De 8 pijlers voor het bepalen van jouw Identity Governance strategie

In deze blog leggen we uit wat Identity Governance nu precies is en helpen we je op weg met het bepalen van een Identity Governance strategie.

Wereldwijd maken organisaties gebruik van identity platformen. Dit kan Active Directory (AD) zijn, Azure Active Directory (AAD) of een combinatie hiervan (hybrid). Er zijn ook organisaties die een identity platform gebruiken van een andere leverancier, denk aan Google of Okta. We hebben een identity, en dus een identity platform, nodig om de toegang te bepalen tot applicaties en informatie binnen de organisatie. Je kan het identity platform zien als jouw centrale beheersysteem.

We zien steeds vaker dat organisaties uitdagingen hebben met het beheren van het identity platform. Deze uitdagingen zijn o.a.:

  • Accounts die handmatig worden aangemaakt door de IT-afdeling;
  • Accounts die niet worden geblokkeerd wanneer medewerkers uit dienst zijn;
  • “Role based access control” is niet aanwezig, wat inhoudt dat de rechten van een gebruiker niet gekoppeld zijn aan de rol binnen de organisatie;
  • Wanneer gebruikers een nieuwe rol binnen de organisatie krijgen, behouden ze vaak de rechten van de oude rol;
  • Aanvragen van rechten gebeurt via een IT-afdeling;
  • Rechten worden altijd permanent verleend en er wordt niet gekeken of de rechten nog van toepassing zijn;
  • Externe gebruikers met toegang tot informatie die niet ingetrokken wordt;
  • IT-afdelingen die niet over de juiste informatie beschikken voor het verlenen van rechten;
  • Gebruikers met verhoogde rechten die altijd actief blijven.

Bijna alle punten kunnen een groot risico vormen binnen de omgeving. Met de implementatie van Identity Governance kunnen veel van deze risico’s snel worden verkleind. Voor je hiermee begint, adviseren we altijd eerst een duidelijke strategie te bepalen om van het identity platform je beheersysteem te maken.

Identity Governance strategie

Zonder een strategie bestaat het risico dat de implementatie niet slaagt. Bij het bepalen van een strategie raden wij aan de volgende acht pijlers aan te houden:

  1. Zorg ervoor dat alle gebruikers in de Azure AD staan en de basis-beveiliging op orde is;
  2. Maak HR verantwoordelijk voor de identity lifecycle zodat de centrale waarheid door hen geborgd wordt, de IT afdeling faciliteert alleen de techniek;
  3. Zorg ervoor dat toegang tot de informatie en applicaties wordt gefaciliteerd via Azure AD;
  4. Breng in kaart welke ‘Access Packages’ en ‘Access Reviews’ er gemaakt kunnen worden;
  5. Maak gebruik van ‘Access Packages’ en ‘Access Reviews’;
  6. Implementeer JIT (Just in Time) voor je gebruikers met verhoogde rechten met de inzet van PIM (“Privileged Identity Management”);
  7. Stel gebruikersvoorwaarden op die gebruikers moeten accepteren voordat ze toegang krijgen tot informatie en applicaties;
  8. Monitor het gebruik en maak aanpassingen en/of toevoegingen waar nodig.

Zodra de strategie bepaald is, adviseren we de verschillende onderdelen gefaseerd te implementeren. Besteed bij elk onderdeel voldoende tijd aan de adoptie door je gebruikers. De inrichting is belangrijk, maar de adoptie net zo. Het laatste wat je wilt is een volledig ingericht product dat niet gebruikt wordt.

Azure AD Identity Governance: functies en praktijkvoorbeelden

Wellicht heb je al een Identity Governance strategie of ben je hiermee bezig. Het is in ieder geval nuttig om de verschillende opties onder de loep te nemen. Hieronder de verschillende functies die mogelijk uitkomst bieden binnen jouw strategie.

    1. Centraal beheer van de “identities

    Het begint allemaal bij een solide en sterke identity fundering. Wanneer je van het identity platform je beheersysteem wilt maken, is de fundering het absolute begin. Vergelijk dit met het bouwen van een huis!

    De fundering kan bestaan uit ‘hybrid identities’ of ‘cloud identies’. Zorg ervoor dat hybrid identities waar mogelijk vanuit één Active Directory forest komen. Bij cloud identities wil je deze bij voorkeur altijd in één tenant onderbrengen.

