sislink11 - gedeeltelijk uitbesteden van het identity management door de ahk - ferry de jong (ahk)
Post on 24-Jan-2015
116 Views
Preview:
DESCRIPTION
TRANSCRIPT
28-6-2011
1
SISLink 2011
IDENTITY MANAGEMENT AS A SERVICE
EEN NIEUWE HYPE OF EEN BEPROEFDE DIENST?
VRIJDAG 24 juni 2011
Gemaakte keuzes en de ervaringen in het
gebruik bij de AHK
ing. Ferry J. de Jong MSc RI
Hoofd ICT
1
2
AHK (Amsterdamse hogeschool voor de Kunsten)
2
6 gebouwen in het centrum van
Amsterdam
Conservatorium van Amsterdam, de
Theaterschool, Academie van
Bouwkunst, Academie voor
Beeldende vorming, Reinwardt
Academie (Museologie), Nederlandse
Film en Televisie Academie
3400 studenten/ cursisten
± 700 medewerkers en
± 700 freelance (gast)docenten
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
2
3
ICT bij de AHK, enige kenmerken (1)
• Centrale ICT met uitzondering van zeer specifieke
onderwijsonderdelen (bv rendering en film opslag bij de
Film Academie)
• Maken nu 3 jaar gebruik van servervirtualisatie
(VMware 4, 150 VS) in combinatie met centrale storage
(EMC SAN, 15 TB)
(OS servers: Windows en Linux, databases: Oracle, MS
SQL Server en MySQL)
• 400 Mac’s en 900 Windows werkplekken + …
• Glasvezelring (2 Gb/s) tussen de locaties (cwdm),
verbinding met internet 1 Gb/s (SURFnet)
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
• Functionaliteit is leidend
• Toepassen van standaard software open source en …
• Zoveel mogelijk gebruik maken van open standaarden
• Er moet voor alle onderdelen van de ICT een significante
ondersteuning mogelijk zijn door leverancier/third parties
• ICT omvat: helpdesk, systeem- en netwerkbeheer,
technisch - en (functioneel) applicatiebeheer,
procesbeheer en ICT architectuur.
• Functioneel applicatiebeheer vindt plaatst bij de
business units. Niet altijd even gemakkelijk
ICT bij de AHK, enige kenmerken (2)
4
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
3
IdentitySyncIGI group
ActiveDirectory
KaartManagement
Systeem
Self ServicePortal
(Novell)Bron-
systeemPersoneel
(PersMaster)
Bron-systeem
GastDocenten (Synergy)
Bron-Systeem
Studenten (Alluris)
Mail enAgenda (Zimbra)
ldap
5
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
6
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
4
Aanvulling door kennis
van IdM Branche Cloud
leverancier
•Onderwijs proces
Extra aanvulling door
kennis van IdM Branche
Cloud leverancier
•Gekoppelde systemen
7
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
IdentitySyncIGI group
ActiveDirectory
KaartManagement
Systeem
Self ServicePortal
(Novell)Bron-
systeemPersoneel
(PersMaster)
Bron-systeem
GastDocenten (Synergy)
Bron-Systeem
Studenten (Alluris)
Mail enAgenda (Zimbra)
ldap
8
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
5
Waarom niet zelf doen?
9
Geen hardware-, OS beheer
Geen kennis nodig van IdM
applicatie
Geen zorg m.b.t. techniek van de
koppelingen
Je kunt al je energie richten op
het implementeren van de
functionaliteit
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
Waarom niet zelf doen?
10
Techniek
Ontbreken van kennis m.b.t. technieken om koppelingen
(SPML (Service Provisioning Markup Language), java etc.)
te maken
Onvoldoende ervaring m.b.t. het maken van koppelingen
IdM Branch Cloud (Identity as a Service – IGI group)
Gebruik maken van ervaring opgedaan in onze branch
m.b.t. IdM en Acces Management
Er worden veel dezelfde koppelingen gemaakt. Delen van
de kosten
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
6
11
Wat blijft er over?
