Identity as a Service: procesbeschrijvingen

Identity as a Service: procesbeschrijvingen Project Projectjaar Projectmanager Auteur(s) Opleverdatum Versie

: : : : : :

SURFworks Identity as a Service 2009 Remco Poortinga-van Wijnen, Roland van Rijswijk Arjo Duineveld (IGI) 16 december 2009 definitief

Samenvatting

Dit document beschrijft de procesbeschrijvingen behorende bij de Proof of Concept van Identity as a Service. In dit document worden de processen beschreven zoals deze bij een instelling die deelneemt aan de PoC van Identity as a Service (IaaS) zouden moeten verlopen. Indien de processen van de instelling voldoen aan deze beschrijvingen dan kan de instelling gebruik maken van de standaard IaaS functionaliteit. Indien de processen afwijken (en het is niet gewenst of niet mogelijk om ze aan te passen) dan is maatwerk noodzakelijk

VOOR DEZE PUBLICATIE GELDT DE CREATIVE COMMONS LICENTIE “ATTRIBUTIONNONCOMMERCIAL-SHARE ALIKE 3.0 NETHERLANDS”. MEER INFORMATIE OVER DEZE LICENTIE IS TE VINDEN OP HTTP://CREATIVECOMMONS.ORG/LICENSES/BY-NC-SA/3.0/NL/

Colofon Programmalijn Onderdeel Activiteit Deliverable Toegangsrechten Externe partij

: : : : : :

SURFworks SURFfederatie PoCs Identity as a Service Procesbeschrijvingen behorende bij IaaS PoC publiek IGI

Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl).

2

Inhoudsopgave

1  INLEIDING .............................................................................................................. 8  2  OVERZICHT PROCESSEN ....................................................................................... 10  2.1  2.2  2.3  2.4 

MEDEWERKER STATUSSEN EN PROCESSEN ...................................................................... 10  SCHOLIEREN EN VOORAANMELDERS STATUSSEN EN PROCESSEN ............................................. 11  STUDENTEN EN ALUMNI STATUSSEN EN PROCESSEN ........................................................... 13  SCHOLIEREN EN VOORAANMELDERS STATUSSEN EN PROCESSEN ............................................. 13 

3  PROCESBESCHRIJVING – NIEUWE MEDEWERKER IN DIENST .............................. 15  3.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 15  3.2  PROCESDIAGRAM .................................................................................................. 15  3.3  PROCESBESCHRIJVING ............................................................................................ 15  4  PROCESBESCHRIJVING – OPVRAGEN NIEUWE ACCOUNTS ................................... 17  4.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 17  4.2  PROCESDIAGRAM .................................................................................................. 17  4.3  PROCESBESCHRIJVING ............................................................................................ 18  5  PROCESBESCHRIJVING – WACHTWOORD INSTELLEN .......................................... 19  5.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 19  5.2  PROCESDIAGRAM .................................................................................................. 19  5.3  PROCESBESCHRIJVING ............................................................................................ 19  6  PROCESBESCHRIJVING – WACHTWOORD RESET.................................................. 21  6.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 21  6.2  PROCESDIAGRAM .................................................................................................. 21  6.3  PROCESBESCHRIJVING ............................................................................................ 21  7  PROCESBESCHRIJVING – WACHTWOORD WIJZIGEN ........................................... 23  7.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 23  7.2  PROCESDIAGRAM .................................................................................................. 23  7.1  PROCESBESCHRIJVING ............................................................................................ 23  8  PROCESBESCHRIJVING – MEDEWERKER DEACTIVEREN ....................................... 25  8.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 25  8.2  PROCESDIAGRAM .................................................................................................. 25  8.3  PROCESBESCHRIJVING ............................................................................................ 25  9  PROCESBESCHRIJVING – MEDEWERKER ACTIVEREN ........................................... 27  9.1  FUNCTIONELE BESCHRIJVING ..................................................................................... 27  9.2  PROCESDIAGRAM .................................................................................................. 27  9.3  PROCESBESCHRIJVING ............................................................................................ 27  10  PROCESBESCHRIJVING – MARKEERTIJD VERLOPEN .......................................... 29  10.1  FUNCTIONELE BESCHRIJVING ................................................................................... 29  10.2  PROCESDIAGRAM ................................................................................................ 29  10.3  PROCESBESCHRIJVING .......................................................................................... 29  11  PROCESBESCHRIJVING – MEDEWERKER VERWIJDEREN .................................... 31  11.1  FUNCTIONELE BESCHRIJVING ................................................................................... 31 

3

11.2  PROCESDIAGRAM ................................................................................................ 31  11.3  PROCESBESCHRIJVING .......................................................................................... 31  12  PROCESBESCHRIJVING – MEDEWERKER TIJDELIJK CONTRACT WORDT VAST CONTRACT .................................................................................................................. 33  12.1  FUNCTIONELE BESCHRIJVING ................................................................................... 33  12.2  PROCESDIAGRAM ................................................................................................ 33  12.3  PROCESBESCHRIJVING .......................................................................................... 33  13  PROCESBESCHRIJVING – MEDEWERKER VAST CONTRACT WORDT TIJDELIJK CONTRACT .................................................................................................................. 35  13.1  FUNCTIONELE BESCHRIJVING ................................................................................... 35  13.2  PROCESDIAGRAM ................................................................................................ 35  13.3  PROCESBESCHRIJVING .......................................................................................... 35  14  PROCESBESCHRIJVING – MEDEWERKER EINDDATUM WIJZIGEN ....................... 37  14.1  FUNCTIONELE BESCHRIJVING ................................................................................... 37  14.2  PROCESDIAGRAM ................................................................................................ 37  14.3  PROCESBESCHRIJVING .......................................................................................... 37  15  PROCESBESCHRIJVING – AANMELDEN ALS SCHOLIER ....................................... 39  15.1  FUNCTIONELE BESCHRIJVING ................................................................................... 39  15.2  PROCESDIAGRAM ................................................................................................ 39  15.3  PROCESBESCHRIJVING .......................................................................................... 39  16  PROCESBESCHRIJVING – SCHOLIER DEACTIVEREN ........................................... 41  16.1  FUNCTIONELE BESCHRIJVING ................................................................................... 41  16.2  PROCESDIAGRAM ................................................................................................ 41  16.3  PROCESBESCHRIJVING .......................................................................................... 41  17  PROCESBESCHRIJVING – SCHOLIER MARKEERTIJD VERLOPEN ......................... 43  17.1  FUNCTIONELE BESCHRIJVING ................................................................................... 43  17.2  PROCESDIAGRAM ................................................................................................ 43  17.3  PROCESBESCHRIJVING .......................................................................................... 43  18  PROCESBESCHRIJVING – SCHOLIER ACTIVEREN ............................................... 45  18.1  FUNCTIONELE BESCHRIJVING ................................................................................... 45  18.2  PROCESDIAGRAM ................................................................................................ 45  18.3  PROCESBESCHRIJVING .......................................................................................... 45  19  PROCESBESCHRIJVING – SCHOLIER VERWIJDEREN .......................................... 46  19.1  FUNCTIONELE BESCHRIJVING ................................................................................... 46  19.2  PROCESDIAGRAM ................................................................................................ 46  19.3  PROCESBESCHRIJVING .......................................................................................... 46  20  PROCESBESCHRIJVING – SCHOLIER WORDT VOORAANMELDER ........................ 48  20.1  FUNCTIONELE BESCHRIJVING ................................................................................... 48  20.2  PROCESDIAGRAM ................................................................................................ 48  20.3  PROCESBESCHRIJVING .......................................................................................... 48  21  PROCESBESCHRIJVING – SCHOLIER WORDT STUDENT ...................................... 50  21.1  FUNCTIONELE BESCHRIJVING ................................................................................... 50  21.2  PROCESDIAGRAM ................................................................................................ 50  21.3  PROCESBESCHRIJVING .......................................................................................... 50  22  PROCESBESCHRIJVING – VOORAANMELDEN ...................................................... 52  22.1  FUNCTIONELE BESCHRIJVING ................................................................................... 52 

