Service Automation

Service automation is een verzamelnaam voor methodes, technieken en systemen om handmatige en routinematige serviceprocessen te automatiseren. Daarbij heb je het over allerlei werkzaamheden die kunnen variëren van klantinteracties, gegevensverwerking en roosters plannen tot en met het genereren van rapportages. Dankzij service automation kunnen organisaties efficiënter werken, de gebruikerservaring verbeteren, kosten verlagen, hun capaciteit sneller opschalen en de nauwkeurigheid verhogen. Bij het automatiseren wordt gebruik gemaakt van onder andere workflowmanagement systemen, Robotic Process Automation (RPA) en ook kunstmatige intelligentie (AI).

Service automation is relevant binnen tal van domeinen en bedrijfsprocessen. Ook rondom de uitgifte en het beheer van digitale accounts, toegangsrechten en andere faciliteiten is veel winst te boeken met service management automation. Daarom zoomen we in dit kennisbank artikel specifiek in op de service automation mogelijkheden rondom Identity en Access Management.

Service Automation mogelijkheden binnen IAM

De service automation mogelijkheden rondom Identity en Access Management zie je direct als je nagaat hoe we binnen organisaties accounts, toegangsrechten en verdere IT-faciliteiten handmatig verstrekken. We geven een voorbeeld van de stappen die je dan moet zetten:

Stap 1.  Als een nieuwe medewerker een contract krijgt, verwerkt een HR medewerker diens gegevens in de HR-systemen. Naast allerlei persoonlijke gegevens registreer je bijvoorbeeld ook iemands functie, afdeling, werklocatie en vaardigheden.

Stap 2. Vanuit HR gaat er vervolgens een mailtje naar de IT-desk met het verzoek om accounts aan te maken in verschillende systemen, bijvoorbeeld naar de kantoorsystemen (Office) en de benodigde bedrijfsapplicaties.

Stap 3. Iemand binnen het IT-team maakt vervolgens een Active Directory account, een e-mail account en een Office account aan. Ook moeten de juiste mappen en groepen worden toegekend, afhankelijk van iemands werkzaamheden.

Stap 4. Voor de aanvullende bedrijfsapplicaties – zoals een CRM-systeem of een ERP-applicatie – gaan verzoeken naar de beheerders van de betreffende applicaties. Die maken nieuwe accounts aan voor de medewerker en zorgen ook dat de juiste rechten worden toegekend. Ook in het HR-systeem wordt een account aangemaakt met toegang tot het HR-portal.

Stap 5. Daarnaast worden in het kader van iemands onboarding fysieke zaken verstrekt zoals een laptop, telefoon en toegangspasje. Ook die moeten worden voorzien van de juiste instellingen en rechten.

Stap 6. Na de onboarding zullen er nog regelmatig wijzigingen nodig zijn. Als iemand een nieuwe functie krijgt bijvoorbeeld of op een andere afdeling gaat werken. Iemand kan dan andere applicaties en rechten nodig hebben en daarvoor moet de HR-afdeling een verzoek indienen bij de IT-desk. Die organiseert vervolgens dat die wijzigingen worden doorgevoerd in de achterliggende systemen.

Stap 7. En ook kan iemand – bijvoorbeeld voor een project waar hij of zij betrokken is – ook nog andere software nodig hebben en toegang tot specifieke mappen. De betreffende manager moet hiervoor een verzoek indienen bij de IT-desk.

Alles bij elkaar betekent dit een wirwar aan handmatige processen en zelfs als iedere handeling op zichzelf niet zoveel tijd kost, is er meestal toch een enorme doorlooptijd door al de uitgewisselde mailtjes, extra afstemming bij onduidelijkheden en het corrigeren van vergissingen. Het volledig openen van iemands IT-accounts en rechten kan zomaar een week of meer kosten en een IT-medewerker kan per maand meerdere dagdelen kwijt zijn aan alle handmatige mutaties. Ook omdat er ook nog mensen zijn met extra verzoeken zoals naamwijziging of password resets.

Hier zit dan ook een enorm service management automation potentieel. Binnen het IAM domein is daarbij de grootste winst te maken met wat we geautomatiseerde provisioning noemen. In onze ervaring is daarmee zo’n 80% van alle handelingen te automatiseren en daar richten we ons dus in eerste instantie op.

