ROC Friese Poort tilt IDM naar hoger niveau
Niet alleen Hogescholen en Universiteiten hebben te maken met Identity Management, ook de ruim 500 Regionale Opleidings Centra’s (ROC). Toen een groep van 12 ROC’s de mogelijkheden voor het administreren en beheren van gebruikers en resources in het netwerk inclusief de toegangscontrole van de gebruikers op applicaties en systemen ging onderzoeken, stond het ROC Friese Poort voor de keuze; Meegaan met deze ROC’s (en kiezen voor andere oplossingen) of aanhaken bij de IDM ontwikkelingen van de hogescholen en universiteiten. ROC Friese Poort had namelijk al de nodige stappen op het gebied van veiligheid gemaakt en was aanzienlijk verder dan de andere ROC’s.
Na diverse gesprekken met contact-personen binnen universiteiten en hogescholen was het voor Romke van Groning, ICT Infrabeheerder bij ROC Friese Poort, duidelijk; de route van de ROC’s zou voor hun een achteruitgang betekenen.
Updates duurden anderhalve dag
‘Vanaf het eerste contact was er een klik met de mensen van IDFocus. We wilden natuurlijk niet over 1 nacht ijs, dus heb ik ook enkele referenties gebeld’ schetst van Groning over de beginfase. ROC Friese Poort had 2 separate eDirectory identiteitbronnen; één voor de productieomgeving met de identiteiten van alle medewerkers en leerlingen en één eDirectory identiteit voor alleen ICT-studenten. Ons grootste manco was dat updates van medewerkers pas na ongeveer een halve dag operationeel waren en updates van leerlingen pas na 1,5 dag, dat werd onwerkbaar’.
Randvoorwaarden
‘We wilden accounts van een nieuwe ROC Friese Poort brede IDM omgeving door middel van IDM koppelingen conditioneel synchroniseren naar verschillende ICT systemen. Op grond van onze eerdere IDM expertise, konden wij duidelijk de randvoorwaarden afbakenen, te weten:
- ID’s van studenten en medewerkers worden vanuit de Friese Poort brede omgeving in de ICT omgeving aangemaakt op basis van lidmaatschap
en/of waarde van een attribuut op een gebruiker object. - De identiteit kan zijn/ haar account zelfstandig activeren, zonder
tussenkomst van de leerlingenadministratie - Een homedirectory moet worden aangemaakt voor de desbetreffende
gebruiker - Homedirectory en account worden na een X-periode inactief en/of later verwijderd
- Wachtwoord wordt naar beide omgevingen gesynchroniseerd.
- Er vinden e-mail notificaties naar de gebruiker plaats wanneer een identiteit belangrijke wijzingen ondergaat (activatie, deactivatie, wachtwoord
verlopen etc.)
Usernamen en rechten
Mede door onze IDM expertise hadden we al de nodige ervaring met afwijkende situaties. Denk hierbij aan mensen met een dubbele achternaam (dus usernamen standaardiseren), speciale functies (waarmee men meer of minder rechten t.o.v. de normale functie moet hebben), reguliere leerlingen of leerlingen met een beperking. Al deze uitzonderingen kon IDFocus in een keer in het systeem verwerken.
Kerstperiode
Doordat in de zomerperiode veel studenten het ROC verlaten en nieuwe studenten instromen (er is dan zo’n 30% overlap) , zijn we juist rondom de kerstvakantie overgegaan. Maar niet voordat IDFocus alles uitgebreid had getest en wij het IDM systeem nog op kleine puntjes konden finetunen.
Uiteindelijk heeft vrijwel niemand (we hebben zo’n 1.200 medewerkers en ruim 14.000 leerlingen) iets van de overgang gemerkt.
Ons IDM systeem draait nu alweer een aantal jaren en als ik terugkijk, zouden wij zo weer voor de samenwerking met IDFocus kiezen. Ze weten wat Identity Management voor het onderwijs inhoudt, het systeem heeft een hoog rendement, is zeer stabiel en ontlast onze afdelingen.
Bovendien maakt IDFocus waar wat ze beloven; binnen de afgesproken tijd en het afgesproken budget! Wij hebben nu al jaren een veilige, uitgebalanceerde en betaalbare IDM oplossing voor al onze gebruikers.’
De casestudy van ROC Friese Poort nog eens rustig nalezen? Download dan hier de PDF.