Architectuur /   |   8 november 2023

SaaS-applicaties: URL, Gebruikersnaam, wachtwoord en klaar?

Avatar foto Pieter van Dijk
Software as a Service (SaaS) voor bedrijfsapplicaties biedt veel voordelen. Dit artikel beschrijft een oplossing voor de toenemende complexiteit van gebruikers- en rechtenbeheer als een organisatie een of meerdere SaaS-applicaties gebruikt.

Deel 2: Beheer van gebruikers en rechten

Inleiding

In het eerste artikel uit deze serie heb ik aandachtspunten beschreven voor de architectuur van een hybride applicatielandschap met meerdere SaaS-applicaties van verschillende leveranciers, applicaties in het eigen rekencentrum (‘On Premise’) en applicaties in de ‘eigen’ cloud van de organisatie.

Het risico op ongeautoriseerde toegang neemt toe naarmate het aantal SaaS-applicaties stijgt. SaaS-applicaties blijven – in tegenstelling tot applicaties in het eigen rekencentrum van een organisatie – beschikbaar nadat medewerkers de organisatie verlaten hebben. Het belang van een betrouwbare oplossing voor beheer van gebruikers en rechten neemt toe naarmate het applicatielandschap van organisaties meer hybride wordt.

Dit artikel beschrijft een oplossing voor de toenemende complexiteit van gebruikers- en rechtenbeheer als een organisatie een of meerdere SaaS-applicaties gebruikt.

Beheer van gebruikers en rechten

Gebruikers en rechtenbeheer omvat:

  • Het beheer van de gebruikers.
  • Het beheer van gebruikersrechten (autorisaties) tot applicaties en gegevens.

Het doel is ervoor zorgen dat alleen die gebruikers die gemachtigd zijn, toegang hebben tot applicaties en de bij hun rol behorende functies en gegevens van de applicaties.

Het belang van het beheer van gebruikers- en gebruikersrechten neemt, met toenemende aandacht voor informatiebeveiliging en bescherming van privacy, verder toe.

De complexiteit stijgt:

  • Organisaties werken meer samen en medewerkers van andere organisaties toegang krijgen tot de applicaties van de organisatie.
  • Flexibilisering van de arbeidsmarkt zorgt voor meer dynamiek in het medewerkersbestand.
  • In een hybride applicatielandschap komen voorzieningen voor het beheer van gebruikers en rechten op meerdere plaatsen voor. Dit leidt tot een grote beheerinspanning, hoge kosten en risico’s voor informatiebeveiliging en privacy.

Dit vraagstuk vereist een betrouwbare oplossing.

Wat is hiervoor nodig?

1. De functies en bijbehorende taken, rollen, rechten en bevoegdheden zijn vastgelegd. In veel organisaties is dit een onderdeel van de administratieve organisatie (AO).

2. De organisatie heeft een autorisatiematrix opgesteld. Rollen en verantwoordelijkheden worden in de autorisatiematrix gekoppeld aan specifieke toegangsrechten voor applicaties en gegevens.
Het opstellen van de autorisatiematrix is onderdeel van de informatiebeveiliging.

3.De personeelsadministratie is actueel: medewerker-, organisatie-, functie- en rolgegevens zijn correct geregistreerd. Wijzigingen worden tijdig doorgevoerd zodat de personeelsadministratie op ieder moment een actuele weergave van de organisatie is. De personeelsadministratie is de bron voor de gebruikers- en autorisatie administratie.

4. Accounts voor medewerkers worden geregistreerd in de centrale gebruikersregistratie.
De gebruikersadministratie is de centrale voorziening voor:

  • De registratie van alle gebruikers.
  • Het verlenen van toegang van gebruikers tot applicaties.

5. De rechten van gebruikers uit de autorisatiematrix worden vastgelegd in de autorisatie administratie.
De autorisatie-administratie bevat de relatie tussen gebruiker, de rol (bijvoorbeeld ‘medewerker crediteurenadministratie’), de bijbehorende applicatie (‘Het financieel systeem’) en bijbehorende rol(len) in de applicatie (applicatierollen: ‘Beheer crediteuren’ en ‘Registreer facturen’).

