Reconciliation

Wat is reconciliation

Reconciliation – of reconciliatie in het Nederlands – betekent letterlijk ‘verzoening’. In de context van IT-systemen gaat het om het vergelijken van vergelijkbare gegevens die in meerdere systemen worden opgeslagen, gebruikt en verwerkt. Reconciliation zoekt naar inconsistenties en herstelt die zodat je overal met de juiste gegevens werkt. We lichten dit hieronder wat uitgebreider toe en als IAM leverancier gaan we uiteraard ook dieper in op het gebruik van reconciliation voor je identity management.

Aanleiding reconciliation

Reconciliation is belangrijk als je gegevens in meerdere IT-systemen of databases beheert en wilt kunnen controleren of de gebruikte gegevens consistent zijn.

Een voorbeeld is een bedrijf met verschillende verkoopsystemen zoals een webshop, een Point-Of-Sale systeem en een CRM-platform. In ieder systeem zijn gegevens opgeslagen over het assortiment en prijzen; de actuele data hiervoor worden dagelijks vanuit één server verstuurd. Hier kunnen synchronisatieproblemen ontstaan terwijl het natuurlijk cruciaal is dat op ieder systeem altijd de juiste gegevens worden gebruikt. Daarom is het belangrijk dat regelmatig een reconciliation plaatsvindt om de consistentie van de gegevens in de verschillende verkoopsystemen te garanderen. Op vergelijkbare manier kan het ook voor back-up processen en migratieprojecten nodig zijn om te controleren of gekopieerde gegevens en de originele data identiek zijn. Reconciliation helpt in al die gevallen mismatches te ontdekken en te verhelpen.

Bij bovenstaande voorbeelden gaat het nog heel basaal om het direct vergelijken van identieke gegevens. Maar vaker nog gaat het bij reconciliation om verschillende processen en systemen met verschillende gegevens maar waarvan de output wel onderling consistent moet zijn. Denk bijvoorbeeld aan allerlei administratieve processen. Als je in een systeem de inkooporders van een bedrijf registreert, moeten die gegevens aantoonbaar in lijn zijn met de ontvangen inkoopfacturen in een crediteurenoverzicht. En op vergelijkbare manier moeten de verkoopgegevens van verschillende verkoopmanagers te relateren zijn aan de debiteurenadministratie. Ingewikkeld daarbij is dat zulke gegevens op verschillende tijdstippen worden aangemaakt; een verkoopmanager zal een verkoopbevestiging direct aanmaken, maar de bijbehorende factuur wordt pas verstuurd na levering. Ook kan één order uiteindelijk leiden tot meerdere facturen; of omgekeerd, meerdere orders worden in één factuur gecombineerd. Dit maakt zulke financiële en administratieve reconciliation vaak erg ingewikkeld en daarom is het een belangrijk onderdeel van moderne financiële en ERP-systemen.

Hoe werkt reconciliation?

We beschrijven hierna hoe we specifiek binnen HelloID reconciliation aanpakken. Maar laten we beginnen met te kijken hoe reconciliation in het algemeen werkt. Er zijn meerdere methodes en we geven een paar voorbeelden:

• Handmatige reconciliation: De meest eenvoudige reconciliation is het handmatige (of met simpele Excel sheets) vergelijken van gegevens in twee systemen of databases en de verschillen ook handmatig herstellen. Dit is uiteraard alleen een bruikbare optie in kleine, minder belangrijke systemen met weinig gegevens.
• Geautomatiseerde reconciliation: Met behulp van software tools of scripts kun je grotere groepen gegevens eenvoudig onderling vergelijken en de verschillen identificeren. De output bestaat uit lijsten met verschillen.
• Regel-gebaseerde reconciliation: Door allerlei regels toe te voegen aan je reconciliation tools kun je niet alleen gegevens slim vergelijken maar beheerders bijvoorbeeld ook de mogelijkheid geven om verschillen met ‘één klik’ te laten corrigeren. Het systeem geeft suggesties die je kunt accepteren of afwijzen.

Dit zijn een aantal basale voorbeelden maar er zijn allerlei varianten afhankelijk van de toepassing en doelstellingen. Je kunt bijvoorbeeld ook actuele gegevens vergelijken met back-up of audit gegevens om eenvoudig de recente wijzigingen te herkennen. Ook kun je het reconciliation-proces automatiseren zodat er dagelijks of wekelijks zo’n vergelijkingsproces wordt uitgevoerd. En bij zeer grote datasets kun je dagelijks een andere batch gegevens verwerken en zo verspreid over een periode regelmatig alle gegevens controleren.

Hoe pakken wij dit aan?