    Voor beide scenario’s geldt dat we minimaal adviseren de identities te beschermen met multi-factor authenticatie. Dit door het gebruik van een solide Conditional Access Framework, het inzetten van Password Protection en waar mogelijk zelfs Passwordless te werken. Uiteraard kunnen wij daar een helpende hand bij bieden.

    1. “Identity lifecycle”

    Zodra de identity fundering staat is het tijd voor de volgende stap; het identity lifecycle proces. Veel organisaties hebben geen geautomatiseerd systeem voor het aanmaken van gebruikers. Deze worden vaak handmatig aangemaakt door de IT-afdeling op aangeven van HR middels een serviceticket of e-mail.

    Dit handmatige proces is foutgevoelig. Denk aan spellingsfouten, rechten die verkeerd gekopieerd worden etc. Het grootste gevaar schuilt echter in het deactiveren van de gebruikers. Deze blijven vaak veel langer actief dan daadwerkelijk nodig is.

    Voor het automatiseren van dit proces biedt Azure AD een oplossing. Op dit moment werkt deze oplossing enkel nog voor de HR-pakketten SAP SuccesFactors en Workday. Voor andere HR-pakketten is maatwerk benodigd. Neem contact op wanneer je hier meer over wilt weten.

    Om dit automatische proces werkend te krijgen is er aan beide kanten een configuratie nodig. Met deze configuratie zorg je ervoor dat het HR-pakket de centrale waarheid wordt. En zorg je ervoor dat de HR-afdeling de touwtjes in handen heeft als het gaat om het aanmaken, activeren en deactiveren van gebruikers. IT faciliteert de techniek maar is niet meer de eigenaar van het proces.

    Door dit proces zo aan te pakken los je het volgende op:

    • Zodra een nieuwe medewerker in dienst treedt staat het account klaar voor gebruik;
    • Zodra een medewerker uit dienst treedt wordt het account na de laatste werkdag automatisch gedeactiveerd;
    • Alle gegevens die bij HR bekend zijn gelijk aan het account van de gebruiker.

    Dit proces focust zich op accounts van medewerkers. Er zijn ook nog andere type accounts binnen het identity platform. Denk hierbij aan gedeelde postvakken, service accounts en service principals. Ondanks dat je met bovenstaande oplossing zo’n 80% gedekt hebt, is het handig voor de overige 20% een handmatig “lifecycle” proces te bepalen. Neem dit ook mee in jouw strategie.

    1. Toegang tot en verbinden met 3rd party applicaties

    De meeste organisaties maken gebruik van 3rd party applicaties. Deze applicaties wil je ook verbinden met de Azure AD om ervoor te zorgen dat de toegang en rechten tot deze applicaties ook beheerd worden binnen het platform. De eerste stap is dus het verbinden van alle (mogelijke) applicaties met de Azure AD.

    Zodra de applicaties verbonden zijn met de Azure AD kan er gekeken worden naar het automatisch aanmaken van de gebruikers in de applicaties. Dit gebeurt middels het System for Cross-domain Identity Management (SCIM) protocol, een standaard binnen de industrie. Deze standaard zit ook in Azure AD en kan dan ook communiceren via de SCIM 2.0 REST API. Controleer of je applicaties deze standaard ondersteunen en/of zorg ervoor dat binnen je eigen applicaties deze standaard ingebouwd wordt.

    Als (of zodra) je applicatie(s) SCIM ondersteunen kunnen ze gebruikt worden voor het aanmaken van gebruikers vanaf de Azure AD. Dit geeft je de mogelijkheid om vanuit Azure AD bepaalde eigenschappen mee te geven aan de gebruikers binnen de applicaties. Hiermee voorkom je onder andere dat inactieve gebruikers nog (betaalde) licenties innemen in deze 3rd party applicaties.

    Daarnaast zorg je er ook direct voor dat zodra er vanuit HR een aanpassing gedaan wordt, deze ook doorgevoerd wordt in de Active Directory  en/of Azure Active Directory. Via SCIM worden deze eigenschappen ook weer doorgevoerd in de verbonden applicaties.

    1. “Entitlement Management”

    Nu het identity lifecycle deel behandeld is kunnen we aan de slag met ‘entitlements’. IT-afdelingen spenderen veel tijd aan het verlenen van toegang tot data en applicaties. De moderne oplossing zou zijn, dat een gebruiker de toegang zelf aanvraagt en dat de aanvraag vervolgens met een proces kan worden goedgekeurd door een manager of een verantwoordelijke van de data of applicatie.

