Deployment Units de sleutel tot een efficiënte en succesvolle Identity & Access Management implementatie

SmartAIM splitst het implementatietraject van haar Identity & Access Management omgeving op in Deployment Units (DU’s). In deze blog leggen we uit wat dit zijn, waarom we dit doen en wat dit betekent voor klanten. “Deze werkwijze zorgt ervoor dat de implementatie gecontroleerd, gestructureerd en permanent volgens kwaliteitsstandaarden gebeurt”, licht Henny van Eck, Delivery Manager bij SmartAIM, toe.

Het vermogen om nieuwe functies snel en betrouwbaar te implementeren en te distribueren, speelt een essentiële rol bij het leveren van hoogwaardige softwareproducten. Dat geldt uiteraard ook voor software voor Identity- en Access Management (IAM). Een belangrijk instrument dat de SmartAIM Business- en Technical consultants helpt bij het bereiken van dit doel is het concept van Deployment Units.

Wat zijn Deployment Units?
Deployment Units (DU’s) zijn gestandaardiseerde en onafhankelijke blokken van functionaliteiten die afzonderlijk kunnen worden geconfigureerd, gedistribueerd en geïmplementeerd. Zo’n blok bevat alle benodigde componenten om uiteindelijk tot het juiste en gewenste resultaat van de te implementeren SmartAIM-functionaliteit te komen. Deployment Units kunnen daarom worden gebruikt om volledige implementaties uit te voeren of om nieuwe functionaliteiten toe te voegen in een bestaande omgeving. Dit stelt de betrokken projectleden in staat om de implementatie- en configuratiewerkzaamheden op te splitsen in kleinere, beheersbare eenheden. Hierdoor is het mogelijk om een volledige implementatie overzichtelijk te houden en meer gefocust uit te voeren.

Bovendien kunnen Deployment Units eenvoudig worden geïntegreerd en gedistribueerd, wat de algehele ontwikkelings- en implementatiesnelheid verhoogt. “Er zijn parallellen te trekken met Scrum en Agile, maar het is geen projectmanagementmethodiek. Het is een methodiek om onze implementaties te doen, die zowel past bij een PRINCE2- als Agile-aanpak”, legt Henny uit.

Vaste implementatieblokken
Zodra een klant heeft gekozen voor SmartAIM Authorisation Management Suite voor geautomatiseerd toegangsbeheer voor software en systemen wordt er een plan van aanpak opgesteld voor de uitrol. Het traject wordt opgedeeld in een aantal vaste implementatieblokken. Henny benadrukt dat de verdeling niet alleen is gebaseerd op de technologie, maar vooral ook op business en functionele raakvlakken. “Zo’n implementatie is niet alleen een IT-feestje, het start met oog hebben voor de mensen en de beleid- en proceskant. Wij kunnen klanten helpen met een optimale voorbereiding en begeleiding op alle vlakken.”

In totaal gaat het om elf blokken, maar niet elke klant zal die alle elf doorlopen, omdat je kunt kiezen voor de volledige suite, maar ook voor slechts enkele modules. Henny: “De meeste klanten beginnen met vijf of zes blokken. Het voordeel van onze Deployment Units-aanpak is dat je later eenvoudig nieuwe blokken kunt toevoegen op het moment dat die gewenst zijn binnen jouw organisatie.” 

Twee fundamenten
Bij een SmartAIM-implementatie zijn er doorgaans twee fundamenten om mee te starten. Het eerste fundament is de Audit Box met daarin vier Deployment Units: Initiatie, Installatie, het uitlezen van de bronnen (doorgaans het HR-systeem en de Active Directory (AD) met daarbij soms nog een derde doelsysteem) en de eerste matching van de gegevens. “Dit is de IST-situatie. Hier zijn we alleen nog maar aan het uitlezen. We matchen de HR-gegevens met de AD-gegevens en eventueel nog met gegevens uit een ander doelsysteem, bijvoorbeeld met behulp van een HiX-koppeling.”

Alle stappen die hierboven zijn genoemd kunnen doorgaans binnen acht dagen gerealiseerd worden. Dit geeft inzicht in potentiële veiligheidsincidenten. In het tweede fundament wordt er verder gebouwd op de Audit Box en dan kom je aan bij de schrijffase. “Vanaf hier werken we aan de SOLL – de gewenste situatie.” In deze fase – ook wel Lifecycle Configuration genoemd worden de parameters in SmartAIM gezet, ga je schrijven in de doelsystemen, de zogenaamde Provisioining-koppelingen configureren. “Het laatste element van het tweede fundament is training, waarbij we klanten leren hoe ze SmartAIM moeten beheren. Wat doe je als er een fout staat in het HR-systeem of als er een account verkeerd is aangemaakt? Wie benader je hiervoor in de IAM-keten en hoe los je dit op de juiste manier gezamenlijk op?