4

22.2  PROCESDIAGRAM ................................................................................................ 52  22.3  PROCESBESCHRIJVING .......................................................................................... 52  23  PROCESBESCHRIJVING – VOORAANMELDER DEACTIVEREN ............................... 54  23.1  FUNCTIONELE BESCHRIJVING ................................................................................... 54  23.2  PROCESDIAGRAM ................................................................................................ 54  23.3  PROCESBESCHRIJVING .......................................................................................... 54  24  PROCESBESCHRIJVING – VOORAANMELDER MARKEERTIJD VERLOPEN ............. 56  24.1  FUNCTIONELE BESCHRIJVING ................................................................................... 56  24.2  PROCESDIAGRAM ................................................................................................ 56  24.3  PROCESBESCHRIJVING .......................................................................................... 56  25  PROCESBESCHRIJVING – VOORAANMELDER ACTIVEREN ................................... 58  25.1  FUNCTIONELE BESCHRIJVING ................................................................................... 58  25.2  PROCESDIAGRAM ................................................................................................ 58  25.3  PROCESBESCHRIJVING .......................................................................................... 58  26  PROCESBESCHRIJVING – VOORAANMELDER VERWIJDEREN .............................. 60  26.1  FUNCTIONELE BESCHRIJVING ................................................................................... 60  26.2  PROCESDIAGRAM ................................................................................................ 60  26.3  PROCESBESCHRIJVING .......................................................................................... 60  27  PROCESBESCHRIJVING – AANMELDING DEFINITIEF ......................................... 62  27.1  FUNCTIONELE BESCHRIJVING ................................................................................... 62  27.2  PROCESDIAGRAM ................................................................................................ 62  27.3  PROCESBESCHRIJVING .......................................................................................... 62  28  PROCESBESCHRIJVING – AANMELDEN ALS STUDENT ........................................ 64  28.1  FUNCTIONELE BESCHRIJVING ................................................................................... 64  28.2  PROCESDIAGRAM ................................................................................................ 64  28.3  PROCESBESCHRIJVING .......................................................................................... 65  29  PROCESBESCHRIJVING – STUDENT DEACTIVEREN ............................................ 66  29.1  FUNCTIONELE BESCHRIJVING ................................................................................... 66  29.2  PROCESDIAGRAM ................................................................................................ 66  29.3  PROCESBESCHRIJVING .......................................................................................... 66  30  PROCESBESCHRIJVING – STUDENT MARKEERTIJD VERLOPEN ........................... 68  30.1  FUNCTIONELE BESCHRIJVING ................................................................................... 68  30.2  PROCESDIAGRAM ................................................................................................ 68  30.3  PROCESBESCHRIJVING .......................................................................................... 68  31  PROCESBESCHRIJVING – STUDENT ACTIVEREN ................................................. 70  31.1  FUNCTIONELE BESCHRIJVING ................................................................................... 70  31.2  PROCESDIAGRAM ................................................................................................ 70  31.3  PROCESBESCHRIJVING .......................................................................................... 70  32  PROCESBESCHRIJVING – STUDENT VERWIJDEREN ............................................ 71  32.1  FUNCTIONELE BESCHRIJVING ................................................................................... 71  32.2  PROCESDIAGRAM ................................................................................................ 71  32.3  PROCESBESCHRIJVING .......................................................................................... 71  33  PROCESBESCHRIJVING – STUDENT STUDEERT AF ............................................. 72  33.1  FUNCTIONELE BESCHRIJVING ................................................................................... 72  33.2  PROCESDIAGRAM ................................................................................................ 72  33.3  PROCESBESCHRIJVING .......................................................................................... 72 

5

34  PROCESBESCHRIJVING – ALUMNUS BEGINT VERVOLGSTUDIE .......................... 74  34.1  FUNCTIONELE BESCHRIJVING ................................................................................... 74  34.2  PROCESDIAGRAM ................................................................................................ 74  34.3  PROCESBESCHRIJVING .......................................................................................... 74  35  PROCESBESCHRIJVING – ALUMNUS DEACTIVEREN............................................ 76  35.1  FUNCTIONELE BESCHRIJVING ................................................................................... 76  35.2  PROCESDIAGRAM ................................................................................................ 76  35.3  PROCESBESCHRIJVING .......................................................................................... 76  36  PROCESBESCHRIJVING – ALUMNUS MARKEERTIJD VERLOPEN .......................... 77  36.1  FUNCTIONELE BESCHRIJVING ................................................................................... 77  36.2  PROCESDIAGRAM ................................................................................................ 77  36.3  PROCESBESCHRIJVING .......................................................................................... 77  37  PROCESBESCHRIJVING – ALUMNUS ACTIVEREN ................................................ 79  37.1  FUNCTIONELE BESCHRIJVING ................................................................................... 79  37.2  PROCESDIAGRAM ................................................................................................ 79  37.3  PROCESBESCHRIJVING .......................................................................................... 79  38  PROCESBESCHRIJVING – ALUMNUS VERWIJDEREN ........................................... 80  38.1  FUNCTIONELE BESCHRIJVING ................................................................................... 80  38.2  PROCESDIAGRAM ................................................................................................ 80  38.3  PROCESBESCHRIJVING .......................................................................................... 80  39  PROCESBESCHRIJVING – ACCOUNT VOOR EEN EXTERNE CREËREN.................... 82  39.1  FUNCTIONELE BESCHRIJVING ................................................................................... 82  39.2  PROCESDIAGRAM ................................................................................................ 82  39.3  PROCESBESCHRIJVING .......................................................................................... 82  40  PROCESBESCHRIJVING – ACCOUNT VOOR EEN EXTERNE DEACTIVEREN ............ 84  40.1  FUNCTIONELE BESCHRIJVING ................................................................................... 84  40.2  PROCESDIAGRAM ................................................................................................ 84  40.3  PROCESBESCHRIJVING .......................................................................................... 84  41  PROCESBESCHRIJVING – ACCOUNT VOOR EEN EXTERNE MARKEERTIJD VERLOPEN .................................................................................................................. 86  41.1  FUNCTIONELE BESCHRIJVING ................................................................................... 86  41.2  PROCESDIAGRAM ................................................................................................ 86  41.3  PROCESBESCHRIJVING .......................................................................................... 86  42  PROCESBESCHRIJVING – ACCOUNT VOOR EEN EXTERNE ACTIVEREN ................. 88  42.1  FUNCTIONELE BESCHRIJVING ................................................................................... 88  42.2  PROCESDIAGRAM ................................................................................................ 88  42.3  PROCESBESCHRIJVING .......................................................................................... 88  43  PROCESBESCHRIJVING – ACCOUNT VOOR EXTERNE VERWIJDEREN .................. 89  43.1  FUNCTIONELE BESCHRIJVING ................................................................................... 89  43.2  PROCESDIAGRAM ................................................................................................ 89  43.3  PROCESBESCHRIJVING .......................................................................................... 89  44  PROCESBESCHRIJVING – EXTERNE ACCOUNT EINDDATUM WIJZIGEN............... 90  44.1  FUNCTIONELE BESCHRIJVING ................................................................................... 90  44.2  PROCESDIAGRAM ................................................................................................ 90  44.3  PROCESBESCHRIJVING .......................................................................................... 90 

6

Wijzigingen Datum

Wijziging

Versie

Door

17-092009 21-092009 24-092009 01-102009

Initieel

0.1

Arjo Duineveld

Wijzigingen op basis van interne review eerste processen Versie voor eerste review door SURFnet

0.2

Arjo Duineveld

0.8

Arjo Duineveld

Opmerkingen SURFnet verwerkt

0.9

Arjo Duineveld

7

1

Inleiding

In dit document worden de processen beschreven zoals deze bij een instelling die deelneemt aan de PoC van Identity as a Service (IaaS) zouden moeten verlopen. Indien de processen van de instelling voldoen aan deze beschrijvingen dan kan de instelling gebruik maken van de standaard IaaS functionaliteit. Indien de processen afwijken (en het is niet gewenst of niet mogelijk om ze aan te passen) dan is maatwerk noodzakelijk. In de IaaS worden een aantal typen accounts onderscheiden: 1. Medewerker accounts, voor medewerkers van de betreffende instelling. 2. Scholieren accounts, voor scholieren die toegang moeten hebben tot een systeem van de instelling (bijvoorbeeld omdat ze een vak aan de universiteit volgen) 3. Vooraanmelder account, voor potentiële studenten die zich aangemeld hebben bij de instelling. 4. Studenten accounts, voor studenten aan de instelling. 5. Alumnus accounts, voor afgestudeerden aan de betreffende instelling. 6. Externe accounts, voor iedereen die ook (tijdelijke) toegang tot 1 of meer systemen van de instelling. Denk aan uitwisselingsstudenten, gastdocenten, externe medewerkers, etc. Aan een externe account is altijd een einddatum gekoppeld waarop het account vanzelf gedeactiveerd wordt. Uiteraard is het mogelijk deze einddatum te wijzigen. De accounts zijn losstaand (een medewerker account kan nooit overgaan in een student account). Met de volgende uitzonderingen: 1. 2. 3. 4.

Een Een Een Een

scholier account kan overgaan in een vooraanmelder account scholier account kan overgaan in een student account vooraanmelder account kan overgaan in een student account student account kan overgaan in een alumnus account.

In het volgende hoofdstuk wordt eerst een overzicht gegeven van alle processen die een rol spelen bij Identity Management van de PoC van IaaS. In de daarop volgende hoofdstukken wordt elk proces gedetailleerder uitgewerkt. In de detailuitwerkingen is voor elk proces een schematische weergave opgenomen van het proces. De verschillende processtappen zijn daarbij weergegeven in een kolom die correspondeert met het systeem waar de stap plaatsvindt. De volgende systemen spelen een rol:        

Human Resource (HR) systeem Studenten Informatie Systeem (SIS) Identity Manager Identity Vault Doelsystemen Beheermodule Selfservice module Doelsystemen

Hierbij zijn het HR systeem en het SIS bronsystemen. De Identity Manager is het deel van de Identity Management implementatie waar alle logica is ingebouwd. De Indentity Vault is het deel waar alle gegevens worden opgeslagen. De beheermodule is een onderdeel van de Identity Manager waarop “rechtstreeks” (zonder dat er gegevens uit een bronsysteem komen) accounts beheerd kunnen worden. De selfservice module, eveneens een onderdeel van de Identity Manager, is een module waarmee gebruikers bepaalde handelingen met betrekking tot hun

8

eigen account kunnen uitvoeren. Denk aan het wijzigen van het wachtwoord e.d. De doelsystemen zijn de systemen waar de gebruikers toegang toe moeten krijgen.

