Hoe versla je het role based access control monster
-
Upload
tools4ever-nl -
Category
Documents
-
view
374 -
download
1
Transcript of Hoe versla je het role based access control monster
![Page 1: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/1.jpg)
Pizzasessie: ‘Hoe versla je het RBAC monster?’
![Page 2: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/2.jpg)
User account life-cycle
• Instroom– Autorisaties voor de eerste keer uitdelen– Hoge impact op productiviteit
• Doorstroom– Extra autorisaties uitdelen– Overbodige autorisaties ontnemen? Hoe?– Gemiddelde impact op productiviteit
• Uitstroom– Lage impact, lage prioriteit
2
![Page 3: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/3.jpg)
Instroom
• Registratie bij HRM leidend en tijdig?• Functies en afdeling gestroomlijnd?• Wat heeft een nieuwe medewerker nodig?
• “Copy user syndroom”• “Daar hebben we formulieren voor”• “We willen wel iets met rollen”
3
![Page 4: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/4.jpg)
Doorstroom
• Nieuwe autorisaties uitdelen, zelfde problematiek als bij instroom
• Overbodige autorisaties intrekken, welke zijn dit dan?
• “Grace-period” waarin zowel oude als nieuwe autorisaties blijven gelden
• Wanneer ga je de autorisaties uitdelen?• Welke rol speelt een leidinggevende
hierin?
4
![Page 5: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/5.jpg)
RBAC
• Wikipedia:“Role based access control (RBAC) is een methode waarmee op een effectieve en efficiënte wijze toegangscontrole voor informatiesystemen kan worden ingericht.”
• Grofweg:“Een kapstok om autorisaties aan op te hangen.”
5
![Page 6: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/6.jpg)
Visie over RBAC
• HRM heeft een belangrijk aandeel in de vorming van een RBAC-model
• Je wilt naar RBAC toe gaan met minimale impact voor gebruikers
• RBAC is geen statisch model• Geen 100% vulling van het model• Slimme vulling, bijvoorbeeld door te
“stapelen”• Wijziging in de rol betekent wijziging in de
leden6
![Page 7: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/7.jpg)
Wat moet je niet doen?
• 1+ jaar onderzoek doen wie precies wat nodig heeft
• Tijd besteden aan rollen met een lage bezetting
• Een RBAC model direct 100% “schoon” willen aanbieden
• De organisatie er buiten houden, het is geen 100% technische aangelegenheid
7
![Page 8: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/8.jpg)
Wat kun je wel doen?
• Je werkt vandaag de dag al met gevulde informatiesystemen, waarom die situatie niet als uitgangspunt nemen?
• Slim kijken naar de “top”• Besteed geen tijd aan uitzonderingen• Hanteer de 80/20 regel• Hang de “rollen” op aan het HRM systeem
8
![Page 9: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/9.jpg)
Eerste aanpak
• Kijk naar je bestaande informatiesystemen, focus op Active Directory
• Wat zijn de “meest uitgedeelde” autorisaties?
• Kun je hier een “default” rol voor maken die voor iedereen gaat gelden?
• Hoe groter de “default” rol, hoe kleiner de andere rollen
9
![Page 10: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/10.jpg)
10
![Page 11: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/11.jpg)
HRM analyse (1)
• Welke functies en/of kostenplaatsen hebben de grootste bezetting?
• Is de beschikbare informatie uit HRM kwalitatief goed genoeg?
• Wordt de koppeling tussen functie/kostenplaats en de medewerker “tijdig” bijgehouden?
• Is deze informatie al voldoende specifiek?
11
![Page 12: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/12.jpg)
12
![Page 13: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/13.jpg)
HRM analyse (2)
• Welke combinatie van HRM gegevens is specifiek als input voor een rol?
• Kostenplaats + functie is vaak een goed uitgangspunt als “organisatie-rol”
• Pak alleen de organisatie-rollen zodat je 80% van je actieve personeelsbestand dekt
13
![Page 14: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/14.jpg)
Role mining (1)
• De juiste combinatie voor de organisatie-rol is gevonden!
• Alle data van informatiesystemen inladen in een centrale data store
• Hoeveel medewerkers hebben we per organisatie-rol?
• Welke bezettingsgraad van autorisaties vinden we per organisatie-rol?
• Grote hoeveelheid informatie, slimme filtering
14
![Page 15: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/15.jpg)
Role mining (2)
• Lijsten moeten korter en beter leesbaar• Weglaten autorisaties die al “default” zijn• >80%: hoge bezetting; onderdeel van de
rol• <80%: lage bezetting; uitzonderingen• <1 persoon in de organisatie-rol; geen
prio• <1 autorisatie-bezetting; geen prio
15
![Page 16: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/16.jpg)
16
![Page 17: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/17.jpg)
Vulling van RBAC matrix
• Resultaten van de role mining importeren; autorisatie-rollen
• Rollen versleutelen met coderingen uit HRM, bijvoorbeeld functiecode + kostenplaatscode; zorgt voor de link tussen organisatie-rol en autorisatie-rol
• Eigenaar toewijzen van de rol, kostendrager van de kostenplaats?
17
![Page 18: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/18.jpg)
Instroom (RBAC)
• Medewerker wordt in HRM ingeschreven• Medewerker krijgt een functie +
kostenplaats toegewezen• Provisioning wordt uitgevoerd, Active
Directory account wordt aangemaakt• RBAC matrix wordt ondervraagd op
functiecode en kostenplaatscode; resultaat zijn de “default” en overeenkomstige autorisatie-rollen
• RBAC provisioning voert autorisaties door18
![Page 19: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/19.jpg)
19
![Page 20: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/20.jpg)
20
![Page 21: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/21.jpg)
21
![Page 22: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/22.jpg)
Doorstroom (RBAC)
• Nieuwe functie/kostenplaats is geregistreerd voordat dit ook werkelijk in zal gaan
• RBAC provisioning ziet de wijziging en kent de nieuwe autorisaties toe
• RBAC provisioning ziet ook de autorisaties behorende bij de oude “organisatie-rol” en ontneemt deze
• Eventueel kan een grace-period worden toegestaan
22
![Page 23: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/23.jpg)
Onderhoud
• Betrek zoveel mogelijk de organisatie; koppel rollen aan een eigenaar
• Self-service naar leidinggevenden of security-officer om autorisatie-rollen te beheren
• Updates bij wijzigingen in HRM; nieuwe functies en kostenplaatsen moeten worden verwerkt
23
![Page 24: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/24.jpg)
Extra voordelen RBAC
• Je kunt rapportages maken die tonen wie extra rechten heeft naast de rol
• Je kunt full auto-provisioning toepassen, geen interactie meer bij instroom van medewerkers
• Grote kans op lagere licentie-kosten• Je kunt rollen tijdsgebonden maken• Je kunt conflicten tussen rollen aanleggen• Je kunt risico-volle autorisaties via een
extra goedkeuring laten lopen24
![Page 25: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/25.jpg)
25
![Page 26: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/26.jpg)
26
![Page 27: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/27.jpg)
27
![Page 28: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/28.jpg)
28
![Page 29: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/29.jpg)
29
![Page 30: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/30.jpg)
30
![Page 31: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/31.jpg)
31
![Page 32: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/32.jpg)
32
![Page 33: Hoe versla je het role based access control monster](https://reader038.fdocument.pub/reader038/viewer/2022103115/55759fd3d8b42aff598b4b9f/html5/thumbnails/33.jpg)
33