Access Management – Waar te starten?
Als organisatie wil je de productiviteit van medewerkers optimaliseren. Een belangrijke voorwaarde hiervoor is efficiënte toegang tot de juiste applicaties en gegevens. Tegelijkertijd wil je zekerstellen dat je de ongeautoriseerde toegang tot je gevoelige systemen en data adequaat voorkomt. HelloID Access Management ondersteunt je hierbij en neemt je veel werk uit handen. In dit artikel helpen we je op weg met deze module, zetten we de mogelijkheden uiteen en belichten we enkele afwegingen die je hierbij kunt maken.
In dit artikel
Wat is HelloID Access Management?
HelloID Access Management is een cloudgebaseerde module, die onderdeel uitmaakt van de identity & access management (IAM)-oplossing HelloID van Tools4ever. De module zorgt dat werknemers eenvoudige, snelle en gebruiksvriendelijke toegang krijgen tot de applicaties die zij nodig hebben.
Werknemers werken vaak in een breed scala aan applicaties, wat complexiteit met zich meebrengt. Zo vraagt iedere applicatie met het oog op veiligheid om unieke inloggegevens, waardoor gebruikers al snel tientallen inloggegevens moeten onthouden. In de praktijk ontstaan hierdoor diverse uitdagingen. Zo kunnen werknemers om wachtwoorden te kunnen onderhouden voor zwakkere wachtwoorden kiezen dan wenselijk is. Ook kunnen zij wachtwoorden vergeten, wat een extra belasting voor de servicedesk met zich meebrengt.
HelloID Access Management biedt uitkomst. Dankzij de module hoeven gebruikers slechts eenmaal in te loggen, waarna HelloID hen via een gebruiksvriendelijk dashboard toegang geeft tot alle applicaties die zij nodig hebben. Zo weet je zeker dat je de toegang tot applicaties en systemen altijd adequaat is afgeschermd, en ontlast je tegelijkertijd de servicedesk.
Starten met HelloID Access Management
Wil je aan de slag met HelloID Access Management? Dan vraagt dit enige voorbereiding, iets waar onze experts je uiteraard graag bij ondersteunen. Voor het correct inregelen van de toegang tot applicaties heeft HelloID Access Management bijvoorbeeld toegang nodig tot je brongegevens. Breng daarom in kaart in welk bronsysteem of welke bronsystemen je gebruikersgegevens hebt opgeslagen. Denk daarbij aan Active Directory of Entra ID van Microsoft, maar ook aan Google Workspace.
Het kan echter ook zijn dat je gebruikmaakt van HelloID Provisioning, een cloudgebaseerde oplossing die het beheer van useraccounts volledig automatiseert. HelloID Provisioning legt een koppeling tussen je HR-systeem en useraccounts in het netwerk. Zo automatiseert de module het in-, door- en uitstroomproces volledig. Je weet hierdoor onder meer zeker dat accountgegevens en gebruikersrechten altijd up-to-date zijn. HelloID Access Management koppelt naadloos met HelloID Provisioning.
Hoe laat je gebruikers inloggen?
Nadat je hebt bepaald in welk bronsysteem je gebruikersgegevens hebt opgeslagen, kan je in kaart brengen hoe je gebruikers wilt laten inloggen. Zo kan je kiezen voor just-in-time provisioning. Bij deze aanpak geef je gebruikers alleen toegang tot bronnen en applicaties indien zij deze toegang daadwerkelijk nodig hebben. Onder meer indien je veel werkt met flexwerkers of uitzendkrachten kan dit zeer relevant .
Je staat zelf aan de knoppen. Zo kan je één inlogmethode aanbieden, maar ook meerdere opties ondersteunen. Ook kan je een bronsysteem als Active Directory combineren met de lokale HelloID login. Met name indien je externe medewerkers of flexwerkers niet in je bronsysteem wilt opnemen kan dit uitkomst bieden. In dit geval is just-in-time provisioning helaas niet mogelijk.
Welke applicaties wil je koppelen?
Een andere belangrijke vraag die je moet beantwoorden om aan de slag te gaan met HelloID Access Management is tot welke applicaties je via Single Sign-On (SSO) toegang wilt geven. Denk daarbij aan applicaties als Spend Cloud, Intus InPlanning, iProtect, Ysis, IFS Ultimo en Elanza.
Om met een applicatie te kunnen koppelen moet een applicatie klaar zijn voor SSO. . Ondersteunt de applicatie bijvoorbeeld SAML, OpenID Connect of WS-Federation? In overleg met de applicatieleverancier realiseren we de koppeling met de applicatie, en testen deze integratie.
