UPEM / Redesign
 Actions

Redesign

Van Mesdag Enterprise Managerial and Operational repository

Subpages:

Probleemstelling

[1]

Kernprobleem

Missende of onvoldoende functionaliteit

[2]


Weergave afdeling, functie, rol en manager soms onvolledig

Meerdere afdelingen, functies, rollen en managers zijn nu nog niet in TOPdesk en ExO zichtbaar. Dit komt omdat deze informatiesystemen uit gaan van velden in 'kaarten' waar een *enkele* afdeling/functie/rol/manager in wordt verwacht. Voor medewerkers die op meerdere afdelingen werkzaam zijn en/of meerdere functies vervullen wordt op basis van een complex maar rudimentair algoritme een keuze gemaakt om tot één afdeling en één functie te komen. Dit is niet alleen verre van foutloos, ook beschrijft het niet de volledige werkelijkheid voor deze medewerkers.

Wenselijk is dat de weergave van beschreven medewerkers in deze systemen volledig wordt door betreffende gegevens per categorie volgens een vast patroon samen te voegen tot een goed leesbare tekenreeks die in de daarvoor bestemde velden kan worden opgenomen.

Aandachtspunten hierbij zijn de volgorde van de gegevens zelf (bijvoorbeeld alfabetisch op functienaam gesorteerd), onderscheidbaarheid van elk onderdeel (waar stopt bijvoorbeeld de ene afdelingsnaam en begint de volgende), totale lengte (zowel voor het systeem in kwestie als de lezer/weergever, denk aan de handtekening) en voorkomen dat deze gegevens verder downstream voor automatisering gebruikt worden.

Afleiding toewijzingen van middelen en privileges eenzijdig

Bij meerdere inzetten, zoals beschreven in Weergave_afdeling,_functie,_rol_en_manager_soms_onvolledig, wordt maar één onderdeel per niveau gebruikt bij het bepalen van de set toe te wijzen privileges (één afdeling, één functie, één manager). Dit betekent dat medewerkers met meerdere afdelingen c.q. functies niet alle middelen en privileges worden toegewezen die ze nodig hebben.

Onderhoudbaarheid is laag

De onderhoud- en ondersteunbaarheid van de huidige inrichting is laag, mede door de inconsequentie in tabelontwerp en patronen voor vergelijkbare vraagstukken. Ook is de hoeveelheid transformaties op tabellen onoverzichtelijk groot. Dit laatste wordt in grote mate veroorzaakt door de datamodelleringsbeperkingen in het Qixium platform, met name de onmogelijkheid om gegevenssets te laten di- of convergeren.

Opportune wensen

In het gebruik van de nu al anderhalf jaar draaiende productie omgeving is behoefte aan nieuwe functionaliteit ontstaan. Een aantal van deze wensen leent zich om in dit herontwerp meegenomen te worden. Ze zijn dus niet onderdeel van de problemen geschetst in Kernprobleem maar afwezigheid van deze functionaliteit hindert of beperkt wel de werking van het platform als geheel.

Inzicht in historische toewijzingen

Aanpassingen in beleid previewen

Forceren of overschrijven van mutaties

In de huidige inrichting zijn de IDU flows gebaseerd op tabellen die rechtstreeks geïmporteerd worden uit de HR administratie. Ook worden bij deze import direct transformaties toegepast. Dit maakt het invoegen, filteren en aanpassen van gegevens waarop IDU wijzigingen gedetecteerd worden vrijwel onmogelijk. In de nieuwe inrichting is het wenselijk de IDU flows te baseren op 2e of zelfs 3e niveau tabellen zodat gegevens eventueel gemanipuleerd kunnen worden voordat ze door IDU verwerkt worden voor detectie van wijzigingen.

Huidige situatie

[3]

Topologie

Het Qixium platform, uitgevoerd in een gescheiden ProductieNiet gedefinieerd en TestNiet gedefinieerd SaaS instantie, is enerzijds gekoppeld met de Van Mesdag personeelsadministratie Visma⏐Raet Youforce van Visma-Raet en anderzijds met onder meer TOPdesk (respectievelijk de ProductieNiet gedefinieerd en TestNiet gedefinieerd omgeving daarvan). Voor email communicatie is het verbonden met Exchange Online, voor gebruikersaccounts en groepslidmaatschappen met Active Directory en met respectievelijk een ProductieNiet gedefinieerd en een TestNiet gedefinieerd Agent servver voor het uitvoeren van decentrale taken.