Naar standaardisatie en automatisering van de provisioning

Bij kleinere of startende ondernemingen is het niet zo vreemd dat voor de accountuitgifte bij een nieuwe medewerker een soort ‘copy-and-paste’ wordt gedaan. Je kopieert de gegevens van een bestaande werknemer en past die aan voor de nieuwe collega. Tegelijkertijd levert dat al snel discussies op want de nieuwe collega heeft toch net andere taken, er blijken inmiddels andere applicaties beschikbaar te zijn etc. etc..

Zodra je als organisatie groeit, ontkom je er dan ook niet aan om dat rechtenbeheer structureler te organiseren en standaardiseren. Niet alleen omdat dat efficiënter is maar ook omdat dit wordt geëist door wet- en regelgeving. De AVG schrijft bijvoorbeeld voor dat medewerkers alleen toegang krijgen tot persoonsgegevens als dat noodzakelijk is voor iemands functie en werkzaamheden.

Veel organisaties werken dus met een zogenaamd ‘functiehuis’ met helder omschreven standaardfuncties; en met duidelijke beleidsregels over welke software en rechten verstrekt mogen worden bij welke functies, afdelingen, werklocaties en deskundigheden.

Een voorbeeld: Met de functie ‘verplegende’ in een ziekenhuis krijg je toegang tot het Elektronisch Patiënt Dossier, maar het hangt af van je afdeling af tot welke patiëntgegevens je toegang krijgt en of je de medicatiemodule kunt gebruiken is afhankelijk van je deskundigheden.

Als je eenmaal die standaardisatie hebt doorgevoerd, kun je die uitgifte en het beheer van accounts en toegangsrechten ook volledig automatiseren. Binnen een IAM oplossing als HelloID maken we voor die automatische provisioning gebruik van Attribute Based Access Control. Dat werkt als volgt:

• Het bronsysteem voor die automatische provisioning is vaak het HR-systeem. Daarin zijn op ieder moment de actuele gegevens (of attributen genoemd) van iedere medewerker vastgelegd.
• Binnen het HelloID platform kunnen business rules worden geconfigureerd. Business rule definiëren welke medewerker welke accounts en rechten krijgt aan de hand van gebruikersattributen uit het HR-systeem zoals iemands functie, afdeling, locatie etc.
• Vervolgens geeft HelloID de verschillende doelsystemen instructies om de benodigde accounts aan te maken en de rechten in te stellen.
• Krijgt iemand op een bepaald moment een andere functie of afdeling? Dan zal dit over het algemeen ook betekenen dat iemand andere software en rechten nodig heeft. HelloID leidt dit af van de business rules en geeft instructies door naar de doelsystemen om de wijzigingen door te voeren.
• Verlaat iemand de organisatie, dan herkent HelloID deze wijziging vanuit het HR-systeem en zal het platform automatisch instructies geven aan de doelsystemen om de toegang te blokkeren en na een vastgestelde periode de accounts te verwijderen.

Bijna alles wat in de vorige paragraaf handmatig werd uitgevoerd, gaat nu volledig automatisch en binnen één dag. Handmatig was de doorlooptijd vaak zeker enkele dagen.

Individuele aanvragen handmatig verwerken?

We noemden al dat je met die geautomatiseerde provisioning zo’n 80% van je oorspronkelijke handmatige IAM taken kunt automatiseren. Voor sommige medewerkers – vaak de meer operationele rollen – kun je alle accounts en rechten automatisch verstrekken aan de hand van functies, afdeling etc. Maar er zijn mensen met een minder scherp omschreven rol zoals bijvoorbeeld projectmanagers. Die geef je bij de provisioning de standaard kantoorsoftware maar de verder benodigde software en gegevens zijn afhankelijk van de projecten die ze oppakken.

Er moet dus ruimte zijn voor individuele verzoeken. Bijvoorbeeld voor de aanvraag van een projectmanagement tool en toegang tot de projectmap. Daarnaast zijn er ook andere individuele wijzigingsverzoeken mogelijk. Bijvoorbeeld als iemand is getrouwd en graag de naam van de partner wil opnemen in het e-mailadres. Of als iemand zijn of haar password wil resetten.