9

2

Overzicht processen

Dit hoofdstuk geeft een overzicht van alle processen die een rol spelen bij de PoC van IaaS. Van elk type account worden de verschillende statussen die zo’n account kan doorlopen in een diagram getoond. Elk van de overgangen tussen 2 statussen correspondeert met een proces. In de navolgende hoofdstukken wordt elk proces gedetailleerder beschreven.

2.1 Medewerker statussen en processen In Figuur 1 worden alle statussen die een medewerker account kan doorlopen getoond. De overgangen tussen deze statussen corresponderen met een proces. Een account voor een medewerker wordt altijd gecreëerd op het moment dat een medewerker in dienst komt. Er wordt dan een dummy wachtwoord aan deze account gekoppeld zodat de gebruiker nog niet in kan loggen. De tweede stap is dat een medewerker van HR een lijst opvraagt met nieuwe medewerker accounts. Op dat moment wordt voor al deze accounts een activeringscode gemaakt en getoond aan de HR medewerker. Het is dan aan de HR medewerker om de activeringscodes te communiceren aan de medewerker(s). Met behulp van de activeringscode kan de medewerker zijn wachtwoord instellen in de selfservice module van de Identity Manager. Met het ingestelde wachtwoord heeft hij daarna toegang tot alle doelsystemen. De activeringscode kan niet gebruikt worden om in te loggen op de doelsystemen. Indien een medewerker zijn wachtwoord vergeet, of indien het wachtwoord is uitgelekt kan een beheerder een wachtwoord reset aanvragen. Er wordt dan een nieuwe activeringscode aangemaakt en aan de beheerder getoond. Het is aan de beheerder om de activeringscode aan de gebruiker te tonen. Het wachtwoord op de doelsystemen wordt vervangen zodat daar niet meer met het oude wachtwoord kan worden ingelogd. Met de activeringscode kan de medewerker weer zijn wachtwoord (voor de Identity Manager en alle doelsystemen) instellen. Er zijn een aantal processen die de status van (actieve) medewerker niet wijzigen maar wel een aantal gegevens die bij die account horen wijzigen. Een tijdelijk contract van een medewerker kan worden omgezet in een vast contract. De einddatum voor de medewerker wordt dan op NVT (Niet Van Toepassing) gezet. Als een vast contract wordt gewijzigd in een tijdelijk contract dan wordt de einddatum juist ingesteld op een specifieke datum. De einddatum (van een tijdelijk contract) is vanuit de Identity Manager beheermodule altijd nog te wijzigen. In de selfservice module kan een gebruiker zelf zijn wachtwoord wijzigen. Indien een account gedeactiveerd wordt deze in eerste instantie slechts gemarkeerd. Een deel van de doelsystemen zijn nog gedurende een bepaalde tijd toegankelijk. Welke systemen dat zijn en hoe lang ze toegankelijk blijven is afhankelijk van de reden van deactiveren. De mogelijke redenen voor een medewerker zijn:      

Uit dienst Met pensioen Geschorst Overleden Op staande voet ontslagen Algemeen

Deze lijst van redenen kan later uitgebreid worden indien dat noodzakelijk blijkt.

10

Na afloop van de overgangsperiode worden alle doelsystemen inactief. Na een bepaalde tijd (die ook weer afhankelijk kan zijn van de reden van deactiveren) wordt de account verwijderd. Het is ook mogelijk een “oneindig lange” bewaartermijn op te geven (voor 1 of meer redenen van deactiveren) zodat de account in principe nooit verwijderd wordt. Zowel een account die gemarkeerd is voor deactiveren als een gedeactiveerde account kunnen nog geactiveerd worden waarna de gebruiker (met het oude wachtwoord) weer toegang heeft tot alle doelsystemen.

Figuur 1: Statussen en processen voor de medewerker accounts

2.2 Scholieren en vooraanmelders statussen en processen Figuur 2 toont de verschillende statussen van scholier en vooraanmelder accounts en de overgangen daartussen. De status van actieve student die in het diagram als pijl is getekend verwijst naar (is hetzelfde als) de gelijknamige status in het volgende diagram, zie paragraaf 2.3. De aanmelding van zowel een scholier als een vooraanmelder verloopt analoog aan de manier waarop een medewerker account ontstaat en actief wordt. Alleen is het bronsysteem is hier het Studenten Informatie Systeem (SIS) en niet het HR systeem. De account wordt eerst gemaakt met een dummy wachtwoord. Als een medewerker van de studentenadministratie een lijst opvraagt van nieuwe accounts (van een bepaald type) worden er activeringscodes aangemaakt.

11

Deze kunnen gebruikt worden om een wachtwoord in te stellen. Ook na een wachtwoord reset wordt een activeringscode gemaakt (en wordt het wachtwoord in de doelsystemen gewijzigd). Het deactiveren en verwijderen van een scholier of vooraanmelder account verloopt ook op een wijze die analoog is aan de manier waarop dat bij medewerker accounts gebeurt. Eerst wordt de account alleen gemarkeerd voor deactiveren, enkele doelsystemen kunnen dan nog beschikbaar zijn. Na een bepaalde tijd (afhankelijk van de reden van deactiveren) wordt de account echt inactief. Op dat moment geeft de account geen toegang meer tot een doelsysteem. Een inactieve account wordt na een bepaalde tijd (ook die kan afhangen van de reden waarom de account gedeactiveerd is) verwijderd. Accounts die gemarkeerd zijn voor deactiveren of die al gedeactiveerd zijn kunnen teruggezet worden in een actieve status. Uiteraard zijn verwijderde accounts niet meer terug te zetten, er zal dan een nieuwe account moeten worden gemaakt. De redenen om een scholier of vooraanmelder account te deactiveren zijn uiteraard niet dezelfden als voor een medewerker account. Zoals nu voorzien kan volstaan worden met slechts één reden: “gestopt”.

Figuur 2: Statussen en processen voor scholier en vooraanmelder accounts Tussen scholieren, vooraanmelders en studenten zijn een aantal statusovergangen die corresponderen met de bijbehorende overgang van een persoon naar een andere categorie.

12

2.3 Studenten en alumni statussen en processen In Figuur 3 zijn alle statussen en processen te vinden die horen bij studenten en alumni accounts. Het aanmaken en actief worden van een studentenaccount gebeurt op een manier zoals die ook al bij medewerkers, scholieren en vooraanmelders is beschreven. Voor alumni accounts geldt dat deze altijd als een studentenaccount beginnen. Ook het deactiveren van een studenten of alumnus account gebeurt analoog aan de eerder beschreven accounttypen. De redenen om een student account te deactiveren zijn:   

Gestopt (studie beëindigd zonder af te studeren) Overleden Algemeen

Figuur 3: Statussen en processen voor student en alumnus accounts

Als ze afstuderen worden studenten alumni en wijzigt hun account dienovereenkomstig. Alumnus accounts kunnen weer terug gewijzigd worden in een student account door het proces dat we hier vervolgstudie hebben genoemd. Personen die 2 rollen hebben binnen de instelling zullen voor elke rol een afzonderlijke account krijgen. Dus iemand die zowel alumnus is als medewerker heeft zowel een alumnus als een medewerker account.

2.4 Scholieren en vooraanmelders statussen en processen In Figuur 4 zijn alle statussen en processen die bij een account voor een externe horen te vinden. Alle statussen en processen zijn al beschreven bij de eerdere accounttypen.

13

Aan een account voor een externe is altijd een einddatum gekoppeld, op deze datum wordt de account vanzelf gedeactiveerd (en na een bepaalde tijd verwijderd).

Figuur 4: Statussen en processen voor externe accounts Voor accounts voor externen voorzien wij, net als voor scholieren en vooraanmelders accounts slechts één reden om te deactiveren: gestopt. Ook hier geldt dat, indien nodig, deze lijst later uitgebreid kan worden.

14

3

Procesbeschrijving – Nieuwe medewerker in dienst

3.1 Functionele beschrijving Als vanuit het HR bronsysteem een nieuwe medewerker wordt ingevoerd zorgt IaaS ervoor dat er een gebruikersnaam, een wachtwoord en een e-mailadres voor de nieuwe medewerker worden aangemaakt. Het wachtwoord wordt nooit naar de gebruiker gecommuniceerd; door dit wachtwoord te gebruiken in de doelsystemen wordt voorkomen dat de gebruiker daar te vroeg inlogt. Maar er bestaat wel de mogelijkheid, voor de beheerders van doelsystemen om al “iets” te doen met het account van de nieuwe medewerker. Om dit wachtwoord te onderscheiden van een tijdelijk wachtwoord (zie bij het proces Opvragen nieuwe accounts) wordt het een dummy wachtwoord genoemd.

