Enige tijd geleden schreef ik over de Heilige Graal in identity management: het beheren van toegang tot apps en data door de HR-afdeling via Okta, gebaseerd op functieprofielen en andere kenmerken. Dit heeft als grote voordeel dat het tijd bespaart voor zowel HR als IT, miscommunicatie voorkomt en toegang tot data en apps verleent op basis van rollen die zijn vastgelegd in het HR-functiehuis. Precies zoals de ISO27001-auditor het graag ziet! En laten we niet vergeten welke onvergetelijke indruk je achterlaat bij nieuwe medewerkers die alles hebben wat ze nodig hebben op hun eerste dag in je bedrijf.
Deze week werken we dit HR-as-a-master concept uit in de praktijk met een Okta- en een HiBob-omgeving. We koppelen Okta en HiBob op twee manieren:
Wanneer Okta en HiBob zijn gekoppeld, stellen we nog enkele instellingen in voor een soepel onboarding-proces en een goede start voor het verdere gebruik van de Okta-accounts.
Provisioning betekent dat informatie over medewerkers vanuit HiBob wordt gedeeld met Okta, die er een account mee aanmaakt en het profiel invult. Okta maakt vervolgens gebruik van deze informatie om profielen in achterliggende applicaties aan te vullen. Op deze manier wordt "master data" uit het HR-systeem automatisch gebruikt om bijvoorbeeld informatie over collega's te delen in Slack, Teams, Box, enzovoort.
Het moment waarop dit gebeurt is relevant. Medewerkers tekenen hun contract lang voordat ze daadwerkelijk starten in de organisatie. HiBob zorgt ervoor dat op het moment dat de nieuwe medewerker wordt vastgelegd in HiBob er al direct een account in Okta wordt aangemaakt. Er kan niet worden ingelogd op het account tot de dag dat het contract ingaat, maar aanwezigheid in Okta stelt eventuele applicatiebeheerders van achterliggende applicaties in staat om de gebruiker al goed te onboarden. Okta zal immers het account al doorsturen naar achterliggende systemen, zodat een beheerder, indien nodig, de juiste rechten kan toewijzen en licenties kan koppelen, voor zover dat nodig is en niet automatisch gebeurt.
Op de eerste werkdag van de medewerker stuurt HiBob een signaal naar Okta dat het contract actief wordt. Dit signaal geeft Okta het teken om de activeringsmail naar het persoonlijke e-mailadres te sturen. Met deze activeringsmail kan de gebruiker zijn account activeren en krijgt zo toegang tot het persoonlijke dashboard met alle applicaties, inclusief het nieuwe zakelijke e-mailadres.
Een naadloze integratie tussen contractgegevens en praktische toegang tot data en apps is van groot belang. Het is inefficiënt en amateuristisch als een nieuwe medewerker op de eerste werkdag moet wachten op toegang. Het is uiteraard ook onaanvaardbaar om toegang te geven voordat het contract ingaat. De integratie tussen HR en IT is hier de oplossing.
Bij offboarding dit dit gevoeliger. Dienstverbanden kunnen om allerlei redenen worden beëindigd. Sommige zijn planbaar en met goede redenen. Maar het komt ook voor dat het vertrek van een medewerker niet gepland kan worden en vaak zijn de omstandigheden dusdanig dat zekerheid over afgesloten toegang cruciaal is.
HiBob en Okta doen dit op dezelfde waterdichte manier. Zodra een medewerker in HiBob door een HR-medewerker wordt beëindigd, wordt onmiddellijk het signaal naar Okta gestuurd om het account te deactiveren. De medewerker kan niet meer inloggen en wordt direct uitgelogd uit alle geïntegreerde applicaties met behulp van Okta's 'Universal Logout'.