6. De applicatierollen en applicatierechten zijn in de applicaties ingericht.
Een applicatierecht is de verzameling van functies (schermen, rapporten, etc.) en gegevens voor een applicatierol in de applicatie.

De componenten zijn weergegeven in onderstaande figuur:

Instroom, doorstroom en uitstroom van medewerkers

Instroom, doorstroom en uitstroom van medewerkers is in veel organisaties een continu proces. Wijzigingen moeten in alle applicaties, op het moment van in dienst treden, wijziging of vertrek, worden doorgevoerd. Medewerkers krijgen direct toegang tot de benodigde applicaties en gegevens en ongeautoriseerde toegang wordt voorkomen.

De registratie van instroom, doorstroom en uitstroom van medewerkers in de personeelsadministratie leidt tot:

  • Het toevoegen, wijzigen of beëindigen van gebruikers in de gebruikersadministratie (pijl 1).
  • Het toevoegen, wijzigen of beëindigen van autorisaties van gebruikers in de autorisatie administratie
    (pijl 2).
  • Wijzigingen in de autorisatie administratie leiden tot het toekennen, wijzigen of verwijderen van applicatierechten van gebruikers in de taak-applicaties (pijl 3).

Geautomatiseerde koppelingen tussen de systemen zorgen dat de wijzigingen in het medewerkersbestand uit de personeelsadministratie worden doorgevoerd in de gebruikers- en autorisatie administratie. Gebruikers en rechten worden vanuit de autorisatie administratie verspreid naar de applicaties (zowel On Premise en SaaS). Dit wordt provisioning genoemd.

Deze koppelingen kunnen op basis van de SCIM standaard gerealiseerd worden. System for Cross-domain Identity Management (SCIM) zorgt voor de geautomatiseerde uitwisseling van informatie van gebruikers tussen verschillende systemen.

Aanmelden bij een applicatie

Alle applicaties van de organisatie zijn aangesloten op de centrale gebruikersadministratie van de organisatie voor het verlenen van toegang middels Single Sign On (eventueel met multi-factor authenticatie).
Meerdere standaarden ondersteunen deze koppeling, o.a. SAML, OpenID Connect en OAUTH2.

Eisen aan applicaties

Een oplossing met geautomatiseerde koppelingen vereist dat de (SaaS) applicaties deze koppelingen ondersteunen. Aanbevolen wordt om deze koppelingen op te nemen in het programma van eisen bij de aanschaf van nieuwe applicaties en de aansluitvoorwaarden voor nieuwe SaaS-applicaties.

Conclusie

De personeelsadministratie is het fundament van de oplossing voor gebruikers en toegangsbeheer: wijzigingen worden op één plaats doorgevoerd. Wijzigingen in de personeelsadministratie worden met geautomatiseerde koppelingen doorgegeven aan de systemen voor gebruikers- en autorisatie administratie. Gebruikers en rechten worden vanuit de autorisatie applicatie verspreid naar alle applicaties van de organisatie.

De oplossing kan toegepast worden in een applicatielandschap waar alle applicaties in een eigen rekencentrum gehost worden, in een hybride applicatielandschap en in een applicatielandschap dat volledig uit SaaS-applicaties bestaat.

Een betrouwbare oplossing is prettig voor de medewerkers, bespaart een hoop werk en ergernis (als toegang niet geregeld is), bespaart kosten en is veilig: ongeautoriseerde toegang tot systemen en data wordt voorkomen.

Wordt vervolgd.

Contact
Welke stap ga jij zetten?

Sta je aan het begin van een proces van transformatie of disruptie? We verkennen graag samen met jou of onze diensten van toegevoegde waarde kunnen zijn in jouw traject. Ook als je al wat meer gevorderd bent met de transformatie of disruptie en hulp zoekt in het verder vormgeven daarvan, is zo’n verkenning zinvol. Zet vandaag de eerste stap in het realiseren van je ambities en neem contact op voor een vrijblijvende verkenning, door te bellen met 030 602 82 80 of door het contactformulier in te vullen.

Bespreek de mogelijkheden
3