Codarts-QAP360

Toekomstvaste Identity-as-a-Service (IDaaS) voor hogeschool Codarts

Codarts is een toonaangevende internationale kunsthogeschool met bachelor- en masteropleidingen op het gebied van muziek en performing arts (o.a. dans, muziektheater en circus). Tools4ever en HelloID-partner QAP360 verzorgden voor Codarts een IDaaS oplossing ten behoeve van de studenten en (gast) medewerkers.

Codarts telt ruim 1.000 studenten en 420 medewerkers. Het Informatiemanagement & IT (IMIT) team beheert voor hen alle IT diensten. Men werkt vanuit een duidelijke visie met zoveel mogelijk gebruik van cloud-based oplossingen. De leveranciers verzorgen daarbij het technische beheer waardoor het IMIT team zich volledig kan richten op de kwaliteit, het beleid en de ontwikkeling van de dienstverlening. Codarts wenste een toekomstvaste Identity en Access Management omgeving die voldoet aan het SURF normenkader en andere richtlijnen. “Flexibiliteit is bovendien cruciaal”, vertelt Roberto Barros Andrade, CIO & CISO bij Codarts: “Onze organisatie is niet in een sjabloon te gieten; alleen standaard on- en off-boarding is bij ons niet voldoende. We maken bijvoorbeeld veel gebruik van gastdocenten die tijdelijk een account nodig hebben. Daarnaast zijn er studenten die ook onderwijstaken uitvoeren. Onze oplossing moet dus de wendbaarheid hebben om deze gevarieerde ‘user journeys’ goed te ondersteunen”.

“In essentie bestaat onze IAM oplossing uit twee separate, samenwerkende delen. Het Access Management – met authenticatie, Single Sign-On (SSO), Multi Factor Authenticatie (MFA) en password reset – realiseerden we met Microsoft EntraID. Specifiek voor het beheer van alle digitale identiteiten kozen we het HelloID platform van Tools4ever. Dat onderscheidt zich met een duidelijke productvisie terwijl er voldoende ruimte is om eigen add-ons te laten ontwikkelen en toe te voegen. Zo voegden we op basis van de HelloID Service Automation module een gastaccount systeem en service brokerfunctionaliteit toe. Deze aanvullingen zijn ontwikkeld door HelloID partner QAP360. Daarbij is er een duidelijke rolverdeling. Als leverancier van het HelloID platform richt Tools4ever zich op de doorontwikkeling en het beheer van het core platform. QAP360 heeft veel expertise en ervaring met HelloID en daarmee kunnen hun consultants onze specifieke wensen snel en effectief vertalen naar werkende oplossingen.”

HelloID Provisioning als basis

De accounts en toegangsrechten voor medewerkers en studenten worden uitgegeven en beheerd met de HelloID Provisioning module. Er is een koppeling gerealiseerd met AFAS voor de medewerkersgegevens en met Osiris voor de studentdata. Na het registratieproces van een medewerker of student in de betreffende bronsystemen creëert HelloID automatisch een gebruikersaccount en de bijbehorende toegangsrechten, afhankelijk van iemands rol in de organisatie. De relatie tussen rollen en toegangsrechten zijn in HelloID vastgelegd met configureerbare business rules. Deze standaard provisioning en accountbeheer was het startpunt, schetst Roberto: “Binnen Codarts hebben mensen vaak tijdelijke aanstellingen die ook niet per se parallel lopen aan een studiejaar. Ook kunnen mensen verschillende deelaanstellingen combineren met rollen bij meerdere academies”.

Flexforce voor gastaccounts

Omdat er nog geen bronsysteem beschikbaar was voor die tijdelijke medewerkers, zocht Codarts ook een oplossing om ook deze accounts en toegangsrechten professioneel te beheren, vervolgt Roberto: “De oplossing vonden we in de HelloID Service Automation (SA) module. Deze module biedt de gereedschappen om zelf accountprocessen te automatiseren. QAP360 heeft hiermee onze Flexforce module ontwikkeld. Hierin kunnen managementassistenten van de verschillende academies zelfstandig gastaccounts aanmaken en beheren. Inclusief een termijnbewaking zodat de accounts tijdig worden verlengd of juist automatisch worden opgeruimd. De accounts worden automatisch voorzien van de juiste toegangsrechten en licenties aan de hand van iemands rol binnen Codarts.”

Service broker functionaliteit

En er zijn meer voorbeelden, vertelt Roberto: “We ontwikkelden met behulp van de Service Automation module ook service broker functionaliteit om de gegevensuitwisseling tussen verschillende systemen te stroomlijnen. Als we bijvoorbeeld pasjes uitgeven binnen Codarts zijn daar naast fysieke toegang ook allerlei andere faciliteiten aan gekoppeld die moeten worden geregistreerd in de bijbehorende systemen. QAP realiseerde op basis van HelloID deze automatische gegevensuitwisseling. Dit illustreert ook onze onderlinge samenwerking. De Service Automation module biedt de gereedschappen, wij als Codarts inventariseren en definiëren onze eisen en QAP vertaalt deze vervolgens naar werkende functionaliteit.”

Van Identity Management naar Identity Governance

“We zijn nu onze visie verder aan het uitbouwen”, legt Roberto uit. “De voorbeelden die ik hiervoor noemde, waren vooral gericht op het stroomlijnen en automatiseren van ons account- en rechtenbeheer. Onze volgende stap is om te zorgen dat we ook echt grip houden op alle digitale identiteiten, rollen en business rules binnen Codarts. Zijn altijd de juiste rechten aan rollen gekoppeld? En iedere identiteit aan de juiste rol of rollen? We kijken nu hoe we – bijvoorbeeld met role mining – meer inzicht kunnen krijgen in dat ‘identity raamwerk’. We willen vergissingen zoveel mogelijk proactief herkennen in plaats van ze achteraf herstellen en we werken aan een koppeling met de SOC/SIEM omgeving zodat potentiële kwetsbaarheden tijdig worden gedetecteerd en opgelost. Zo ontwikkelen we ons gaandeweg van een geautomatiseerd Identity Management naar een volwaardige Identity Governance omgeving.