3.2 Procesdiagram

3.3 Procesbeschrijving Processtap Proces

Nieuwe medewerker in dienst

Input Output Nr. Processtap

Vanuit het HR systeem komen de gegevens over de nieuwe medewerker Aangemaakte accounts in alle (van toepassing zijnde) doelsystemen Uit te voeren activiteit Opmerkingen

01

Een HR medewerker voert de gegevens in in het HR systeem.

02

Invoer medewerker gegevens Genereer gebruikersnaa

Het genereren van een gebruikersnaam een wachtwoord en een e-mailadres. Het

De gebruikersnaam en e-mailadres zijn uniek. In geval van gelijke namen zal een volgnummer worden toegevoegd.

15

Processtap

03 04

wachtwoord wordt nooit gecommuniceerd en m, dummy wachtw. en e- wordt daarom dummy wachtwoord genoemd om het te onderscheiden van een tijdelijk mailadres wachtwoord. Aanmaken Het opslaan van de accountgegevens in de account Identity Vault Aanmaken Het aanmaken van de accounts in de account doelsystemen. In alle doelsystemen waar een medewerker toegang toe heeft wordt een account aangemaakt.

16

4

Procesbeschrijving – Opvragen nieuwe accounts

4.1 Functionele beschrijving Via de beheerinterface kan een lijst van alle nieuwe accounts met het bijbehorende wachtwoord worden opgevraagd. Voor deze nieuwe accounts wordt dan een tijdelijk wachtwoord aangemaakt. Met dit tijdelijke wachtwoord kan de gebruiker alleen inloggen in de Identity Management applicatie om het tijdelijke wachtwoord te veranderen in een zelfgekozen wachtwoord, zie ook het proces “Wijzigt wachtwoord”. In de doelsystemen blijft het dummy wachtwoord staan, het is namelijk niet de bedoeling dat gebruikers met hun tijdelijke wachtwoord inloggen in de doelsystemen. De lijst met alle nieuwe accounts kan voor elk type account (medewerkers, scholieren, vooraanmelders, studenten en externe accounts) worden opgevraagd. Standaard wordt de lijst gegeven sinds de laatste keer dat de lijst voor dat type accounts voor het laatst is opgevraagd. Met behulp van selectiecriteria kunnen andere accounts (opnieuw) opgevraagd worden

4.2 Procesdiagram

17

4.3 Procesbeschrijving Processtap

Nr. 01

02

03

04

05

Proces

Opvragen nieuwe accounts

Input

In de beheerinterface wordt de opdracht account opvragen gegeven, daarbij worden selectiecriteria opgegeven Een lijst van accounts met een wachtwoord Uit te voeren activiteit Opmerkingen

Output Processtap Opvragen nieuwe accounts Haal gegevens op, op basis van selectiecriteria Genereer tijdelijke wachtwoorden

In de beheermodule wordt de optie “Opvragen Één van de selectiecriteria is het type account waarvan de nieuwe accounts” gekozen. Daarbij worden lijst moet Worden opgeleverd. een aantal selectiecriteria opgegeven. Op basis van de opgegeven selectiecriteria worden de betreffende accounts opgehaald uit de Identity vault

Sla wachtwoorden op Lijst met tijdelijke wachtwoorden

De wachtwoorden uit de vorige stap worden opgeslagen

Voor elk van de accounts in de lijst (die nog niet eerder een wachtwoord heeft gekregen) wordt een tijdelijk wachtwoord gegenereerd

Er wordt in de beheermodule een lijst getoond van alle accounts die aan de selectiecriteria voldoen inclusief de nieuw gegenereerde wachtwoorden.

18

Aandachtspunt: wat doen we met accounts die wel al een wachtwoord hebben gehad? Bestaande wachtwoord tonen? Nieuw wachtwoord genereren? Niets tonen? Het moet in ieder geval mogelijk zijn opnieuw activeringsgegevens te genereren voor de situatie dat iemand deze is kwijtgeraakt.

5

Procesbeschrijving – Wachtwoord instellen

5.1 Functionele beschrijving Met behulp van een activeringscode kan een gebruiker zijn of haar wachtwoord instellen. Daarbij voert de gebruiker een zelfgekozen wachtwoord in. Dit wachtwoord wordt het wachtwoord voor alle doelsystemen waar de gebruiker toegang toe heeft.

5.2 Procesdiagram

5.3 Procesbeschrijving

Nr. 01 02 03

Proces

Wachtwoord instellen

Input Output Processtap

In de selfservice module kiest de gebruiker voor “Wachtwoord instellen” Een wachtwoord in de doelsystemen waar de gebruiker toegang toe heeft Uit te voeren activiteit Opmerkingen

Wachtwoord De gebruiker kiest in de selfservice module wijzigen de optie “Wachtwoord instellen” Activeringscode De gebruiker voert een activeringscode in. Wachtwoord De gebruiker voert zijn wachtwoord in (2 keer om fouten te voorkomen)

19

04 05 06

Activeer account Sla wachtwoord op. Update wachtwoord

Zijn account in Identity Manager wordt geactiveerd. Het wachtwoord wordt opgeslagen in de Identity Vault Het wachtwoord wordt doorgegeven aan de doelsystemen

20

6

Procesbeschrijving – Wachtwoord reset

6.1 Functionele beschrijving Een beheerder kan voor een specifieke gebruiker een wachtwoord reset aanvragen. De beheerder kan dit bijvoorbeeld doen omdat een wachtwoord bekend is geworden aan derden. Als een gebruiker zijn wachtwoord is vergeten zal hij bij een beheerder een wachtwoord reset moeten aanvragen. De beheerder krijgt een activeringscode te zien waarmee de gebruiker zijn wachtwoord kan wijzigen en zijn account weer kan activeren. Het is aan de beheerder om ervoor te zorgen dat de activeringscode bij de gebruiker terecht komt. Het is eventueel mogelijk een nieuwe activeringscode te laten genereren (als de oude activeringscode verloren is gegaan) door dit proces opnieuw uit te voeren.

6.2 Procesdiagram

6.3 Procesbeschrijving

21

Nr.

Proces

Wachtwoord reset

Input

Een beheerder of de gebruiker kiest de optie “Wachtwoord reset” in respectievelijk de beheermodule of de self service module Een activeringscode Uit te voeren activiteit Opmerkingen

Output Processtap

01

Wachtwoord reset

02

Deactiveer account Deactiveer account Genereer activatiecode

03 04

05

Toon activatiecode

Een beheerder (vanuit de beheermodule) of een gebruiker (vanuit de self service module) kiest de optie wachtwoord reset Het account binnen de Identity Manager wordt gedeactiveerd. De accounts in de doelsystemen worden gedeactiveerd. Er wordt een activatiecode gegenereerd waarmee de gebruiker zijn wachtwoord kan wijzigen De activatiecode wordt getoond aan de Als dit een beheerder is moet deze er voor zorgen dat de beheerder of gebruiker die de wachtwoord activatiecode op één of andere manier bij de gebruiker reset heeft geïnitieerd. terecht komt.

22

7

Procesbeschrijving – Wachtwoord wijzigen

7.1 Functionele beschrijving Een gebruiker kan zelf zijn wachtwoord wijzigen. Ter controle moet hij daarbij zijn oude wachtwoord invoeren. Het nieuwe wachtwoord is actief in alle doelsystemen waar de gebruiker toegang toe heeft.

7.2 Procesdiagram

7.1 Procesbeschrijving

Nr. 01 02 03 04

Proces

Wachtwoord wijzigen

Input Output Processtap

In de selfservice module kiest de gebruiker voor “Wachtwoord wijzigen” Een nieuw wachtwoord in de doelsystemen waar de gebruiker toegang toe heeft Uit te voeren activiteit Opmerkingen

Wachtwoord De gebruiker kiest in de selfservice module wijzigen de optie “Wachtwoord wijzigen” Activeringscode De gebruiker voert zijn oude wachtwoord in. Wachtwoord De gebruiker voert zijn nieuwe wachtwoord in (2 keer om fouten te voorkomen) Sla wachtwoord Het nieuwe wachtwoord wordt opgeslagen

23

op 05

Update wachtwoord

Het wachtwoord wordt doorgegeven aan de doelsystemen

24

8

Procesbeschrijving – Medewerker deactiveren

8.1 Functionele beschrijving Vanuit het HR systeem komt door dat een gebruikersaccount moet worden gedeactiveerd. Daarbij geeft de HR medewerker een reden op. Dit kan één van de volgende redenen zijn:      

Uit dienst Met pensioen Geschorst Overleden Op staande voet ontslagen Algemeen

Op basis van deze reden wordt bepaald: 1) Tot welke systemen de gebruiker nog toegang mag houden voor welke de toegang onmiddellijk wordt afgesloten en 2) hoe lang deze overgangsperiode duurt.