Hoe pakken we reconciliation aan binnen ons HelloID provisioning IAM platform? Daarvoor moeten we eerst nog even kijken naar de exacte rol van HelloID provisioning en daarna zoomen we in op het reconciliation proces.

De HelloID provisioning functionaliteit

Ons platform stroomlijnt en automatiseert voor organisaties het beheer van gebruikersaccounts en toegangsrechten. Dat werkt ruwweg als volgt:

• HelloID provisioning is veelal gekoppeld aan een of meerdere bronsystemen. Denk aan een HR-systeem of een leerling administratie systeem. Daaruit ontvangt het platform actuele informatie over de gebruikers, hun functie of rol(len) binnen de organisatie en andere relevante attributen zoals iemands afdeling of werklocatie.
• HelloID provisioning gebruikt die gegevens om aan de hand van zogeheten business rules voor iedere gebruiker te bepalen welke gebruikersaccounts en toegangsrechten hij of zij nodig heeft.
• HelloID provisioning is vervolgens met behulp van connectors gekoppeld aan een of meerdere doelsystemen, zoals EntraID, een CRM systeem, etc. HelloID provisioning stuurt verzoeken naar die systemen om daarin de benodigde accounts en toegangsrechten voor gebruikers aan te maken.

Met deze provisioning functionaliteit beheer je automatisch het grootste deel van alle accounts en toegangsrechten. En krijgt iemand een andere rol dan zorgt HelloID provisioning automatisch dat de accounts en rechten worden bijgewerkt, en ook vertrekkende gebruikers en de onboarding van nieuwe gebruikers worden automatisch verwerkt. HelloID biedt daarnaast ook een Service Automation module om individuele uitzonderingen te kunnen beheren. Bijvoorbeeld als een business analist voor een specifiek project tijdelijk een Adobe licentie nodig heeft.

Reconciliation binnen de HelloID governance

Met de bovenstaande functionaliteit automatiseer je de uitgifte en het beheer van accounts en toegangsrechten zodat je qua identity management ‘in control komt’. Aanvullend biedt HelloID ook een governance functionaliteit. Dat zijn tools om de compliance te bewaken, het identiteitsbeheer verder te optimaliseren en ontstane inconsistenties te corrigeren. Zo zorg je dat je ook ‘in control te blijft’. Belangrijk daarbij is de reconciliation functionaliteit om verschillen te verhelpen tussen de geregistreerde gegevens in HelloID provisioning en de actuele status in de aangesloten doelsystemen.

Hiervoor kan HelloID provisioning de instellingen van die doelsystemen uploaden en vergelijken met de geregistreerde gegevens in HelloID provisioning. Zo kun je onder andere ontdekken welke accounts en toegangsrechten en specifieke attributen ‘als beheerd’ staan geregistreerd binnen HelloID provisioning maar niet zijn geactiveerd in de achterliggende doelsystemen. Of vice versa: welke accounts en toegangsrechten zijn aanwezig in specifieke doelsystemen maar worden nog niet beheerd vanuit HelloID provisioning?

Van deze verschillen wordt een rapportage aangemaakt en HelloID provisioning ondersteunt je bij het oplossen ervan. Op deze manier kun je bijvoorbeeld aanwezige historie en vervuiling in doelsystemen opruimen, lokaal aangemaakte accounts (zoals service accounts) alsnog binnen HelloID provisioning in beheer nemen en onverhoopte mismatches tussen HelloID provisioning en doelsystemen corrigeren. Ook kun je aan de hand van deze rapportage verbeterpunten vinden om je business rules verder te optimaliseren.

Betere compliance dankzij reconciliation

Zo ondersteunt reconciliation direct je compliance met privacyrichtlijnen als de AVG/GDPR, informatiebeveiligingsnormen zoals de ISO 27001 en de daarvan afgeleide BIO en NEN 7510 standaarden. Belangrijk daarin is namelijk dat je kunt aantonen dat gegevens zoals ze worden gebruikt in beheerprocessen en -systemen een betrouwbare weergave zijn van de instellingen in de operationele systemen.

HelloID provisioning zorgt aan de hand van business rules voor één administratief overzicht van alle beheerde accounts en toegangsrechten. Dit noemen we daarom ook wel de SOLL-situatie. De reconciliation functionaliteit verifieert vervolgens of die door ons gewenste SOLL-situatie ook echt klopt met de IST-situatie: de werkelijk aangemaakte accounts en toegangsrechten in de verschillende doelsystemen. Zo realiseren we een volledige 360 graden terugkoppeling tussen HelloID provisioning en de gekoppelde systemen. En omdat we ook nog alle account- en rechtenwijzigingen automatisch loggen ten behoeve van audit trails kun je HelloID provisioning compliant houden met de actuele wet- en regelgeving.

