Testen, livegang en productie
Voordat je met een nieuwe HelloID-implementatie live gaat, wil je de configuratie uiteraard eerst uitgebreid testen. Zo stel je zeker dat de configuratie van jouw implementatie de gewenste resultaten oplevert. In deze blog lees je alles over het testen, de livegang en het in productie nemen van je HelloID-omgeving. Ook geven we je enkele aandachtspunten en tips mee.
Onlangs schreven we al over het testen van business rules op één persoon, wat een handige methode is voor het veilig testen van nieuwe business rules zonder impact op gebruikers. In sommige gevallen wil je echter een bredere test uitvoeren, zoals vooraf aan de livegang en het in productie nemen van je HelloID-implementatie. In deze blogpost lees je hoe je een dergelijke bredere test uitvoert.
In dit artikel
Een stateful provisioning engine
HelloID is een stateful provisioning engine. Dit betekent in de praktijk dat HelloID onthoudt wat hij gedaan heeft. Belangrijk, want zo kan je tot in detail achterhalen welke wijzigingen HelloID heeft uitgevoerd en waarom. Zo neemt HelloID een snapshot van je bronsysteem, vergelijkt deze met de vorige snapshot en brengt alle verschillen (de zogenaamde delta) in kaart. Wat HelloID met deze wijzigingen doet, bepaal je aan de hand van business rules, waarmee je exact bepaalt welke acties de Identity & Access Management (IAM)-oplossing uitvoert. HelloID haalt een snapshot altijd op met een pull in plaats van push. Zo weten we zeker dat HelloID over alle benodigde gegevens beschikt om zijn werk uit te kunnen voeren.
Het werken met een stateful systeem biedt grote voordelen. Zo kan je met behulp van evaluaties voorspellen wat het effect is van je business rules. Dit is alleen mogelijk indien je ook de vorige state kent en dus over een eerdere snapshot beschikt, waarmee je de nieuwe snapshot kunt vergelijken. Zo weet je van tevoren exact wat HelloID gaat doen en sta je niet voor verrassingen. Gaat er onverhoopt iets mis? Dan kan je dankzij de stateful engine eenvoudig de bron van het probleem achterhalen. Zo kan je precies zien wat HelloID heeft gedaan en wat er daarbij fout is gegaan. Op basis van deze informatie kan je de configuratie aanpassen en het probleem oplossen.
Impact op testen en livegang
Het werken met een stateful provisioning engine is van invloed op de manier waarop je je HelloID-implementatie test en live zet. Zo moet je voor de livegang alle accounts ‘in state trekken’, waarbij je alle gebruikers uit je HR-systeem de juiste rechten toewijst. Zodra HelloID draait werkt de IAM-oplossing volledig mutatie-gebaseerd. In de praktijk betekent dit dat de IAM-oplossing aan de hand van snapshots alleen nog mutaties uitvoert.
Bij het toewijzen van accounts spelen correlaties een hele belangrijke rol. Kan HelloID gegevens niet correleren? Dan maakt HelloID bij een grant van een Active Directory (AD)-account een nieuw account aan in je doelsystemen. Kan je wel correleren? Dan past HelloID juist het bestaande account aan. Bij het uitvoeren van een dergelijke update is van het belang dat je de connectoren van en naar je bron- en doelsystemen correct hebt ingesteld. Zo bepaal je in de instellingen van deze connectoren tot in detail welke informatie HelloID wel of juist niet mag wijzigen.
Bestaande populatie updaten
Je staat daarbij zelf aan de knoppen. Zo bepaal je tijdens het correleren zelf of HelloID de bestaande accounts in je doelsystemen met rust laat en alleen nieuwe accounts aanmaakt volgens de HelloID standaard, of dat je ook met terugwerkende kracht op je bestaande populatie dingen wilt updaten. De laatste optie is erg interessant, aangezien in veel gevallen accounts in het verleden handmatig zijn aangemaakt. Na verloop van tijd zijn deze accounts echter verouderd, aangezien wijzigingen in je bronsysteem niet goed zijn doorgevoerd. HelloID kan deze gegevens voor je bijwerken en actualiseren op basis van de actuele data in je bronsysteem.
Het opschonen van je bestaande populatie is mogelijk tijdens het ‘in state trekken’ van je accounts. Je bepaalt hierbij zelf welke velden HelloID wel en niet mag bijwerken.
Welke velden mag HelloID updaten?
De werkwijze is voor alle doelsystemen gelijk. In dit voorbeeld zoomen we in op het veelgebruikte AD. Je vindt de thresholds in het provisioning-dashboard van HelloID onder ‘Target Systems’. Open hier de connector naar je AD-omgeving en ga naar het tabblad ‘Account’. Klik vervolgens op de knop ‘Configure’ onder ‘Mapping’. Met behulp van het mappen van gegevens bepaal je tot in details welke velden je wilt updaten bij een update event.