8.2 Procesdiagram

8.3 Procesbeschrijving

25

Processtap Proces

Medewerker deactiveren

Input Output Processtap

Vanuit HR systeem Gedeactiveerde account en begin van overgangsperiode Uit te voeren activiteit Opmerkingen

01

Medewerker deactiveren

02

Sla status op

03

Stel datum van deactiveren in Deactiveer accounts

Een HR medewerker deactiveert een medewerker account en geeft daarbij een reden op. De status gedeactiveerd wordt opgeslagen samen met de reden van deactiveren Op basis van de reden wordt de einddatum van de overgangsperiode bepaald.

Nr.

04

In die doelsystemen waar dat van toepassing is wordt de account gedeactiveerd.

26

Welke systemen dit zijn hangt af van de reden van deactiveren

9

Procesbeschrijving – Medewerker activeren

9.1 Functionele beschrijving Een account die gedeactiveerd is en daardoor de status “Gemarkeerd voor deactiveren” of “Gedeactiveerd” heeft kan weer geactiveerd worden vanuit de beheermodule. Alle bijbehorende accounts in doelsystemen worden dan weer geactiveerd.

9.2 Procesdiagram

9.3 Procesbeschrijving

Processtap

Nr. 01

02 03 04

Proces

Medewerker activeren

Input Output Processtap

Beheermodule Geactiveerde accounts Uit te voeren activiteit

Opmerkingen

Gedeactiveerd Een beheerder selecteert de optie e medewerker medewerker activeren. activeren Sla status op De status wordt veranderd in actief Activeer Het account in de Identity Manager wordt account geactiveerd Activeer De accounts in de doelsystemen worden

27

Processtap account

geactiveerd.

28

10 Procesbeschrijving – Markeertijd verlopen 10.1 Functionele beschrijving Wanneer de overgangsperiode waarin enkele accounts nog tijdelijk beschikbaar zijn voor een medewerker eindigt worden middels dit proces alle accounts in doelsystemen gedeactiveerd. Ook wordt de datum bepaald waarop de account verwijderd zal worden. Daarbij wordt rekening gehouden met de reden van deactiveren die is opgegeven zij het proces “Medewerker deactiveren”

10.2 Procesdiagram

10.3 Procesbeschrijving

Processtap

Nr. 01

Proces

Medewerker markeertijd verlopen

Input Output Processtap

Dagelijkse controle Gedeactiveerde account en begin van overgangsperiode Uit te voeren activiteit Opmerkingen

Markeertijd verlopen

Dagelijks wordt gecontroleerd (voor elke account) of de einddatum van de overgangsperiode al is bereikt

29

Processtap 02 03

04

Sla status op

Als dat zo is wordt de status gewijzigd in “Gedeactiveerd” Stel datum Op basis van de reden van deactiveren wordt van de datum waarop de account verwijderd verwijderen in wordt bepaald. Deactiveer In alle doelsystemen worden de accounts accounts gedeactiveerd.

30

11 Procesbeschrijving – Medewerker verwijderen 11.1 Functionele beschrijving Als de overgangsperiode is verlopen wordt een datum ingesteld waarop de account volledig verwijderd wordt. Het verwijderen gebeurt in dit proces.

11.2 Procesdiagram

11.3 Procesbeschrijving

Processtap

Nr. 01 02 03

Proces

Medewerker verwijderen

Input Output Processtap

Vanuit de beheermodule Verwijderde accounts Uit te voeren activiteit

Verwijderdatu m bereikt Verwijder gegevens Verwijder account

Er wordt dagelijks gecontroleerd of de verwijderdatum van een account is bereikt. De gegevens met betrekking tot het account worden verwijderd. Het account wordt verwijderd uit Identity Manager.

Opmerkingen

31

Alleen gedeactiveerde medewerkers kunnen verwijderd worden.

Processtap 04

Verwijder account

De accounts worden verwijderd uit de doelsystemen.

32

12 Procesbeschrijving – Medewerker tijdelijk contract wordt vast contract 12.1 Functionele beschrijving Dit proces wordt uitgevoerd als een tijdelijk dienstverband wordt omgezet in een vast dienstverband. Belangrijkste daarbij is dat daardoor de einddatum verdwijnt zodat het account niet meer automatisch wordt gedeactiveerd aan het eind van de looptijd van het contract.

12.2 Procesdiagram

12.3 Procesbeschrijving

Processtap

Nr. 01

02

Proces

Tijdelijk contract wordt vast contract

Input Output Processtap

Vanuit het HR systeem Verwijderde einddatum Uit te voeren activiteit

Opmerkingen

Een HR medewerker wijzigt een tijdelijk Tijdelijk contract wordt contract in een vast contract vast contract Sla status op De gewijzigde status wordt vastgelegd

33

Processtap 03

Verwijder einddatum

De einddatum die gekoppeld is aan een tijdelijk contract wordt verwijderd.

34

13 Procesbeschrijving – Medewerker vast contract wordt tijdelijk contract 13.1 Functionele beschrijving Dit is het omgekeerde van het vorige proces, in dit geval wordt een vast contract juist een tijdelijk contract. Vanuit het HR systeem komt dan ook een einddatum mee die wordt opgeslagen in de Identity Manager. Op de betreffende datum wordt het account van de medewerker gedeactiveerd.

13.2 Procesdiagram

13.3 Procesbeschrijving

Processtap

Nr. 01

Proces

Medewerker vast contract wordt tijdelijk contract

Input Output Processtap

Vast contract wordt tijdelijk contract Ingestelde einddatum Uit te voeren activiteit

Vast contract wordt tijdelijk

Een HR medewerker verandert een vast contract in een tijdelijk contract

Opmerkingen

35

Processtap contract 02 03

Sla status op Stel einddatum in

De gewijzigde status wordt vastgelegd Aan het account wordt een einddatum gekoppeld.

Op de einddatum zal het proces “Medewerker uit dienst’ automatisch plaatsvinden, zie de beschrijving van dat proces voor meer informatie.

36

14 Procesbeschrijving – Medewerker einddatum wijzigen 14.1 Functionele beschrijving Als een medewerker een tijdelijk contract heeft waarvan de einddatum wijzigt dan kan de gewijzigde einddatum met dit proces worden vastgelegd. Dit proces is alleen van toepassing op medewerkers met een tijdelijk contract.

14.2 Procesdiagram

14.3 Procesbeschrijving

Processtap

Nr. 01 02

Proces

Medewerker einddatum wijzigen

Input Output Processtap

Vanuit HR systeem Gewijzigde einddatum Uit te voeren activiteit

Opmerkingen

Nieuwe einddatum Medewerker heeft tijdelijk

Een HR medewerker voert een nieuwe einddatum in in het HR systeem. Eerst wordt gecontroleerd of de medewerker inderdaad een tijdelijk contract heeft.

Als het geen tijdelijk contract betreft houdt dit proces hiermee op.

37

Processtap

03 04

contract? Sla einddatum op Stel einddatum

Als dat zo is wordt de einddatum opgeslagen. De einddatum wordt aan het account gekoppeld zodat het account op de betreffende datum gedeactiveerd kan worden.

38

15 Procesbeschrijving – Aanmelden als scholier 15.1 Functionele beschrijving Als vanuit het Studenten informatie systeem (SIS) een nieuwe scholier doorgegeven wordt vindt dit proces plaats. Er wordt een account aangemaakt in de Identity Manager en in alle doelsystemen. Deze accounts zijn nog niet toegankelijk. Het Identity Manager account wordt toegankelijk bij het proces opvragen nieuwe accounts (zie de beschrijving van dat proces). De doelsysteemaccounts worden toegankelijk als de scholier zijn wachtwoord in de Identity Manager heeft gewijzigd. Zie het proces wijzigt wachtwoord.

15.2 Procesdiagram

15.3 Procesbeschrijving

Processtap

Nr.

Proces

Aanmelden als scholier

Input Output Processtap

Scholier gegevens vanuit SIS Aangemaakte accounts Uit te voeren activiteit

Opmerkingen

39

Processtap 01 02

03 04

Invoer scholier gegevens Genereer gebruikersnaam, dummy wachtwoord en emailadres

Iemand van de studentenadministratie voert een nieuwe scholier in SIS Het genereren van een gebruikersnaam een wachtwoord en een e-mailadres. Het wachtwoord wordt nooit gecommuniceerd en wordt daarom dummy wachtwoord genoemd om het te onderscheiden van een tijdelijk wachtwoord. Aanmaken account Er wordt een account aangemaakt op basis van de scholiergegevens Deze accounts zijn nog niet toegankelijk omdat het Aanmaken account In de doelsystemen waar een scholier wachtwoord wat er bij hoort nooit gecommuniceerd wordt. De toegang toe heeft wordt een account aangemaakt accounts zijn echter wel aangemaakt zodat beheerders van de betreffende systemen “iets” met de nieuwe account kunnen (bijvoorbeeld indelen in een groep).

40

16 Procesbeschrijving – Scholier deactiveren 16.1 Functionele beschrijving Als een scholieraccount gedeactiveerd moet worden, gebeurt dat middels dit proces.