Toekomstmogelijkheden met IAM reconciliation

HelloID ontwikkelt de reconciliation functionaliteit nog voortdurend verder; de concrete plannen hiervoor vind je op onze roadmap. Tegelijkertijd denken we ook al na over de verdere innovaties rondom dit onderwerp. We kunnen met reconciliation nu de inconsistenties tussen HelloID en doelsystemen eenvoudig herkennen. Ook beschik je al over de opties om zo’n inconsistentie met één klik op te lossen. Je kunt bijvoorbeeld voor een onbeheerd lokaal account een exclusie aanmaken om deze beheerd te maken. En bij een door HelloID beheerd account dat niet actief is in een doelsysteem kun je de instellingen met één handeling alsnog forceren.

De uitdaging blijft dan nog wel wát dan de juiste oplossing is. Wanneer kun je een account in beheer nemen en wanneer moet je deze juist verwijderen? Dat is iets waar we beheerders straks hopelijk nog beter kunnen helpen met kunstmatige intelligentie (AI) en machine learning. We schetsen twee voorbeeldscenario’s:

Onbeheerd account kan worden verwijderd

Stel dat een beheerder ooit een lokaal CRM-account heeft aangemaakt voor een medewerker met de naam Petra Jansen. Omdat ze bijvoorbeeld met haar rol geen standaard toegang had maar wel regelmatig collega’s moest vervangen. Later is haar formele rol aangepast en is via HelloID automatisch een account aangemaakt; het eerder aangemaakte en onbeheerde account is nu feitelijk overbodig. Bij je reconciliation ontdek je nu dat onbeheerde account maar hoe leg je in dit geval het verband tussen het ‘officiële’ account van Petra en dat inmiddels overbodige account? Zeker als er typo’s zijn gemaakt in de naamgegevens of Petra voorheen werkte als inhuurkracht en nu een vast contract heeft met een ander e-mailadres. Ook kan ze inmiddels getrouwd zijn en haar naamgegevens hebben aangepast etc. etc.

Dat is voor de beheerder een lastige puzzel en dan is het een uitkomst als je via een slim reconciliation dashboard automatische suggesties krijgt. Bijvoorbeeld dat Petra Janssen of Petra Benali waarschijnlijk dezelfde persoon zijn als Petra Jansen. Gewone typo’s kunnen we nu al prima herkennen maar met technieken als ‘fuzzy matching’ en andere AI-gebaseerde oplossingen kun je ook de minder voor de hand liggende matches ontdekken. Tot en met een mogelijke match tussen twee accounts met totaal verschillende namen maar wel overeenkomsten in de gebruikerskarakteristieken zoals die zijn opgeslagen in de loggegevens.

Andersom: onbeheerd account als exclusie in beheer nemen

Het omgekeerde kan ook. Stel dat Petra blijft fungeren als stand-in op de afdeling en men het ook prima vindt dat ze daar die lokaal aangemaakte account voor blijft gebruiken. In dat geval wordt dit account in ieder reconciliation rapport gelabeld als een onbeheerde account. Een mogelijke match met een andere account is niet te vinden en de beheerder zal na overleg een exclusie aanmaken voor bijvoorbeeld 3 maanden. Na een paar reconciliation runs herkent de kunstmatige intelligentie dit patroon en zal het platform deze exclusie voortaan als suggestie klaarzetten inclusief een korte toelichting. De beheerder moet die alleen nog maar te bevestigen.

Zo kun je je voorstellen dat we met behulp van slimme AI-algoritmes en machine learning steeds beter in staat zijn de samenhang tussen de verschillende gegevens in bronsystemen, doelsystemen en – de spin in het web – jouw IAM omgeving in sync te houden. We kunnen onvolkomenheden eerder herkennen en slimmere verbetersuggesties doen. En we helpen beheerders niet alleen bij de correctie van accountgegevens en toegangsrechten maar we kunnen je ook helpen je business rules steeds verder te optimaliseren. Het is zo maar een voorbeeld van steeds geavanceerdere IAM reconciliation algoritmes.

Meer weten over onze IAM reconciliation?

Je ziet dat je op deze manier aan de hand van de reconciliation functionaliteit je account- en rechtenbeheer verder kunt professionaliseren en mismatches tussen je doelsystemen en de centrale HelloID database ontdekken en corrigeren. Zo vormt het een belangrijk onderdeel van je HelloID governance functionaliteit. Wil je meer weten over het gebruik van de governance module in het algemeen of specifiek de reconciliation functionaliteit? Bekijk hier dan ons webinar of onze governance pagina.