Gebruikersconsolidatie
Introductie
Momenteel worden gebruikers per dossier beheerd. Dit betekent dat er een gebruikerslijst is per dossier. Om toegang te hebben in verschillende dossiers, moet een toegang gemaakt worden in ieder dossier.
De gebruikersnamen, maar ook de wachtwoorden kunnen verschillen van dossier tot dossier. Ook wijzigingen aan gebruikers (en hun rollen) dient daarom ook te gebeuren in de verschillende dossiers.
Om het beheer van gebruikers en toegangen tot de verschillende dossiers te vereenvoudigen, stellen we kosteloos een nieuwe tool voor die centraal beheer van gebruikers mogelijk maakt: de Identity Portal.
De Identity Portal
De Identity Portal centraliseert alle gebruikers in de verschillende dossiers en maakt het centraal beheer van rollen en rechten mogelijk. De Identity Portal biedt ondersteuning voor tweevoudige authenticatie (2FA) en OpenID connect. Meer info over OpenID connect vind je hier.
Om dit mogelijk te maken zullen alle gebruikers in de verschillende dossier automatisch samengevoegd moeten worden. Deze semi-automatische operatie wordt in wat volgt de consolidatie van gebruikers genoemd.
Consolidatie
In onderstaande afbeelding wordt het principe geïllustreerd. Maria Janssen (initialen MARJAN) heeft momenteel in de verschillende dossiers een gebruiker. Deze gebruikers zullen samen één nieuwe gebruiker (MARJAN – Maria Janssen) vormen in de Identity Portal.
Gebruikers consolideren
Deze gebruikers worden geconsolideerd op een set aan vooraf gedefinieerde regels:
- (regel 1) Gebruikers met zelfde voor – en achternaam, gebruikersnaam en geencrypteerd wachtwoord worden samengevoegd
- (regel 2) Gebruikers met zelfde achternaam en rijksregisternummer worden samengevoegd
- (regel 3) Gebruikers met zelfde achternaam en badgenummer of windows login worden samengevoegd
- (regel 4) Gebruikers met zelfde gebruikersnaam, voor- en achternaam en geencrypteerd wachtwoord worden samengevoegd
Het consolidatieproces tracht eerst gebruikers samen te voegen op basis van logica uit regel 1, dan op basis van logica uit regel 2, enzovoort.
Dit consolidatieproces kan uitgevoerd worden per dossier, of verschillende dossiers kunnen samen geconsolideerd worden totdat alle dossiers geconsolideerd zijn.
Gebruikersrollen consolideren
Gebruikers kunnen verschillende rollen /gebruikersgroepen hebben in verschillende dossiers. Aan deze rollen worden toegangsrechten toegekend. Geconsolideerde gebruikers zullen per dossier de rol overnemen van de rol die de gebruiker bekleed in het dossier.
Maria Janssen, heeft een gebruikersaccount MARJAN in drie verschillende dossiers met een verschillende rol. In de consolidatieprocedure zullen de verschillende gebruikersaccounts samengevoegd worden tot één gebruikersaccount MARJAN. De geconsolideerde gebruiker MARJAN zal nog steeds in de verschillende dossiers verschillende rollen bekleden.
Identity Admin
Om de toegang tot het Identity Portal te beheren, is een speciale functie toegevoegd. Deze functie wordt in de eerste consolidatie automatisch toegekend als de gebruiker recht heeft om gebruikers en toegangsbeheer uit te voeren heeft in alle geconsolideerde dossiers. Opgelet eens dit recht toegekend is, wordt dit recht niet meer ontnomen. Stel een omgeving met drie dossiers, waarbij een gebruiker op twee van de drie dossiers recht heeft voor gebruikersbeheer. In een eerste fase worden de twee dossiers waartoe deze het recht heeft tot gebruikersbeheer geconsolideerd en zal deze gebruiker de rol voor Identity Admin toegekend krijgen (zie midden onderstaande illustratie). Bij het consolideren van het derde dossier zal deze gebruiker onrechtstreeks, via de Identity Portal, gebruikersbeheer kunnen uitvoeren voor dat derde dossier door zijn speciale rol Identity Admin.
Het toekennen van de speciale functie Identity Admin mag niet verward worden met het recht om in het dossier naar de configuratie > gebruikers of configuratie > toegangsrechten te navigeren. Het recht Identity Admin is een recht ter hoogte van de Identity Portal en geeft recht om in de Identity Portal aan gebruikersbeheer te doen voor alle gebruikers en alle dossiers, terwijl het toegangsrecht ‘Gebruikers’ en het toegangsrecht ‘Toegangsrechten’ geven een gebruiker rechten tot gebruikersbeheer in één dossier.
Een gebruiker die, via zijn/haar rol, het recht heeft toegekend om gebruikers te beheren, maar deze slechts toegekend heeft in een subset van de dossiers, zal dit na consolidatie nog steeds kunnen, maar slechts voor die dossiers waarvoor hij/zij voor consolidatie dit recht had toegekend.
Deze gebruiker zal, zolang deze niet als Identity Admin is aangewezen, geen rechtstreeks toegang hebben tot de Identity Portal. Deze gebruiker zal wel via de gekende gebruikersconfiguratie in het dossier kunnen aanmelden op een aangepaste versie van de Identity Portal die enkel het gebruikersbeheer voor dat dossier mogelijk maakt. De enige acties die deze gebruiker kan ondernemen is het toevoegen van gebruikers en het toekennen van rollen aan gebruikers voor het dossier waarvoor de gebruiker gebruikersbeheerrechten heeft.
Gebruikersrechten
Aan een rol worden (toegangs-)rechten toegekend. Momenteel (lees voor de consolidatie) kunnen deze rechten verschillend zijn over verschillende dossiers. De gebruikersrol ‘Administratie’ kan in het een dossier andere rechten toegekend hebben dan in een ander dossier.
In de Identity Portal zullen alle rollen over alle dossiers dezelfde toegangsrechten hebben. Over verschillende dossiers heen verschillende toegangsrechten toekennen voor dezelfde rol is vanaf dan niet meer mogelijk.
De eengemaakte rollen verkrijgen de rechten vanuit het eerste geconsolideerde dossier waarin de rol voorkomt.