16.2 Procesdiagram

16.3 Procesbeschrijving

Processtap Proces

Scholier deactiveren

Input Output Processtap

Vanuit SIS komt de informatie door dat het account gedeactiveerd moet worden Gedeactiveerde accounts Uit te voeren activiteit Opmerkingen

01

Scholier deactiveren

02

Sla status op

03

Stel datum van deactiveren in

Een medewerker van studentenadministratie geeft aan dat een scholieraccount gedeactiveerd moet worden. De gewijzigde status wordt vastgelegd in de Identity Vault samen met de reden van deactiveren De datum waarop de account gedeactiveerd mag worden wordt ingesteld

Nr.

41

Voor de PoC wordt maar 1 reden voorzien dus is het opslaan hiervan niet zo relevant

Processtap 04

Deactiveer account

De accounts van sommige doelsystemen worden gedeactiveerd

Accounts in doelsystemen kunnen tijdens de overgangsperiode ook nog actief zijn. Dat wordt per systeem bepaald.

42

17 Procesbeschrijving – Scholier markeertijd verlopen 17.1 Functionele beschrijving Wanneer de overgangsperiode waarin enkele accounts nog tijdelijk beschikbaar zijn voor een medewerker eindigt worden middels dit proces alle accounts in doelsystemen gedeactiveerd. Ook wordt de datum bepaald waarop de account verwijderd zal worden.

17.2 Procesdiagram

17.3 Procesbeschrijving

Processtap Proces

Scholier markeertijd verlopen

Input Output Processtap

Automatische dagelijkse controle Gedeactiveerde accounts e Uit te voeren activiteit

02

Markeertijd verlopen Sla status op

03

Stel datum

Een dagelijkse controle kijkt of de markeertijd verlopen is De gewijzigde status wordt vastgelegd in de Identity Vault De datum waarop de account verwijderd mag

Nr. 01

Opmerkingen

43

Processtap

04

van verwijderen in Deactiveer account

worden wordt ingesteld De accounts van alle doelsystemen worden gedeactiveerd

44

18 Procesbeschrijving – Scholier activeren 18.1 Functionele beschrijving Dit proces activeert een gedeactiveerde scholier account zodat de scholier weer gebruik kan maken van de doelsystemen.

18.2 Procesdiagram

18.3 Procesbeschrijving

Processtap

Nr. 01 02 03 04

Proces

Scholier activeren

Input Output Processtap

Vanuit de beheermodule Geactiveerde accounts Uit te voeren activiteit

Scholier activeren Sla status op Activeer account Activeer account

Een beheerder geeft aan dat een account geactiveerd moet worden. De status actief wordt opgeslagen Het account binnen Identity Manager wordt geactiveerd. De accounts in de doelsystemen worden geactiveerd.

Opmerkingen

45

19 Procesbeschrijving – Scholier verwijderen 19.1 Functionele beschrijving Een gedeactiveerd scholieraccount kan verwijderd worden met dit proces.

19.2 Procesdiagram

19.3 Procesbeschrijving

Processtap

Nr. 01

02

03

Proces

Scholier verwijderen

Input Output Processtap

Automatische dagelijkse controle Verwijderde accounts Uit te voeren activiteit

Opmerkingen

Verwijderdatum Een automatisch dagelijks proces controleert bereikt of de verwijderdatum voor een account bereikt is. Verwijder De gegevens met betrekking tot deze gegevens account worden verwijderd uit de Identity Vault Verwijder Het account in Identity Manager wordt account verwijderd

46

Processtap 04

Verwijder account

De bijbehorende accounts in de doelsystemen worden verwijderd.

47

20 Procesbeschrijving – Scholier wordt vooraanmelder 20.1 Functionele beschrijving Als een scholier zich “vooraanmeldt” wordt de status van het account met dit proces gewijzigd. Op basis van de wijziging kunnen dan accounts op andere doelsystemen worden aangemaakt.

20.2 Procesdiagram

20.3 Procesbeschrijving

Processtap

Nr. 01

02 03

Proces

Scholier wordt vooraanmelder

Input Output Processtap

Vanuit SIS Eventuele extra accounts Uit te voeren activiteit

Opmerkingen

Scholier wordt vooraanmelder

Een medewerker van de studentenadministratie geeft in het SIS aan dat een scholier vooraanmelder wordt. Sla status op De gewijzigde status wordt vastgelegd Update account Het account in Identity Manager wordt geüpdatet zodat het een vooraanmelder

48

Processtap account betreft 04

Maak account aan indien van toepassing

Op deze nieuwe doelsysteemaccounts kan de vooraanmelder direct met zijn huidige wachtwoord inloggen.

Op die systemen waar vooraanmelders wel toegang toe hebben maar scholieren niet worden accounts aangemaakt.

49

21 Procesbeschrijving – Scholier wordt student 21.1 Functionele beschrijving Als een scholier zich inschrijft als student wordt de status van het account met dit proces gewijzigd. Op basis van de wijziging kunnen dan accounts op andere doelsystemen worden aangemaakt.

21.2 Procesdiagram

21.3 Procesbeschrijving

Processtap

Nr. 01

02 03

Proces

Scholier wordt student

Input Output Processtap

Vanuit SIS Extra accounts Uit te voeren activiteit

Opmerkingen

Scholier wordt Een medewerker van de student studentenadministratie geeft in het SIS aan dat een scholier student wordt. Sla status op De gewijzigde status wordt vastgelegd Update Het account in Identity Manager wordt

50

Processtap account

04

geüpdatet zodat het een student account betreft Maak account Op die systemen waar studenten wel toegang aan indien van toe hebben maar scholieren niet worden accounts aangemaakt. toepassing

51

22 Procesbeschrijving – Vooraanmelden 22.1 Functionele beschrijving Als iemand zich “vooraanmeldt” worden er met dit proces accounts voor hem aangemaakt. Hij heeft er nog geen toegang toe. Tot de Identity Manager krijgt hij toegang na het proces “Opvragen nieuwe accounts” (zie de beschrijving van dat proces). Tot de doelsysteem accounts krijgt hij toegang nadat hij zijn wachtwoord heeft gewijzigd in de Identity Manager.

22.2 Procesdiagram

22.3 Procesbeschrijving

Processtap

Nr. 01

02

Proces

Vooraanmelden

Input Output Processtap

Gegevens vooraanmelder vanuit SIS Aangemaakte accounts Uit te voeren activiteit

Invoer gegevens vooraanmelder Genereer gebruikersnaa

Een medewerker van studentenadministratie voert de gegevens van de vooraanmelder in in SIS Er worden een gebruikersnaam, een dummy wachtwoord (dat nooit gecommuniceerd

Opmerkingen

52

Processtap

03 04

m, dummy wachtwoord en e-mailadres Aanmaken account Aanmaken account

wordt aan de gebruiker) en een e-mailadres aangemaakt. Deze gegevens worden opgeslagen bij een account. Op basis hiervan worden accounts aangemaakt in doelsystemen waar vooraanmelders toegang toe hebben.

53

23 Procesbeschrijving – Vooraanmelder deactiveren 23.1 Functionele beschrijving Als een account van een vooraanmelder gedeactiveerd moet worden (onafhankelijk van de reden daarvan) wordt dat gedaan met dit proces. De bijbehorende doelsysteemaccounts worden dan gedeactiveerd.

23.2 Procesdiagram

23.3 Procesbeschrijving

Processtap Proces

Vooraanmelder deactiveren

Input Output Processtap

Vanuit SIS Gedeactiveerde accounts Uit te voeren activiteit

Opmerkingen

01

Vooraanmelder deactiveren

02

Sla status op

In SIS wordt aangegeven dat een bepaalde vooraanmelder account gedeactiveerd moet worden. De nieuwe status wordt vastgelegd in de Identity Vault samen met de reden van

Als, zoals nu voorzien, in de PoC maar 1 reden mogelijk is heeft opslaan niet veel zin.

Nr.

54

Processtap

03 04

Stel datum van deactiveren in Deactiveer account

deactiveren De datum waarop de account volledig kan worden gedeactiveerd wordt ingesteld Een deel van de doelsysteemaccounts worden gedeactiveerd.

55

24 Procesbeschrijving – Vooraanmelder markeertijd verlopen 24.1 Functionele beschrijving Een automatische controle kijkt dagelijks of de overgangsperiode voor een account is verlopen. Als dat zo is wordt er een datum voor het verwijderen van de account bepaald. Alle accounts in doelsystemen worden gedeactiveerd.

24.2 Procesdiagram

24.3 Procesbeschrijving

Processtap Proces

Vooraanmelder deactiveren

Input Output Processtap

Dagelijkse controle Gedeactiveerde accounts Uit te voeren activiteit

02

Vooraanmelder deactiveren Sla status op

03

Stel datum van

Een automatische controle kijkt dagelijks of de markeertijd van een verlopen is. De nieuwe status wordt vastgelegd in de Identity Vault De datum waarop de account volledig kan

Nr. 01

Opmerkingen

56

Processtap

04

verwijderen in

worden verwijderd wordt ingesteld

Deactiveer account

Alle doelsysteemaccounts worden gedeactiveerd.

57

25 Procesbeschrijving – Vooraanmelder activeren 25.1 Functionele beschrijving Een gedeactiveerde vooraanmelder account kan weer geactiveerd worden met dit proces.

