In een voorgaande blog (SAP sores) zagen we dat het SAP-toegangsbeheer technisch en organisatorisch complex is en dat dit vaak niet op orde is. In een daarop volgende blog (SAP-rollen 2.0) gingen we in op het ontwerpen van SAP-rollen ter verbetering van het SAP-toegangsbeheer. Een andere manier om de toegangscontrole te verbeteren, is de implementatie van een IAM-oplossing voor alle belangrijke applicaties die een bedrijf gebruikt. Deze blog gaat over dit alternatief.

Het invoeren van IAM gaat niet alleen over het implementeren van een IAM-systeem, maar ook over het IAM-klaarmaken van gerelateerde processen en van de aangesloten systemen. Een IAM-systeem ondersteunt namelijk het toegangsbeheer van aangesloten systemen. Vaak kost dit IAM-klaar maken meer tijd dan de feitelijke invoering van het IAM-systeem zelf. Maar deze investering is wel noodzakelijk om succesvol te zijn.

Controle op toegangsbeheer

We sluiten het IAM-systeem aan op de HR-administratie zodat we in dienst, uit dienst en afdeling-gerelateerde mutaties direct kunnen verwerken. Daarnaast komt er een gebruikersvriendelijke interface zodat gebruikers op een eenvoudige manier aanvullende toegang kunnen aanvragen. De managers krijgen een goed overzicht van deze toegang en kunnen deze op een simpele manier corrigeren. Auditors kunnen controleren of dit proces op de juiste manier uitgevoerd wordt.

Zo automatiseren we het toegangsbeheer voor een groot deel op een controleerbare manier. Manuele fouten bij de IT-afdeling zijn niet meer mogelijk. We creëren businessrollen in het IAM-systeem en wijzen deze toe aan gebruikers.

Het IAM-systeem controleert alleen de bovenste laag van het toegangsbeheer. Dit is de laag waarin de meeste mutaties plaats vinden. In deze laag krijgt een medewerker een account bij de desbetreffende systemen en wordt zo lid van groepen binnen die systemen.

Goede basis

Dit betekent dat het IAM-systeem onjuistheden in de onderliggende lagen van het toegangsbeheer niet altijd kan corrigeren. Voorbeelden van onjuistheden zijn: systeemgroepen met conflicterende rechten en achterdeurtjes in systemen. Bij SAP neemt men vaak de composite rol als bovenste laag. Het IAM-systeem zorgt er dan voor dat het de juiste gebruikers aan de juiste composite rollen koppelt. In SAP zelf is het belangrijk dat je de composite rollen en de onderliggende single rollen op een goede manier inricht. De basis moet goed zijn. Als de basis niet goed is, moet men – in geval van SAP – de rollen opnieuw ontwerpen. Zie hiervoor de blog van Navaio over het herontwerpen van SAP-rollen.