Mogelijke vervolgstappen
Als het fundament ligt, kan er gekozen worden voor diverse vervolgstappen. De eerste optie is meestal Work Order Provisioning, voor niet direct gekoppelde systemen. Henny: “Soms is het handig om naast de al gekoppelde kernsystemen en de Active Directory ook andere systemen te koppelen met de SmartAIM-omgeving, om de toegang tot applicaties en hun IAM-structuur eenvoudig, veilig en snel te regelen. Dit kan bijvoorbeeld gaan om applicaties die relatief weinig gebruikers tellen, of die om diverse redenen niet gekoppeld mogen worden, waardoor er geen business case is voor ‘full blown’ automatische koppelingen met technologische hoogstandjes. Of het gaat om systemen die niet automatisch kunnen worden gekoppeld, omdat er bijvoorbeeld geen Application Programming Interface (API) is.”

Een andere Deployment Unit is Authorization and Role Management, waarbij de klant wordt ondersteund bij het opstellen en inlezen van een rollen- en rechtenmatrix voor Role Based Access Control (RBAC)- of Attribute Based Access Control (ABAC)-functionaliteiten. [ES1] Een andere vervolgstap is Self-service Configuration, waarbij managers en eindgebruikers zelf rollen- en rechtenmutaties kunnen aanvragen via SmartAIM. Vervolgens komt Attestatie, waarmee kan worden aangetoond dat autorisaties op orde zijn, voor de organisatie zelf én voor de buitenwereld. Verder zijn er nog Identity Registration, waarbij ook de toegang voor externen veilig kan worden geregeld via SmartAIM en Password Manager, waarmee medewerkers zelf snel, simpel en veilig hun wachtwoord kunnen terughalen of een nieuw wachtwoord kunnen instellen.

Zelfde workflow
SmartAIM voert iedere Deployment Unit uit volgens eenzelfde workflow, met iedere keer dezelfde stappen:

  1. Initiatie
    De implementatieconsultant spreekt vooraf met de klant door wat er technisch geregeld moet worden en brengt de functionele vraagstukken in kaart. Waar moeten we qua beleid en proces rekening mee houden? Welke mensen moeten er worden ingeschakeld? Et cetera.
  2. Gezamenlijk ontwerp
    Vervolgens zet de implementatieconsultant samen met de klant per Deployment Unit het ontwerp op. “Bij de ene DU is dat meer werk dan bij de ander. Voor training hebben we bijvoorbeeld standaard iets op de plank liggen, bij andere DU’s komt er echt maatwerk bij kijken.”
  3. Realisatie van het ontwerp
    Als de klant het ontwerp uit stap 2 heeft geaccepteerd gaat de implementatieconsultant over tot het daadwerkelijk neerzetten van de gewenste oplossing met het ontwerp als basis.
  4. Testen
    Als de oplossing is neergezet en het ontwerp af is wordt het gecontroleerd. De technische testen worden doorgaans uitgevoerd door de implementatieconsultant, de functionele testen, ook wel ketentesten, worden vaak samen met de klant gedaan. Als alles is getest en als correct is beoordeeld, volgt acceptatie en is het tijd voor de laatste stap:
  5. Livegang
    Dit is de laatste stap, waarna de Deployment Unit succesvol is afgerond en wordt overgedragen aan de klant. Als er nog andere Deployment Units zijn kan hier volgens hetzelfde stappenplan mee worden begonnen, net zo lang totdat alle DU’s zijn geïmplementeerd.


Voordelen van Deployment Units
Misschien wel het belangrijkste voordeel van DU’s is de modulariteit. Elke DU vertegenwoordigt een specifieke functionaliteit, wat het toevoegen, verrijken of aanpassen van functies vergemakkelijkt. Een ander belangrijk voordeel is een snellere en efficiëntere implementatie: Na afronding van een DU gaan we door naar de volgende. Zo kan een DU klein worden gehouden en kunnen de juiste resources op het juiste moment worden benaderd. Dit verkort de implementatietijd. Verder kunnen mutaties voor de SmartAIM-omgeving zo gericht worden toegepast op specifieke onderdelen van de applicatie. Dit verhoogt de stabiliteit van het systeem en vereenvoudigt het onderhoudsproces, omdat problemen snel geïdentificeerd en geïsoleerd kunnen worden binnen de afzonderlijke DU’s.

“Omdat bovendien alles nauwkeurig wordt gedocumenteerd tijdens de workflow-stappen Ontwerp, Testen en Livegang weet de klant zeker dat hij krijgt wat hij wil en verklein je de kans op onduidelijkheden en discussies. Auditors zijn ook blij met deze werkwijze, omdat de kwaliteitsbeheersing en navolgbaarheid enorm verbeterd omdat we ook documenteren aan welke randvoorwaarden er moet worden voldaan”, vult Henny aan.

Conclusie
Deployment Units zijn een krachtig instrument om de SmartAIM IAM-omgeving op een modulaire en efficiënte manier te configureren, implementeren en onderhouden. Door het gebruik van DU’s kunnen consultants in nauw overleg met de klant nieuwe functies sneller implementeren, de stabiliteit verbeteren en gemakkelijker mutaties uitvoeren. Voor klanten betekent dit een gecontroleerde, gestructureerde en kwalitatief hoogwaardige implementatie van software voor Identity & Access Management.

Meer weten over de Deployment Units-aanpak van SmartAIM? Neem contact met ons op!