Vitens, het grootste drinkwaterbedrijf van Nederland, heeft SAP GRC Access Control geïmplementeerd in een hybride SAP en non-SAP (cloud)landschap met joiner-, mover- en leaverprocessen, inclusief SAP IAG bridge voor cloudsystemen. Virgil Verloop en Ilone Roelofsen vertellen hoe ze dit hebben gedaan en welke lessen zij trekken uit dit omvangrijke traject.
Drinkwaterbedrijf Vitens levert drinkwater aan 5,8 miljoen klanten in de provincies Flevoland, Friesland, Gelderland, Utrecht en Overijssel. Ruim 1.500 vakmensen zorgen er 24 uur per dag voor dat het drinkwater betrouwbaar en beschikbaar is. Access control is natuurlijk voor elke organisatie belangrijk, maar voor Vitens des te meer. Drinkwaterbedrijven behoren tot de vitale infrastructuur van Nederland. Daar hoort, ook van overheidswege, een hoogwaardige beveiliging bij.
80% provisioning requests naar SAP geautomatiseerd
Virgil Verloop is Product Owner van het IAM-team, GRCconsultant en verantwoordelijk voor SAP-security bij Vitens. Hij werkt daarbij samen met Ilone Roelofsen. Zij is Scrum Master van het IAM/GRC team, DevOps member en functioneel beheerder bij het drinkwaterbedrijf. Beiden hebben een belangrijke rol gespeeld in een aantal omvangrijke GRC-projecten. Een van de belangrijkste successen hiervan is dat ze erin zijn geslaagd om 80% van alle provisioning requests naar SAP te automatiseren. Als je Active Directory erbij neemt, praten we over ongeveer 70%. Dit zijn provisioning requests op basis van de HR-functie. De overige 30% is dus semi geautomatiseerd met losse access requests met goedkeuringsstappen en automatische provisioning op het eind.
Raamwerk
Om goed uit te leggen wat er op dit moment ingevoerd wordt bij Vitens, laat Virgil het raamwerk zien dat binnen de organisatie is ingericht. “Het is een overzicht van de zes bouwblokken van de oplossing. Dat zijn achtereenvolgens Identity Lifecycle Management, Authorization Management, Business Alignment, Authentication, Privileged Access Management en Review. Het gaat over hoe medewerkers binnenkomen bij het bedrijf. Die leg je vast in een gezaghebbende bron en daarbovenop zet je allerlei processen, zoals instromers, doorstromers, uitstromers en verlengingen. Voor onze medewerkers maar ook voor onze partners en externen. Van die identiteiten maken wij users in al onze SAP-systemen maar ook in onze non-SAP-systemen. Aan die users koppelen we bedrijfsrollen: in het blok Authorization Management (een bedrijfsrol is een container) zitten allerlei subrollen voor ECC, SAP, BI, CRM maar ook voor Active Directory systemen en Cloud systemen. En die zetten we door naar onze applicaties. Dat is de huidige situatie. Maar we denken ook over de toekomstige situatie waarbij we kijken naar verantwoordelijkheden die horen bij een bepaalde functie, met functiescheidingsconflicten. Omdat we niet in een perfecte wereld leven, hebben we een reviewblok bedacht waarin we verschillende instrumenten hebben. Bijvoorbeeld de user access en de SoD (Segregation of Duties) review wat onder governance valt. Al die bouwblokken samen hebben we ingericht met de tool SAP GRC: Governance, Risk en Compliance.”
Projectmethodiek
Voor welke aanpak is gekozen bij dit omvangrijke project? “We zijn klein begonnen en hebben het langzaam uitgebreid’’, vertelt Virgil. “We hebben een projectmethodiek van ASAP gebruikt met een stukje Agile erin. De blauwdruk deden we via de watervalmethode maar SAP heeft ook een Rapid Deployment Solution (RDS). Dat is een heel raamwerk hoe je snel dat product kan implementeren met voorbeelden voor testscripts, welke (sub)fases je nodig hebt en welke mensen je moet betrekken bij het project. Later zijn we uitgegroeid tot een DevOps-team. Ilone is hiervan de scrummaster en ik de product-owner.”