De instellingen die je hierbij hanteert zijn afhankelijk van je eigen voorkeuren. Zo kan je ervoor kiezen HelloID alleen niet-essentiële velden te laten updaten, iets dat wij adviseren bij het initieel inladen van je gebruikerspopulatie. Schakel hiervoor de optie ‘Update this field’ uit bij alle essentiële velden, zoals de user principal name, de common name, sAMAccountName en proxy-adressen. Wil je HelloID ook direct je AD-omgeving laten opschonen? Laat dan juist alle velden aanstaan, zodat HelloID alle velden meeneemt in de grant. Wil je liever een nullijn creëren en daarmee een startsituatie waarop HelloID vanaf dan wijzigen mag uitvoeren? Kies dan voor het uitzetten van alle velden, zodat HelloID de gegevens zonder wijzigingen overneemt.
Heeft HelloID alle accounts voor de eerste keer ingeladen? Dan kan je alle velden weer aanzetten, zodat HelloID in het vervolg deze velden kan updaten. Blijkt uit een toekomstige snapshot van je bronsysteem bijvoorbeeld dat de achternaam van een gebruiker is gewijzigd? Dan past HelloID dit voortaan automatisch aan.
Thresholds geven extra zekerheid
Vergeet niet om kritisch naar je thresholds te bekijken. Thresholds zijn grenswaarden die je extra zekerheid bieden indien HelloID gegevens aanpast, en noemen we ook wel je robuustheidsgarantie. Je bepaalt hiermee dat indien wijzigingen grenswaarden overschrijden, HelloID deze niet geautomatiseerd mag uitvoeren. De IAM-oplossing blokkeert de wijziging in dit geval en legt deze eerst aan je voor. Jij kan iedere wijziging vervolgens handmatig goed- of juist afkeuren. Zo sta je zelf aan de knoppen en behoud je volledig de controle, wat onder meer bij de livegang van je HelloID-implementatie extra zekerheid geeft.
Het instellen van thresholds doe je in de configuratie van de connector naar je bronsystemen, die beschikbaar zijn via ‘Target Systems’ in het provisioning-dashboard. Ga vervolgens naar het tabblad ‘Thresholds’. Wij adviseren je om tijdens het testen bij ‘Revoke’ de ‘Count’ in alle gevallen op ‘1’ te zetten en het percentage op 5 te laten staan. Hiermee bepaal je dat HelloID nooit accounts of rechten mag intrekken zonder dat jij hiervoor expliciet toestemming geeft.
Ook kan je overwegen om bij ‘Update’ de ‘Count’ eveneens op ‘1’ in te stellen. Dit betekent in de praktijk dat HelloID geen enkel account mag updaten, en alle updates die het wilt uitvoeren eerst aan jou moet voorleggen. Dit is met name bij de initiële livegang van je HelloID-implementatie erg prettig, aangezien je zo de controle houdt over iedere update die HelloID uitvoert. Ben je al wat langer met HelloID aan de slag en merk je dat alle instellingen correct zijn ingesteld? Dan kan je deze threshold verlagen naar ‘0’, waarna HelloID deze updates voortaan zonder jouw tussenkomst uitvoert.
Evaluatie
Ben je klaar voor het testen van je HelloID-implementatie en ingestelde business rules? Dan kan je een evaluatie uitvoeren, waarmee je alle ingestelde business rules eenvoudig kunt evalueren. Het gaat hierbij om een zogeheten ‘read-only run’, waarbij HelloID aan de hand van de business rules in kaart brengt welke acties het bij een enforcement zou uitvoeren. Belangrijk hierbij is dat de IAM-oplossing deze acties niet daadwerkelijk uitvoert. Met een ‘read-only run’ kan je dan ook veilig testen of alle ingestelde business rules de gewenste acties opleveren.
Het resultaat van deze evaluatie vind je in het provisioning-dashboard onder ‘Business Rules’ en ‘Evaluations’. Bij het beoordelen van deze evaluatie zijn er enkele punten waarmee je rekening moet houden. Zo toont HelloID voor alle accounts een ‘create’-actie, ook indien een account al in HelloID bestaat. Dit komt doordat het correleren van accounts pas plaatsvindt indien HelloID een account aanmaakt, wat een stap is die bij een evaluatie niet daadwerkelijk plaatsvindt. Houd er daarnaast rekening mee dat een evaluatie maximaal vijfhonderd vermeldingen omvat. Is het aantal acties dat HelloID moet uitvoeren op basis van je business rules groter dan vijfhonderd? Dan toont HelloID dus niet alle evaluaties en geeft het overzicht een incompleet beeld. Met name bij het uitvoeren van een evaluatie op je volledige populatie speelt dit een rol. Na het in-state trekken overschrijdt het aantal wijzigingen de vijfhonderd doorgaans niet, en geven evaluaties dus wel een compleet beeld.
Aan de slag
Wil je aan de slag met het testen, live brengen en in productie nemen van je HelloID-omgeving? Bekijk dan ook deze video, waarin we hierover aanvullende uitleg geven. Heb je vragen? Neem dan contact met ons op!