Identity en Access Management is cruciaal voor hybride onderwijs

Tientallen applicaties, uiteenlopende gebruikersgroepen én onderwijs dat – in ieder geval gedeeltelijk – op afstand plaatsvindt. Een doordacht Identity en Access Management (IAM) is noodzakelijk om iedereen de juiste rechten en toegang te verlenen, zonder dat de deuren van de onderwijsomgeving wagenwijd open komen te staan. Willem Brons, expert IAM bij IT-Workz gaat in op het belang van identiteits- en toegangsmanagement. Ook met het oog op ontwikkelingen als hybride onderwijs.

Binnen onderwijsinstellingen zijn er uiteenlopende gebruikerstypen die, in meer of mindere mate, toegang moeten hebben tot de schoolomgeving. Van leerlingen tot leerkrachten en van het onderwijsbestuur tot de facilitaire diensten. Afhankelijk van de rollen die deze gebruikers vervullen, hebben ze ook nog eens specifieke rechten. Ten aanzien van allerlei bestanden, mappen en (school)applicaties. Zie hier: de complexiteit rondom Identity en Access Management (IAM) in een notendop. Want hoe houd je overzichtelijk wie precies toegang heeft tot wat? En als iemands rol binnen de organisatie wijzigt, veranderen diens rechten dan ook mee? Dat is handmatig niet meer te onderhouden.

Daarom is het belangrijk dat scholen goed nadenken over hun identiteits- en toegangsmanagement, zeker met innovaties als hybride onderwijs in het achterhoofd. Alleen geautomatiseerd weet je als IT-afdeling zeker dat je gebruikers zoveel mogelijk via
‘de voordeur’ je schoolomgeving binnenkomen en vanuit daar aan de slag gaan. Of ze nu thuiszitten of op school zijn.

“Je wilt dat alleen zij die er daadwerkelijk thuishoren, toegang hebben tot je schoolomgeving en specifieke mappen en bestanden.”

IAM als voordeurbeleid

Het schoolgebouw fungeert als een uitstekend hulpmiddel om het belang van een weldoordacht en zoveel mogelijk geautomatiseerd IAM mee uit te leggen. “Je wilt dat alleen zij die er daadwerkelijk thuishoren, toegang hebben tot je schoolomgeving en specifieke mappen en bestanden. En hoe komen zij voornamelijk binnen? Langs de voordeur! Het is dus van belang dat je die zo goed mogelijk afsluit en dat alleen je medewerkers en leerlingen erdoor naar binnen kunnen.”

Aan het woord: Willem Brons, IAM-expert binnen IT-Workz. Hij ziet dat binnen onderwijsinstellingen IAM vaak nog een kwestie van maat- en handwerk is. “De afdeling ICT maakt snel een account voor iemand aan en stelt vervolgens handmatig in waar diegene wel of geen toegang tot heeft. Krijgt diegene een andere rol binnen de onderwijsorganisatie? Dan wordt hij of zij vaak simpelweg in een andere groep gezet, maar blijven die eerdere rechten wel bestaan. Zo krijgt iemand veel meer rechten dan, op basis van zijn of haar rol, nodig is. Privilege creep noemen we dat.”

Role based access management

Veel scholen baseren hun identiteits- en toegangsmanagement dus nog op basis van het individu. “Wij leren scholen vooral om dit op basis van de rollen binnen de onderwijsorganisatie in te richten: role based access management dus. Verandert je rol, dan veranderen je rechten automatisch mee!”

Een ander aandachtspunt is het creëren van één identiteit binnen de schoolomgeving. “Medewerkers en leerlingen hebben allerlei accounts. Scholen denken vaak dat het veiliger is om hen daar allemaal aparte inloggegevens voor te geven. Maar dat is juist niet zo! Single sign on, met één sterk wachtwoord en multifactorauthenticatie voor kritieke applicaties, is véél veiliger. Om maar weer te verwijzen naar die voordeur: op deze manier weet je dat iedereen op een veilige wijze je schoolomgeving betreedt, in plaats van via allerlei slecht afgesloten achterdeurtjes, met zwakke wachtwoorden.”

“Op deze manier weet je dat iedereen op een veilige wijze je schoolomgeving betreedt, in plaats van via allerlei slecht afgesloten achterdeurtjes, met zwakke wachtwoorden.”

Applicaties koppelen met Azure

Zoveel mogelijk één identiteit creëren dus. Dat kan op verschillende manieren, geeft Brons aan. “Je kunt veel applicaties koppelen aan Azure, bijvoorbeeld met behulp van Active Directory Federation Services (ADFS). Daar moet je dan wel je applicaties op uitkiezen.”

Maar het gaat ook om het strategisch inrichten van IAM. “Wil je je processen rondom identiteit en toegang op orde hebben, dan is daar beleid voor nodig. Je organisatie moet zijn ingericht op role based access management waarbij je bijvoorbeeld een landschapsmanager of -beheerder aanwijst.” Persoonlijke devices maken dit beleidsaspect extra belangrijk. “Je kunt je voordeur nog zo goed mogelijk in de gaten houden, maar als je leraren zelf applicaties installeren en in hun les gaan gebruiken, ben je alsnog het overzicht kwijt.”

Belang van security: EDU IGA plaform

IT-Workz ondersteunt onderwijsinstellingen bij het inrichten van een betrouwbaar en geautomatiseerd IAM, via hun EDU IGA-platform. “Dat gaat om de technische inrichting en uitvoering, maar ook om consultancy. Samen met de informatiemanager gaan zitten en kijken hoe zij hun access management kunnen inrichten. Welke applicaties ze aan elkaar willen knopen en waarvoor ze dus één voordeur willen creëren. Maar ook kijken wat daarin verstandig is”, aldus Brons.

IAM en security zijn onlosmakelijk met elkaar verbonden. Zet je de achterdeuren wagenwijd open, dan heeft men alsnog ongehinderd toegang tot je schoolomgeving, bestanden en mappen. “Op basis van onze security scan kunnen we bijvoorbeeld zien dat je voordeurbeleid prima op orde is, maar dat men via losse applicaties nog steeds je schoolomgeving binnen kan komen. Toch hoef je niet álles volledig af te schermen en dicht te timmeren: het moet alleen wel inzichtelijk zijn. Alleen zo breng je je risico’s zo volledig mogelijk in kaart.”

Bron: IT-Workz