Is een applicatie niet geschikt voor SSO? Dan hoeft dat zeker niet te betekenen dat een integratie niet mogelijk is. In veel gevallen gaan we met de leverancier in overleg om alsnog een koppeling tussen HelloID en de applicatie te realiseren. Kan en/of wil de leverancier geen enkel SSO-protocol ondersteunen? Dan kan het gebruik van plugin-applicatie uitkomst bieden. Wel zijn hieraan enkele randvoorwaarden verbonden. Denk daarbij aan het uitrollen van de plugin naar alle werkplekken om de integratie te faciliteren.
Data en gegevens op orde brengen
Voor het realiseren van een koppeling is het daarnaast belangrijk dat gegevens in je applicaties op orde zijn. Zo is voor een SSO-koppeling altijd een zogeheten ‘koppelsleutel’ nodig, wat bijvoorbeeld een e-mailadres of personeelsnummer kan zijn. Deze gegevens moeten in de applicaties waartoe je gebruikers toegang wilt geven en je bronsysteem overeenkomen. Controleer of dit het geval is en pas dit indien nodig aan.
Daarnaast verwachten sommige applicaties additionele informatie. Het kan onder meer gaan om een personeelsnummers, geboortedatum of extra naamgegevens. Niet altijd is deze informatie standaard beschikbaar in een bronsysteem. Het kan daardoor nodig zijn de bron uit te breiden met deze gegevens. In andere gevallen is het voldoende om gebruikers eenmalig te vragen de benodigde informatie te verstrekken.
Let op: het inrichten en/of gebruik van een SSO–koppeling kan extra (maandelijkse) kosten vanuit de applicatieleverancier met zich meebrengen. Deze kosten variëren per applicatie. Breng de kosten daarom vooraf in kaart en neem hiervoor indien nodig contact op met de leverancier.
Multifactorauthenticatie
Bij SSO loggen gebruikers slechts eenmaal in, waarna zij toegang krijgen tot alle applicaties en databronnen waartoe zij bevoegd zijn. Het is dan ook cruciaal dat SSO -accounts optimaal zijn beveiligd. Multifactorauthenticatie (MFA) kan de veiligheid naar een hoger niveau tillen. In dit geval loggen gebruikers niet alleen in met een gebruikersnaam en wachtwoord, maar moeten hiervoor ook altijd een tweede middel gebruiken. Dit kan een authenticatie-applicatie op een mobiele telefoon zijn, maar bijvoorbeeld ook een code die via sms wordt toegestuurd of een zogeheten hardwaretoken.
Bepaal of je van MFA gebruik wilt maken en welke vorm het beste aansluit op de workflow van de gebruikers of wensen van je organisatie. HelloID Access Management biedt uitgebreide ondersteuning voor MFA-methoden, waaronder FIDO, Push-to-Verify, sms en e-mail. Ook zijn integraties mogelijk met onder meer Microsoft Authenticator en Google Authenticator. Je kunt MFA-methoden en tokens die je al in gebruik hebt blijven ondersteunen.
Integraties
HelloID Access Management geeft gebruikers standaard via een gebruiksvriendelijk dashboard toegang tot de applicaties die zij nodig hebben. Je kunt hiervoor echter ook gebruik maken van een eigen omgeving. Werk je bijvoorbeeld met een intranet- of IT-managementoplossing als TOPdesk, AFAS, SharePoint, Embrace, triptic of a&m impact? Dan kan je HelloID Access Management naadloos met dit systeem integreren. Gebruikers loggen in dit geval in op het intranet, en krijgen zo toegang tot hun eigen persoonlijke portal met alle informatie en communicatietools die zij nodig hebben. De HelloID widget geeft hen direct vanuit het intranet toegang tot bedrijfsapplicaties. Werknemers beschikken dankzij deze integratie over een gebruiksvriendelijke digitale werkplek die hen op alle vlakken ondersteunt.
Aan de slag
Wil je aan de slag met HelloID Access Management? Meer informatie is hier beschikbaar. Heb je vragen of wil je overleggen met onze experts? Neem dan contact met ons op.
In de input staat ook de volgende informatie:
- Bepalen hoe de gebruikers gaan inloggen
- Active directory dmv de HelloID agent
- Microsoft Entra ID
- Google Workspace
- ADFS
- Een andere SAML Identity provider (IDP)
Geschreven door:
Wim Bronswijk