In een voorgaande blog (SAP sores) zagen we dat het SAP-toegangsbeheer technisch en organisatorisch complex is en dat dit vaak niet op orde is. In een daarop volgende blog (SAP-rollen 2.0) wordt ingegaan op het ontwerpen van SAP-rollen ter verbetering van het SAP-toegangsbeheer. Een andere manier om de toegangscontrole te verbeteren is de implementatie van een IAM-oplossing voor alle belangrijke applicaties die in een bedrijf worden gebruikt. Deze blog gaat over dit alternatief.

Het invoeren van IAM gaat niet alleen over het implementeren van een IAM-systeem, maar ook over het IAM-klaarmaken van gerelateerde processen en van de aangesloten systemen. Een IAM-systeem ondersteunt namelijk het toegangsbeheer van aangesloten systemen. Vaak kost dit IAM-klaar maken meer tijd dan de feitelijke invoering van het IAM-systeem zelf. Maar voor succes is deze investering wel noodzakelijk.

Controle op toegangsbeheer

Het IAM-systeem wordt aangesloten op de HR-administratie zodat  in dienst, uit dienst en afdeling-gerelateerde mutaties direct verwerkt kunnen worden. Daarnaast komt er een gebruikersvriendelijke interface zodat gebruikers op een eenvoudige manier aanvullende toegang kunnen aanvragen. De managers krijgen een goed overzicht van deze toegang en kunnen deze op een simpele manier corrigeren. Auditors kunnen controleren of dit proces op de juiste manier uitgevoerd wordt.

Het toegangsbeheer wordt zo voor een groot deel op een controleerbare manier geautomatiseerd. Manuele fouten bij de IT-afdeling zijn niet meer mogelijk. In het IAM-systeem worden businessrollen gecreëerd en toegewezen aan gebruikers.

Het IAM-systeem controleert alleen de bovenste laag van het toegangsbeheer. Dit is de laag waarin de meeste mutaties plaats vinden. In deze laag krijgt een medewerker een account bij de desbetreffende systemen en wordt zo lid van groepen binnen die systemen.

Goede basis

Dit betekent dat onjuistheden in de onderliggende lagen van het toegangsbeheer niet altijd door het IAM-systeem kunnen worden gecorrigeerd. Voorbeelden van onjuistheden zijn: systeemgroepen waarin conflicterende rechten opgenomen zijn en achterdeurtjes in systemen. Bij SAP wordt vaak de composite rol als bovenste laag genomen. Het IAM-systeem zorgt er dan voor dat de juiste gebruikers aan de juiste composite rollen gekoppeld worden. In SAP zelf is het belangrijk dat de composite rollen en de onderliggende single rollen op een goede manier ingericht worden. De basis moet goed zijn. Als de basis niet goed is, moeten – in geval van SAP – de rollen opnieuw ontworpen worden. Zie hiervoor de blog van Navaio over het herontwerpen van SAP-rollen.