Hiervoor zijn allerlei mogelijkheden, variërend van een mail of telefonisch verzoek naar de IT-desk of een online ticket in een IT Service Management systeem. Maar het grootste deel van de verwerking blijft handmatig en zo kan die laatste 20% van je IAM handelingen je nog erg veel werk opleveren. Vooral omdat er op de achtergrond vaak allerlei extra handelingen zijn. Een individuele licentieaanvraag moet uiteraard worden beoordeeld door iemands manager en meestal ook door de resource eigenaar want je wilt niet te veel licenties uitgeven. Ook wil je die individuele verzoeken, de goedkeuring ervan en de activatie nauwkeurig registreren ten behoeve van audits achteraf. En tenslotte wil je zulke individuele rechten vaak maar tijdelijk actief laten zijn. Je wilt niet dat medewerkers onbeperkt licentierechten opstapelen en je wilt ook de kosten onder controle houden.

Service Automation van individuele aanvragen

Er is dus veel te winnen als je ook die 20% individuele handelingen gaat automatiseren. Als we weer even de HelloID oplossing als voorbeeld nemen, doen we dat met behulp van de Service Automation module. Deze module maakt het mogelijk individuele aanvragen zoveel mogelijk te automatiseren. Daarmee bespaar je tijd, verhoog je de productiviteit van medewerkers en verbeter je de werknemerstevredenheid. Op hoofdlijnen biedt Service Automation je twee mogelijkheden:

• Self-service producten: Hierbij gaat het om het automatisch aanvragen van een specifiek recht zoals toegang tot een bestaande (groep)mailbox, projectfolder of applicatie. Je kunt deze toegang eenvoudig zelf aanvragen en laten goedkeuren. Bij het product hoort een online goedkeuringsflow waarin de verantwoordelijke manager en/of product owner zijn opgenomen.
• Delegated forms: Deze formulieren zijn geschikt voor andere wijzigingsaanvragen rondom accounts of accountattributen. Denk aan een formulier om een wachtwoord te wijzigen, of het aanmaken van nieuwe folders of mailboxes. Bij deze aanvragen heb je meer input nodig zoals de naam van de nieuwe folders of mailbox en die gegevens voer je in via zo’n gedelegeerd formulier.

Bij de 20% individuele verzoeken gaat het dus om verschillende soorten producten en aanvragen: individuele mailboxen, groepen, mappen, licenties, toegangsrechten etc. Ieder type verzoek is net even anders en je kunt deze gaandeweg automatiseren. Een handige aanpak is om te inventariseren wat je tien meest voorkomende service tickets zijn. Daar kun je mee starten en van daaruit kun je stapsgewijs steeds meer type aanvragen automatiseren.

Daarbij is het nuttig dat we een driestap adoptiemodel bieden. Sommige veranderingen zijn immers relatief groot en dan is het ongewenst ze direct organisatie-breed uit te rollen. Daarom kunnen we nieuwe functies in eerste instantie introduceren naar servicedesk medewerkers. Van daaruit kun je verder migreren naar bijvoorbeeld managers of key-users en desgewenst als laatste stap volledige eindgebruikers self-service introduceren. We schetsen die drie stappen hier:

Stap 1

Delegatie naar de service desk: Normaliter moeten verzoeken technisch worden doorgevoerd in de back-end systemen door gespecialiseerde medewerkers met hoge adminrechten. Met de Service Automation functionaliteit kunnen minder ervaren helpdeskmedewerkers deze verzoeken nu zelfstandig verwerken. Deze service desk automation maakt het werk eenvoudiger, veiliger, goedkoper én auditeerbaar.

Stap 2

Delegatie naar managers en/of ‘resource owners’:Een vervolgstap is om de afhandeling van de wijzigingsverzoeken te verplaatsen naar bijvoorbeeld managers of key users. Zij kunnen de verzoeken binnen hun team zelf beoordelen, de producten activeren en gedelegeerde formulieren invoeren en verwerken. Technisch gezien is dit een eenvoudige stap maar organisatorisch is de impact groter. Managers krijgen nu zelf bijvoorbeeld meer grip op het applicatiegebruik van hun medewerkers.

Stap 3

Delegatie naar gebruikers: Dit is de ultieme stap naar eindgebruiker self-service. Via een online catalogus met producten en formulieren kunnen medewerkers zelfstandig aanvragen indienen die na online beoordeling/goedkeuringsstappen door hun manager(s) of producteigenaren automatisch worden verwerkt in de betrokken back-end systemen.

Meer weten over service automation van IAM processen?

Meer weten van de service automation mogelijkheden met behulp van onze HelloID modules? Bekijk hier de module pagina van service automation.