    Om dit voor elkaar te krijgen, kijken we eerst naar de verschillende opties binnen Azure AD Identity Governance, hierin zijn de volgende opties momenteel beschikbaar:

    • Access Packages; Een ‘access package’ kan een verzameling van toegang tot data en applicaties zijn (die je bijvoorbeeld nodig hebt voor je dagelijkse werkzaamheden), maar kan ook toegang tot slechts één applicatie en/of data bron zijn. Access packages kunnen zelf door gebruikers aangevraagd worden. Elke access package kan dan ook zijn eigen configuratie hebben, denk hierbij aan: reden van aanvraag opgeven, goedkeuring vereisen, verstrijking van toegang, etc.
    • Catalogs; Om een specifieke groep gebruikers zelf beheer te geven over access packages kan je een ‘catalog’ voor ze aanmaken. Binnen deze catalog kunnen zij zelf extra toegang tot data of applicaties toevoegen. Bijvoorbeeld een Teams team of SharePoint site welke binnen de catalog valt.
    • Connected Organizations; ‘Connected Organizations’ zijn externe identity providers die toestemming hebben om access packages aan te vragen binnen de omgeving van de organisatie.

    Nu de mogelijkheden duidelijk zijn, is het tijd om te bepalen hoe je entitlements gaat inzetten. Ga je gebruikers zelf het beheer geven met behulp van catalogs of maak je de access packages zelf aan? Beide werken goed en een combinatie is uiteraard ook mogelijk. Beiden kunnen uiteraard een bepaald doel dienen. Om je op weg te helpen, schetsen we een paar scenario’s:

    1. Maak per afdeling een access package aan die gebruikers kunnen aanvragen op hun eerste werkdag (denk hierbij bijvoorbeeld aan HR, IT, Administratie, etc.);
    2. Maak access packages aan voor software licenties (denk aan Visio, Project, Dynamics, etc.);
    3. Maak access packages aan voor de toegang tot specifieke Teams of SharePoint sites met gevoelige data;
    4. Maak een acces package aan die een specifiek doel dient. Dit kan middels een security of Microsoft 365 groep (denk bijvoorbeeld aan het toegang verlenen tot het gebruik van USB-opslag op een werkplek);
    5. Bepaal voor elke access package of deze moet verstrijken na een bepaalde periode en of de gebruiker hem zelf kan verlengen, eventueel zelfs met een goedkeurings-proces;
    6. Bepaal voor elke access package (die niet verstrijkt) of de toegang herzien moet worden. Dit kan doormiddel van access reviews. De gebruiker kan dit zelf, of indien nodig door een andere gebruiker (zoals een manager).

    Helaas is het op dit moment niet mogelijk gesynchroniseerde (uit de Active Directory) groepen te gebruiken voor een access package. Dat maakt dit een cloud-only functie die je enkel gebruikt voor Azure AD verbonden data, diensten en applicaties.

    1. “Access Reviews”

    De volgende stap is om te kijken naar hoe de huidige rechten uitgedeeld zijn (tenzij je greenfield begint). Dit is van belang omdat mogelijk niet iedere resource verbonden is aan een access package.

    Dit begint met een goede inventarisatie van de huidige rechten die verleend zijn en herzien moeten worden door de gebruikers of specifieke gebruikers (zoals de manager). Je kan dit zien als een stukje huishouding dat ervoor zorgt dat de rechten die uitgedeeld zijn gevalideerd worden en daarmee ook nog echt van toepassing zijn.

    Dit is vooral handig in situaties waarbij gebruikers (en dus de rechten) meegroeien met een gebruiker waarbij de gebruiker mogelijk rechten heeft uit een ver verleden terwijl hij of zij deze niet meer nodig heeft.

    Een ander goed voorbeeld is gast-gebruikers. Omdat deze van buiten de organisatie komen is het lastig voor de IT-afdeling om te bepalen of deze gebruikers nog actief zijn en of ze überhaupt nog de toegang behoeven. In extreme gevallen kan dit leiden tot grote risico’s voor de organisatie.

    Access reviews zijn voor beide scenario’s zeer geschikt en daardoor een belangrijk onderdeel van je Identity Governance strategie.

    1. “Privileged Identity Management”

    Met access reviews achter de rug zijn we er bijna. De meeste gebruikers-functies binnen identity governance zijn nu gecoverd. We hebben nog één belangrijke gebruikers-functie te behandelen en dat is ‘Privileged Identity Management’ (Azure AD PIM). Hiermee kan je de admin-accounts voorzien van just in time access (JIT). Wat inhoudt dat de accounts enkel admin-rechten hebben op het moment dat ze nodig zijn voor werkzaamheden, waarna de rechten automatisch komen te vervallen.