T-shaped mensen
Ilone: “Zo’n DevOps-team bestaat uit allerlei soorten mensen. Wij hebben een team met veel alleskunners, waaronder vrij veel T-shaped mensen. Mensen met zowel brede als specialistische vaardigheden en kennis. Wij testen onze eigen changes, we leggen zelf de testcases aan, we doen ook zelf de informatieanalyse. Het zijn Security & Authorization (S&A)-consultants en Governance, Risk en Compliance (GRC)-consultants voor SAP.
Opbouw van het project
Hoe is de data gestructureerd in deze projecten? “Alles vloeit voort uit het personeelsdossier (SuccesFactors) en uit de initiële input van de overeenkomstige manager”, legt Ilone uit. “We hebben formele instromers-, doorstromers en uitstromersprocessen die worden geïnitieerd via een SuccessFactorsformulier. Ook updates van stamgegevens worden op soortgelijke wijze uitgevoerd. Al deze flows zijn selfservice voor de zakelijke gebruiker en managers en eenvoudig te gebruiken. De truc is het toewijzen van bedrijfsrollen aan de HR-functiecodes.”
Consistente attribuut mapping
“Attributen zijn nooit consistent over de applicatiesystemen heen. In ons project was het essentieel om ze in kaart te brengen en te harmoniseren in één overzicht voor het automatiseringsniveau dat we hebben bereikt’’, benadrukt Virgil. “Naast de volledige geautomatiseerde provisioning via SAP GRC zijn er in sommige gevallen nog enkele handmatige stappen nodig zoals organisatietoewijzingen in CRM. Licentiegegevens hoeven we niet meer handmatig te onderhouden want dit hebben we geautomatiseerd met SNOW op basis van het daadwerkelijk gebruik in SAP (STAD data)”.
SAP GRC en Microsoft
SAP GRC heeft standaard connectoren voor de integratie met Active Directory (Secure LDAP). Deze werken goed voor de groep provisioning maar minder goed voor de user provisioning. Vitens heeft ervoor gekozen om de user provisioning via SuccessFactors Inbound Provisioning te laten lopen. Dit is een standaard integratie tussen SAP SuccesFactors en Active Directory. SAP GRC brengt dit weer samen met de bedrijfsrollen waar zowel SAP als Active Directory wordt geprovisionised”, aldus Ilone.
Toekomst
Met de inrichting van haar IAM-processen is Vitens erin geslaagd om 70% van de provisioning requests te automatiseren. In de afgelopen jaren is Vitens bezig met het overstappen naar steeds meer cloudsystemen (SFEC/SAC/C4C /Azure AD etc.) waardoor het landschap hybride wordt. Om de brug naar hybride te kunnen slaan hebben we SAP Cloud Identity & Access Governance geïmplementeerd als extensie op SAP GRC en zijn we nog steeds bezig om deze nieuwe Cloud systemen op een eenduidige manier aan te sluiten.
Lessons learned
Hoe kijken jullie terug op dit project tot nu toe? Ilone: “Al bereid je het nog zo goed voor, en al deel je het op in kleine bouwblokken: in de praktijk verlopen dingen soms toch anders dan gepland. Je weet nooit wat je tegenkomt. Je zult het commitment van de directie en het senior management moeten hebben om de silo’s in je organisatie te doorbreken en ook mandaat moeten krijgen voor beslissingen die impact hebben op HR- en ICT-processen. Het senior management dient ook duidelijke richtlijnen op te stellen. Belangrijk is dat je de capaciteiten van je teamleden benut: beheerervaring, functioneel consultant kennis, technisch inzicht. En daarbij goed kijkt wat de meeste waarde oplevert. Als de technologische kennis in je team beperkt is, zorg dan dat de partij waarbij dit is belegd is aangehaakt.
Begin met het leggen van een basis van geharmoniseerde werknemersgegevens met functiebeschrijvingen, autorisatiebeleid en systeemtoegangsprocedures. Maak duidelijke keuzes in mapping van velden op users en autorisaties en denk goed na wat de juiste unieke identifier is (voor Single SignOn). Gegevens en procesonderdelen moeten natuurlijk consistent zijn, anders kun je geen automatiseringsresultaat van 70% halen. Bepaal ook de specifieke registratiesystemen voor alle gegevens en procedures en breng de vereiste gegevens en systeemkenmerken in het hele landschap in kaart. En last but not least: neem ook toekomstige fasen in je tijdschema op vanwege systeemupgrades en -toevoegingen.”