25.2 Procesdiagram

25.3 Procesbeschrijving

Processtap Proces

Vooraanmelder activeren

Input Output Processtap

Vanuit de beheermodule Geactiveerde accounts Uit te voeren activiteit

01

Vooraanmelder activeren

02

Sla status op

03

Activeer account Activeer

In de beheermodule wordt aangegeven dat een bepaalde vooraanmelder account geactiveerd moet worden De gewijzigde, actieve status wordt opgeslagen Het account in de Identity Manager wordt geactiveerd De accounts in de doelsystemen worden

Nr.

04

Opmerkingen

58

Processtap account

geactiveerd.

59

26 Procesbeschrijving – Vooraanmelder verwijderen 26.1 Functionele beschrijving Met dit proces wordt een gedeactiveerde vooraanmelder verwijderd.

26.2 Procesdiagram

26.3 Procesbeschrijving

Processtap Proces

Vooraanmelder verwijderen

Input Output Processtap

De verwijderdatum is bereikt Verwijderde accounts Uit te voeren activiteit

01

Verloopdatum bereikt

02

Verwijder gegevens Verwijder account

Bij een dagelijkse automatische controle wordt vastgesteld dat de verwijderdatum bereikt is. De gegevens met betrekking tot deze account worden verwijderd. Het account in Identity Manager wordt verwijderd.

Nr.

03

Opmerkingen

60

Processtap 04

Verwijder account

De accounts in de doelsystemen worden verwijderd.

61

27 Procesbeschrijving – Aanmelding definitief 27.1 Functionele beschrijving Wanneer een vooraanmelder zich definitief aanmeldt (en daarmee student wordt) wordt dit proces uitgevoerd om extra accounts aan te maken voor doelsystemen waar studenten wel maar vooraanmelders geen toegang toe hebben.

27.2 Procesdiagram

27.3 Procesbeschrijving

Processtap

Nr. 01 02 03

Proces

Aanmelding definitief

Input Output Processtap

Vanuit SIS Eventuele extra accounts Uit te voeren activiteit

Opmerkingen

Scholier wordt In SIS wordt ingevoerd dat een vooraanmelder vooraanmelder student wordt. Sla status op De nieuwe status wordt opgeslagen Update account Het account in Identity Manager wordt geüpdatet zodat het een student account

62

Processtap betreft 04

Maak account aan indien van toepassing

Als er ook systemen zijn waar een vooraanmelder wel en een student geen toegang toe heeft dan worden de account op die systemen verwijderd.

In die doelsystemen waar een vooraanmelder niet en een student wel toegang toe heeft worden extra accounts aangemaakt.

63

28 Procesbeschrijving – Aanmelden als student 28.1 Functionele beschrijving Als iemand zich aanmeldt als student (zonder eerst scholier of vooraanmelder geweest te zijn) worden er accounts voor hem aangemaakt in dit proces. De student heeft nog geen toegang tot de accounts omdat het gebruikte wachtwoord niet naar hem gecommuniceerd wordt. Hij krijgt toegang tot de Identity Manager na het proces “Opvragen nieuwe accounts” en tot de doelsystemen nadat hij zijn wachtwoord heeft gewijzigd in de Identity Manager.

28.2 Procesdiagram

64

28.3 Procesbeschrijving Processtap

Uit te voeren activiteit

Nr

Proces Input Output Processtap

Aanmelden als student Vanuit SIS Aangemaakte accounts Uit te voeren activiteit

01

Invoer student gegevens

02

03 04

Opmerkingen

Een medewerker van de studentenadministratie voert de gegevens van een nieuwe student in Genereer gebruikersnaam, Er worden voor de nieuwe gebruiker een dummy wachtwoord en e- gebruikersnaam een dummy wachtwoord en een emailadres gegenereerd. mailadres Aanmaken account Op basis van deze gegevens wordt een account aangemaakt in Identity Manager. Aanmaken account In de doelsystemen waar studenten toegang to hebben worden accounts aangemaakt.

65

29 Procesbeschrijving – Student deactiveren 29.1 Functionele beschrijving Als een student gedeactiveerd wordt gaat er eerst een overgangsperiode in. In die tijd is de account alleen gemarkeerd voor deactiveren. Per doelsysteem kan bepaald worden of de student hier wel of geen toegang toe mag hebben. Dit kan ook nog afhangen van de reden van deactiveren die wordt meegegeven. Mogelijke redenen zijn:   

Gestopt Overleden Algemeen

29.2 Procesdiagram

29.3 Procesbeschrijving Processtap Proces Input

Student deactiveren Vanuit SIS

66

Processtap

Nr

Output Processtap

Gedeactiveerde accounts Uit te voeren activiteit

01

Student deactiveren

02

Sla status en reden op

03

Stel datum van deactiveren in Deactiveer account

Vanuit SIS komt door dat het account gedeactiveerd moet worden. De nieuwe status wordt opgeslagen samen met de reden van deactiveren De datum waarop de account daadwerkelijk gedeactiveerd wordt, wordt ingesteld. Accounts in de doelsystemen worden gedeactiveerd of blijven actief, afhankelijk van de reden van deactiveren.

04

Opmerkingen

67

30 Procesbeschrijving – Student markeertijd verlopen 30.1 Functionele beschrijving Een automatische controle kijkt dagelijks of de overgangsperiode voor een account is verlopen. Als dat zo is wordt er een datum voor het verwijderen van de account bepaald. Alle accounts in doelsystemen worden gedeactiveerd.

30.2 Procesdiagram

30.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Student markeertijd verlopen Automatische controle Gedeactiveerde accounts Uit te voeren activiteit

01

Markeertijd verlopen

Een dagelijkse controle kijkt of de markeertijd is

Opmerkingen

68

Processtap

02 03 04

Sla status e op Stel datum van deactiveren in Deactiveer account

verlopen De nieuwe status wordt opgeslagen De datum waarop de account verwijderd wordt, wordt ingesteld. Accounts in de doelsystemen worden allemaal gedeactiveerd

69

31 Procesbeschrijving – Student activeren 31.1 Functionele beschrijving Om een gedeactiveerde account weer te activeren moet dit proces gebruikt worden. De student kan daarna weer inloggen op de doelsystemen met zijn oude wachtwoord.

31.2 Procesdiagram

31.3 Procesbeschrijving Processtap Proces Input Output Processtap

Student activeren Vanuit de beheermodule Geactiveerde accounts Uit te voeren activiteit

01

Gedeactiveerde student activeren

02 03

Sla status op Activeer account

04

Activeer account

In de beheermodule wordt aangegeven dat een gedeactiveerde account weer geactiveerd moet worden. De actieve status wordt vastgelegd Het account in Identity Manager wordt geactiveerd zodat de student hier kan inloggen. De accounts in de doelsystemen worden geactiveerd.

Nr

Opmerkingen

70

32 Procesbeschrijving – Student verwijderen 32.1 Functionele beschrijving Met dit proces wordt een gedeactiveerde studenten account na een bepaalde tijd automatisch verwijderd.

32.2 Procesdiagram

32.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Student verwijderen Dagelijkse controle Verwijderde accounts Uit te voeren activiteit

01

Verwijderdatum bereikt

02

Verwijder gegevens

03 04

Verwijder account Verwijder account

Een automatische dagelijkse controle stelt vast of de verwijderdatum is bereikt. De gegevens die betrekking hebben op het account worden verwijderd. Het account wordt verwijderd De accounts in de doelsystemen worden verwijderd.

Opmerkingen

71

33 Procesbeschrijving – Student studeert af 33.1 Functionele beschrijving Als een student afstudeert wordt hij automatisch alumnus. Afhankelijk van de rechten van een student en van een alumnus moeten er doelsysteemaccounts worden geactiveerd of gedeactiveerd. Dat gebeurt door middel van dit proces.

33.2 Procesdiagram

33.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Student studeert af Vanuit SIS Geactiveerd en/of gedeactiveerde accounts Uit te voeren activiteit

01

Student studeert af

02 03

Sla status op Update account

04

(De)activeer account

Een medewerker van de studentenadministratie voert in dat een student is afgestudeerd. De status van alumnus wordt opgeslagen Het account wordt geüpdatet zodat het een alumnus account betreft. Afhankelijk van de rechten van een student en een Als er accounts geactiveerd moeten

72

Opmerkingen

Processtap alumnus zullen sommige accounts moeten worden gedeactiveerd en sommige worden geactiveerd.

73

worden zullen ze eerst gecreëerd moeten worden. Aandachtspunt: hoe voorkomen we dat gedeactiveerde accounts in doelsystemen nooit verwijderd worden?

34 Procesbeschrijving – Alumnus begint vervolgstudie 34.1 Functionele beschrijving Als een alumnus een vervolgstudie begint en daarom weer rechten moet krijgen die bij een student hoort kan dat met dit proces.

