Identity & Access Management (IAM)

Wat identity and access management (IAM) inhoudt

Identity and access management (IAM) is het geheel van beleid en tools dat bepaalt bij wie een account hoort en wat dat account mag bereiken. In de meeste organisaties beslaat dit een identity provider, een gebruikersdirectory, authenticatie en de toegangsrechten die aan elke rol hangen. Het vakgebied is breed en geen enkele tool doet alles. Weten welk deel je oplost is de eerste stap in elk IAM-project.

Waar ServiceChanger in identity and access management past

ServiceChanger authenticeert geen gebruikers. Het doet geen single sign-on of multi-factor authenticatie. Standaard reageert het op de attributen die al in je directory staan en leest het out of the box geen HR-systeem uit. Het zit na je identity provider. Zodra een account in Microsoft Entra ID of on-prem Active Directory bestaat, zet ServiceChanger één attribuutwaarde (afdeling, functie of locatie) om in de juiste set groep- en rollidmaatschappen, en houdt die set automatisch kloppend. Als "afdeling = Finance" negen specifieke groepen moet betekenen, zorgt ServiceChanger dat die negen lidmaatschappen er altijd zijn en niets extra. Wil je je HR-systeem koppelen voor onboarding en offboarding, dan bouwen we dat als maatwerk met automation accounts en runbooks in Azure. Het is één laag toegangsautomatisering, geen complete IAM- of IGA-suite.

Eén attribuut bepaalt een set groepen en rollen

Het kernidee is simpel. Je koppelt één attribuut aan een hele set lidmaatschappen. "Functie = veldtechnicus" kan vanuit één waarde een VPN-groep, een remote-access-rol, drie gedeelde mailboxen en de juiste software-uitrolgroepen toekennen. Verhuist iemand van Sales naar Finance, dan vervallen de Sales-lidmaatschappen en wordt de Finance-set toegevoegd, omdat de koppeling doorlopend wordt geëvalueerd en niet eenmalig bij onboarding. Voorbeelden die we in de praktijk zien: afdeling = Finance naar negen groepen, locatie = Rotterdam naar een printergroep plus een site-distributielijst, en functie = manager die een goedkeuringsrol toevoegt bovenop de basisset voor de afdeling.

Entra ID en on-prem Active Directory in één model

De meeste organisaties zijn nog hybride: sommige groepen staan in Microsoft Entra ID, andere bestaan alleen in on-prem Active Directory. ServiceChanger schrijft naar beide vanuit hetzelfde model. Het kan Entra ID dynamic groups aansturen, samenwerken met Entra Connect voor de gesynchroniseerde objecten, en een PowerShell-runbook op een hybrid worker draaien voor de on-prem groepen die de cloud niet bereikt. Zo kan één koppeling "afdeling = Finance" tegelijk een cloud-securitygroep en een on-prem AD-groep vullen, zonder tweede tool en zonder handmatige export. Deze hybride dekking vanuit één model is precies het deel dat generieke IAM-tooling overslaat.

Doorlopende handhaving, geen eenmalige sync

Access drift is het sluipende probleem in elke directory: mensen houden lidmaatschappen die ze niet meer nodig hebben, en handmatige opschoning loopt altijd achter. ServiceChanger past het attribuutmodel volgens een schema opnieuw toe, dus een lidmaatschap dat er niet hoort wordt verwijderd en een ontbrekend lidmaatschap wordt teruggezet. Er is geen shadow mode en geen alleen-voorbeeld-run; het attribuutmodel is de bron van waarheid en wordt bij elke ronde gehandhaafd. Zo blijft het gat tussen "wat het attribuut zegt" en "wat de directory verleent" bijna nul tussen toegangsreviews door.

Waar authenticatie en levenscyclus thuishoren

Omdat ServiceChanger lidmaatschappen afhandelt, blijft de rest van IAM bij de tools die daarvoor gemaakt zijn. Single sign-on en multi-factor authenticatie blijven in je identity provider; die verifiëren wie er inlogt. Standaard gaat ServiceChanger ervan uit dat het account al bestaat en de attributen al gezet zijn, en zorgt dan dat de toegang die uit die attributen volgt klopt. Wil je je HR-systeem koppelen zodat onboarding en offboarding die attributen sturen, dan bouwen we dat als maatwerk met automation accounts en runbooks in Azure. De twee lagen passen op elkaar: de identity provider bepaalt of je mag inloggen, ServiceChanger bepaalt in welke groepen je belandt.

Wat de licentiemodule wel en niet doet

De licentiemodule volgt het gebruik. Het laat zien welke licenties zijn toegekend en hoe ze zich verhouden tot je groep- en rolmodel, zodat je over-toekenning ziet voordat een toegangsreview dat doet. Het provisioneert geen licenties en wint ze niet terug. Een licentie verwijderen of terugkopen blijft een bewuste actie in je eigen beheertooling. De module geeft je het inzicht om te beslissen; het voert de wijziging niet voor je uit.

IAM, naleving en toegangsreviews

Toegangsreviews stellen één vraag: heeft elk lidmaatschap nog een reden. Als lidmaatschappen uit attributen volgen, is die reden de attribuutwaarde zelf, wat reviews korter en auditbewijs schoner maakt. ServiceChanger vervangt je audit- of rapportagetools niet, maar attribuutgedreven lidmaatschappen geven die tools een consistent, uitlegbaar antwoord voor normen zoals GDPR, HIPAA en SOC 2: deze groep bestaat omdat dit attribuut deze waarde heeft.

Waar IAM naartoe beweegt

Het bredere IAM-veld beweegt richting zero-trust-modellen, waarbij toegang nooit wordt aangenomen en op het moment van gebruik wordt gecontroleerd, en richting wachtwoordloos inloggen met passkeys en FIDO2. Die verschuivingen spelen in de authenticatielaag. Wat eronder constant blijft, is de behoefte aan correct groep- en rollidmaatschap, want een zero-trust-beslissing is zo goed als de toegangsdata die het leest. Dat lidmaatschap accuraat en attribuutgedreven houden is het deel dat ServiceChanger afhandelt, ongeacht de inlogmethode erbovenop.

FAQ's over identity and access management (IAM)