij dan iemand anders, want dat is de ITert eigen. Laat ik het nog eens zeggen: Het kan zowel in papier als digitaal en of dat goed of slecht uitpakt blijkt onafhankelijk van die keuze. Je doel is dat het goed uitpakt, niet het merk van je SSO-oplossing.


Dan stop je ze alsnog in je HRsysteem maar dan niet als eigen personeel. Er moeten nog steeds contracten en contacten beheerd worden; dat is een taak van HR.

Dat, of je moet een hele aparte toegangbeheerafdeling opzetten die vervolgens nauw met HR samenwerkt. Gebeurt zoiets niet dan blijkt zulke toegangstoekenning "in de ruimte" te gebeuren, waarbij er alweer geen beleidsautomatisch haakje te bekennen is die de toegang ook weer dichtzet.


Punt was nou net dat er beleid achter moet zitten, waarbij duidelijk iemand de verantwoordelijkheid gegeven wordt om het uit te voeren. Daar ging het me om. Hoe en waar je dat inpast komt daarna, maar is ook best belangrijk in dezelfde zin dat regels en wetten maken geen zin heeft als niemand zich eraan houdt; je moet dus regels maken waar mensen zich niet alleen aan willen houden maar dat ook makkelijk genoeg kunnen. Wat dat betreft zijn we het wel eens, geloof ik.

Laat het duidelijk zijn dat in vele bedrijven (en elders, onder andere alle(!) lagen van de overheid) een of meerdere daarvan of wellicht dat allemaal toch niet helemaal lekker op orde is.

Dus bescherm je jezelf daartegen met bijvoorbeeld een bastionmachine.


Je hebt als ITer eigenlijk twee accounts nodig: Eentje voor je "super" werk (ook als je alles per sudo doet), en eentje voor alles wat je zonder extra rechten kan doen. Al was het alleen maar om mee te maken wat normale gebruikers ook meemaken, maar ook uit veiligheidsoverwegingen is het beter. In het ideale geval heeft iedere beheerder een "super"account dat overal werkt waar het moet werken en simpel in z'n geheel terug te trekken is.

Dat de wereld dan vervolgens verre van ideaal is, en ook nog op de meest diverse wijze, dat was onderhand wel duidelijk. Maar in een netjes opgebouwde ITwinkel kan je best een eind komen tegenwoordig.