34.2 Procesdiagram

34.3 Procesbeschrijving Processtap Proces Input Output Processtap

Alumnus begint vervolgstudie Vanuit SIS Geactiveerde en/of gedeactiveerde accounts Uit te voeren activiteit

Opmerkingen

02 03

Alumnus begint vervolgstudie Sla status op Update account

04

(De)activeer account

In SIS wordt ingevoerd dat een alumnus begint met een vervolgstudie De status van student wordt opgeslagen Het account wordt geüpdatet zodat het een studentaccount wordt Afhankelijk van de rechten van studenten en alumni moeten op sommige systemen accounts

Indien een account geactiveerd wordt moet deze misschien eerst aangemaakt

Nr 01

74

Processtap worden geactiveerd en op sommige systemen worden gedeactiveerd

75

worden. Aandachtspunt: hoe voorkomen we dat gedeactiveerde accounts nooit verwijderd worden.

35 Procesbeschrijving – Alumnus deactiveren 35.1 Functionele beschrijving Als een alumnusaccount, om wat voor reden dan ook gedeactiveerd moet worden kan dat met dit proces.

35.2 Procesdiagram

35.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Alumnus deactiveren Vanuit SIS Gedeactiveerde accounts Uit te voeren activiteit

01

Alumnus deactiveren

02

Sla status en reden op

03

Stel datum van deactiveren in Deactiveer account

Een medewerker van studentenadministratie geeft aan dat een alumnus gedeactiveerd moet worden. De nieuwe status wordt opgeslagen samen met de reden van deactiveren De datum dat de account daadwerkelijk gedeactiveerd zal worden wordt ingesteld. De accounts in de doelsystemen worden gedeactiveerd.

04

Opmerkingen

76

36 Procesbeschrijving – Alumnus markeertijd verlopen 36.1 Functionele beschrijving Een automatische controle kijkt dagelijks of de overgangsperiode voor een account is verlopen. Als dat zo is wordt er een datum voor het verwijderen van de account bepaald. Alle accounts in doelsystemen worden gedeactiveerd.

36.2 Procesdiagram

36.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Alumnus markeertijd verlopen Automatische controle Gedeactiveerde accounts Uit te voeren activiteit

01

Markeertijd verlopen

Een dagelijkse controle kijkt of de markeertijd is

Opmerkingen

77

Processtap

02 03 04

Sla status e op Stel datum van deactiveren in Deactiveer account

verlopen De nieuwe status wordt opgeslagen De datum waarop de account verwijderd wordt, wordt ingesteld. Accounts in de doelsystemen worden allemaal gedeactiveerd

78

37 Procesbeschrijving – Alumnus activeren 37.1 Functionele beschrijving Dit proces bewerkstelligt het omgekeerde van het voorgaande proces. Hier wordt een gedeactiveerde account weer geactiveerd.

37.2 Procesdiagram

37.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Alumnus activeren Vanuit de beheermodule Geactiveerde accounts Uit te voeren activiteit

01

Alumnus activeren

02 03 04

Sla status op Activeer account Activeer account

In de beheermodule geeft een beheerder aan dat een alumnus geactiveerd moet worden. De actieve status wordt opgeslagen. Het Identity Manager account wordt geactiveerd. De doelsysteemaccounts worden geactiveerd.

Opmerkingen

79

38 Procesbeschrijving – Alumnus verwijderen 38.1 Functionele beschrijving Als de verwijderdatum van een alumnus account is bereikt wordt de account met dit proces volledig verwijderd.

38.2 Procesdiagram

38.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Alumnus verwijderen Automatische controle Verwijderde accounts Uit te voeren activiteit

01

Verwijderdatum bereikt

02

Verwijder gegevens.

03 04

Verwijder account. Verwijder account.

Een dagelijkse controle stelt vast of de verwijderdatum is bereikt.. De gegevens met betrekking tot het account worden verwijderd Het Identity Manager account wordt verwijderd Het account worden verwijderd uit de

Opmerkingen

80

Processtap doelsystemen.

81

39 Procesbeschrijving – Account voor een externe creëren 39.1 Functionele beschrijving Voor personen die geen medewerker of student o.i.d. zijn maar toch toegang tot het systeem moeten hebben kan een externe account worden gecreëerd met dit proces. Een account voor een externe bevat altijd een einddatum waarop het account automatisch wordt gedeactiveerd.

39.2 Procesdiagram

39.3 Procesbeschrijving Processtap Proces Input Output Processtap

Account voor een externe creëren Vanuit de beheermodule Aangemaakte (maar nog niet toegankelijke accounts) Uit te voeren activiteit Opmerkingen

01

Invoer account gegevens waaronder einddatum

02

Genereer gebruikersnaam, dummy wachtwoord en emailadres Aanmaken account

In de beheermodule wordt aangegeven dat een account voor een externe moet worden gemaakt met een bepaalde einddatum Er worden voor de externe gebruiker een gebruikersnaam, dummy wachtwoord en emailadres gegenereerd. Het account in Identity Manager wordt

Nr

03

82

Het dummy wachtwoord wordt niet gecommuniceerd.

Processtap

04

Aanmaken account

aangemaakt. Het account in de doelsystemen worden aangemaakt.

83

De accounts zijn niet toegankelijk voor de gebruiker maar kunnen wel ingedeeld worden in groepen e.d.

40 Procesbeschrijving – Account voor een externe deactiveren 40.1 Functionele beschrijving Indien een account voor een externe, om wat voor reden dan ook, gedeactiveerd moet worden kan dat middels dit proces. Dit proces wordt automatisch uitgevoerd als de einddatum van de account voor een externe is bereikt.

40.2 Procesdiagram

40.3 Procesbeschrijving Processtap

Nr 01 02

03

Proces Input Output Processtap

Account voor externe deactiveren Vanuit de beheermodule of automatische controle Gedeactiveerde accounts Uit te voeren activiteit

Externe account deactiveren In de beheermodule wordt aangegeven dat een externe account moet worden gedeactiveerd. Einddatum bereikt Een automatische dagelijkse controle vindt plaats om te kijken of de einddatum van een extern account al bereikt is. Sla status en reden op De status gedeactiveerd wordt opgeslagen samen

84

Opmerkingen

Indien dit proces gestart is met een

Processtap met de reden van deactiveren 04 05

Stel datum van deactiveren in Deactiveer account

automatische controle dan is de reden “Einddatum bereikt”

De datum dat de account daadwerkelijk gedeactiveerd zal worden wordt ingesteld. De accounts in de doelsystemen worden gedeactiveerd voor zover toegang direct niet meer is toegestaan.

85

41 Procesbeschrijving – Account voor een externe markeertijd verlopen 41.1 Functionele beschrijving Een automatische controle kijkt dagelijks of de overgangsperiode voor een account is verlopen. Als dat zo is wordt er een datum voor het verwijderen van de account bepaald. Alle accounts in doelsystemen worden gedeactiveerd.

41.2 Procesdiagram

41.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Account voor externe markeertijd verlopen Vanuit de beheermodule Gedeactiveerde accounts Uit te voeren activiteit

01

Markeertijd verlopen

02 03

Sla status op Stel datum van verwijderen in

Een dagelijkse controle kijkt of de markeertijd verlopen is. De status gedeactiveerd wordt opgeslagen. De datum dat dit account verwijderd zal worden wordt ingesteld.

86

Opmerkingen

Processtap 04

Deactiveer account

De accounts in de doelsystemen worden allemaal gedeactiveerd

87

42 Procesbeschrijving – Account voor een externe activeren 42.1 Functionele beschrijving Een gedeactiveerde account voor een externe kan met dit proces weer worden geactiveerd.

42.2 Procesdiagram

42.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Externe account activeren Vanuit beheermodule Geactiveerde accounts Uit te voeren activiteit

01

Externe account activeren

02 03 04

Sla status op Activeer account Activeer account

In de beheermodule wordt aangegeven dat een externe account geactiveerd moet worden. De status wordt vastgelegd De Identity Manager account wordt geactiveerd De accounts in de doelsystemen worden geactiveerd.

Opmerkingen

88

43 Procesbeschrijving – Account voor externe verwijderen 43.1 Functionele beschrijving Als de verwijderdatum van een account voor een externe bereikt is wordt deze automatisch verwijderd middels dit proces.

43.2 Procesdiagram

43.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Account voor externe verwijderen Automatische controle Verwijderde accounts Uit te voeren activiteit

01

Verwijderdatum bereikt?

02

Verwijder gegevens

03

Verwijder account

04

Verwijder account

Een automatische controle vindt plaats om vast te stellen of de verwijderdatum is bereikt. De gegevens met betrekking tot het account worden verwijderd. Het account in de Identity Manager wordt verwijderd. De accounts in de doelsystemen worden verwijderd.

89

Opmerkingen

44 Procesbeschrijving – Externe account einddatum wijzigen 44.1 Functionele beschrijving Met dit proces kan de einddatum van een externe account (de datum waarop het account automatisch gedeactiveerd wordt) gewijzigd worden.

44.2 Procesdiagram

44.3 Procesbeschrijving Processtap

Nr

Proces Input Output Processtap

Externe account einddatum wijzigen Vanuit de beheermodule Gewijzigde einddatum Uit te voeren activiteit

01

Nieuwe einddatum

02 03

Sla einddatum op Stel einddatum in

In de beheermodule wordt een nieuwe einddatum ingevoerd voor een account. De einddatum wordt opgeslagen. En ingesteld voor het externe account.

90

Opmerkingen