    Met PIM kunnen er meerdere rollen toegewezen worden aan de admin-accounts. Zo kunnen er één of meerdere rollen tegelijk worden geactiveerd zodra dit nodig is voor werkzaamheden.

    Een voorbeeld is dat er een aanpassing nodig is in Exchange Online waar de Exchange Administrator rol voor nodig is, of als er een aanpassing in SharePoint Online nodig is waar de SharePoint Administrator rol voor nodig is. In deze gevallen gaat de gebruiker eerst naar het PIM portaal, vraagt de rol aan voor een specifieke periode en voert zijn werkzaamheden uit. Zodra de aanvraag verstreken is, vervallen de rechten op het account.

    Elke rol beschikbaar binnen Azure AD PIM kan worden geconfigureerd naar de wensen van de organisatie. Dit is ideaal voor rollen met hoge rechten zoals de Global Administrator. Denk aan zaken als: goedkeuring voor aanvragen vereisen, afdwingen dat er een reden van aanvraag of ticketnummer wordt opgegeven, MFA verplichten voor de aanvraag, etc.

    JIT is een essentieel onderdeel van de Identity Govenance strategie. Accounts met admin-rechten vormen altijd een verhoogd risico omdat de rechten misbruikt kunnen worden als de accountgegevens gelekt zijn. Dit is de reden dat we altijd adviseren dit mee te nemen in de implementatie.

    1. Terms of use

    Nu we de wat meer technische zaken gedekt hebben zijn we aangekomen bij de ‘Terms of Use’. Binnen dit onderdeel zorg je ervoor dat de gebruikers de gebruikersvoorwaarden accepteren voor ze toegang krijgen tot de Cloud-omgeving van een organisatie. Je dwingt dit op ieder apparaat af en indien gewenst terugkerend. Bijvoorbeeld iedere 180 dagen.

    Het voordeel is dat gebruikers de voorwaarden altijd moeten accepteren voor ze toegang krijgen en dus data en apps kunnen gebruiken, en dat dit daarnaast ook automatisch geregistreerd wordt.

    Op deze manier weet je zeker dat iedereen de overeenkomst heeft gelezen en dus is geïnformeerd over de voorwaarden die de organisatie stelt voor het gebruik. Hiermee bespaar je ook nog een papieren administratie voor gebruikers die de organisatie binnen komen en heb je daarnaast de mogelijkheid om dit ook voor je gastgebruikers toe te passen, welke indien gewenst andere voorwaarden gepresenteerd krijgen.

    1. Monitoring and Reporting

    Nu we de strategie in kaart hebben is het tijd voor de implementatie. Tijdens het implementeren is het prettig om te weten of en hoe de verschillende onderdelen gebruikt worden binnen de organisatie. Wellicht zijn er nog verbeterpunten binnen de configuratie of is er adoptie vereist. Gebruikerservaring is essentieel, zij zijn diegene die er dagelijks mee werken uiteraard.

    Om inzichten te krijgen in het gebruik van de access packages en access reviews zijn verschillende dashboards beschikbaar. Gebruik deze dashboards na de implementatie om met de inzichten de configuratie te controleren en aan te passen waar nodig.

    Daarnaast is het belangrijk om te blijven monitoren of er nog (nieuwe) onderdelen en/of diensten zijn die toegevoegd dienen te worden aan de “Identity Governance” strategie. Denk aan nieuwe groepen voor applicaties en toegang tot SharePoint sites of Microsoft Teams omgevingen. Dit zijn dan ook terugkomende werkzaamheden welke continue aandacht behoeven of in sommige gevallen automatisering vereisen.

    Conclusie

    Nu we alle verschillende onderdelen van Azure AD Identity Governance behandeld hebben is het tijd om jouw strategie te bepalen. Heb je daar hulp bij nodig of wil je graag meer weten over een of meerdere onderwerpen? Neem dan contact op.

    Consultant Pim Jacobs en Peter van der Woude praten verder over Identity Governance in een Expert Talk. Identity Governance kan wellicht overkomen als taaie stof, het is wel extreem belangrijk voor je organisatie. Zij bespreken het belang, de Microsoft Identity Governance tools en zoomen in op verschillende uses cases. Bekijk de Expert Talk hier.

     

    Pim Jacobs
    Share

    Meer blogs

    image description
    Pim Jacobs | Principal Consultant
    Ik help je graag verder
    Neem contact op