11
Er blijft nog wel wat te doen:
Maken van een scope, ambitie beleidsplan IdM
Functioneel inrichten koppelingen
Last but not least:
Te koppelen systemen moeten gekoppeld worden. Wie
doet dat en wie voert de regie?
Maken van afspraken over: ............
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
Te maken afspraken?
• Governance (wat wil je geregeld hebben)
• SLA
• Security maatregelen
• Privacy , geheimhoudingsverklaring (onderdeel
bewerkersovereenkomst)
• Lock-in (business rules, koppeling documenten,
gebruikte standaarden, .....)
• Proces einde contract
12
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
7
Waar heb je last van?
13
• Je moet je conformeren aan de business rules zoals
deze standaard gedefinieerd zijn
Onderstaande documenten zullen redelijk standaard zijn:
• SLA
• Security maatregelen
• Privacy overeenkomst, geheimhoudingsverklaring
(onderdeel bewerkersovereenkomst)
• Proces einde contract
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
Inventarisatie
Per koppeling meerdere partijen nodig:
• IdM Branche Cloud leverancier
• AHK functioneel beheer
• ICT
• (de leverancier van de te koppelen functionaliteit)14
Voorbereiding
• Business rules
• Inventarisatie van de koppeling gegevens (belangrijkste)
– Gegevens
– Bewerkingen op gegevens
– Triggers
– Te gebruiken standaarden
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
8
Op welke niveaus moet je
aansturen?
Overal niveau: IdM projectmanager
Bewaakt de overall view
• Business rules
• Communicatie met projectmanager van de IdM
Branche Cloud leverancier
Consultancy
• Informatie Manager
• Hoofd ICT
• Service Manager
• Security Officer
• Architect15
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
1616
Organisatiestructuur (hoofdniveau)
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
9
Aansturing (vervolg 1)
Projectmanager koppelingen
Bewaakt op overall koppelingniveau
• Overall technisch overzicht
• Beheer koppelingsdocumenten (functioneel)
• Beheer business rules
• Directory koppeling (technisch/ functioneel)
• Uitvoering Authenticatie (technisch)
• Migratie (technisch/ functioneel)
17
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
1818
Organisatiestructuur (vervolg 1)
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
10
Aansturing (vervolg 2)
Per koppeling een koppeling manager
Bewaakt op overall koppelingniveau
• Uitvoering koppelingsdocument
• Communicatie met de “uitvoerders” van de IdM Branche
Cloud leverancier, functioneel beheer (en externe
vertegenwoordigers van de te koppelen functionaliteit)
19
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
2020
Organisatiestructuur (vervolg 2)
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
11
21
Aansturing (hulpmidden)
• Business rules
• Standaard koppelingsdocument (uniforme beschrijving per
koppeling)
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
22
Waar staan we nu
• Al twee testen achter de rug
Ziet er goed uit
• Staan nu op het punt van life gaan
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
12
23
Ervaringen tot nu toe
• Leverancier levert know how die wij niet hebben en niet
willen hebben (zorgt ook voor onrust op de afdeling)
• Aansturing eigen organisatie onderschat
• Heel belangrijk is de allignment met de leverancier
• Ik weet wel dat als we het niet geSaaSd hadden dat we
dan niet zo ver waren geweest.
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
24
Knelpunten
• Overgang naar een nieuw SIS wat nog niet af was en
vorige week in productie is genomen (B&E Alluris)
• Overgang van SUN LDAP naar OpenLDAP
• Overgang van Windows 2008 met een nieuwe AD
• Te weinig kennis van te koppelen systemen
• Te weinig resources op regie vlak
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
28-6-2011
13
25
SIS
Lin
k,
IdM
as a
Serv
ice,
24 ju
ni
2011
Succes met
Identity
Managementferry.dejong@ahk.nl
020-5277704
top related