Werking

Het platform haalt personele en organisatorische gegevens uit de personeelsadministratie op, verrijkt en bewerkt deze en stelt tweemaal per etmaal wijzigingen vast ten aanzien van:

  • In- en uitdiensttreding van medewerkers
  • De afdeling(en) waarop medewerkers werkzaam zijn en, bij wijziging, waren
  • De functie(s) die medewerker bekleden en, bij wijiging, bekleedden
  • De leidinggevenden van medewerkers en, bij wijziging, verlatende leidinggevenden

Ook ververst het meerdere malen per etmaal organisatorische gegevens (afdelingen,functies,rollen), administraties van middelen (accounts, mailboxes, sleutels). De gecombineerde gegevens worden gebruikt voor het accuraat houden van onder meer TOPdesk en Active Directory persoonskaarten.

toewijzingen ook?

.

Privileges/middelen als gevolg van medewerker mutaties

Eerste hoofddoel dat met het platform en aangekoppelde systemen beoogd is, is om bewegingen in het medewerkerslandschap te volgen en daaruit afgeleide toewijzing dan wel intrekking van privilegesNiet gedefinieerd en middelenUniek, niet deelbaar gereedschap dat aan een enkele persoon toegewezen wordt; daarbij een koppeling tussen voor beide identificerende data elementen, bijvoorbeeld een personeelsnummer en een serienummer, aanbrengend. naar een werkbon om te zetten die alle relevante gegevens voor die activiteit bevat en door betreffende ondersteunende dienst direct kan worden uitgevoerd.

Elke gedetecteerde verandering leidt tot de aanmaak van een gestructureerde WijzigingEen Change is een gestructureerde, gecontroleerde wijziging in of aan processen, registratie, informatiesystemen, toewijzingen, middelen of infrastructuur waarin meestal meerdere Activiteiten gecoördineerd beoordeeld, goed- of afgekeurd, gepland, uitgevoerd, getest en opgeleverd moeten worden. in TOPdesk. Voor enkele gebeurtenissen (InstroomNiet gedefinieerd en UitstroomNiet gedefinieerd) wordt voor de leidinggevende een formulier gereedgemaakt. Deze kan daar via een gemailde link veilig naar toe en eventuele aanpassingen in toewijzingen/intrekking aanvragen. Een leidinggevende kan hetzelfde ook los, via een formulier, voor een medewerker doen en ook dat resulteert in een wijziging.

Elke wijziging is gekoppeld aan de medewerker voor wie de wijziging bedoeld is en heeft als aanvrager de leidinggevende. Iedere wijziging bevat activiteitenEen Activity is een gestructureerde, goedgekeurde, gecoördineerde handeling of reeks handelingen die (een deel van een) Wijziging bewerkstelligen voor diverse ondersteunende afdelingen alsmede daaraan gekoppelde geautomatiseerde acties. Indien aanvragen worden gedaan die niet volgens beleid zijn zijn hier ook goedkeuringsactiviteiten bij. De activiteiten worden binnen TOPdesk door verschillende behandelaren uitgevoerd:

  • Technisch Systeembeheer
    • aanmaak toegangspas
    • sleutel(bos)toewijzing en -inname
    • pastoegang en -intrekking
    • pieper toewijzing
  • Informatisering en Automatisering
    • ServiceDesk
      • aanmaak netwerk account
      • applicatie- en diensttoewijzing en -intrekking
      • aanmaak mailbox en ontkoppeling
      • activatie en blokkade netwerk account
      • aanmaak en koppeling DJI account
    • Functioneel Beheer
      • aanvraag, mutatie en intrekking van bedrijfstoepassingen
      • aanvraag, mutatie en intrekking van zorg toepassingen

De inhoud van elke activiteit en geautomatiseerde actie wordt door het platform per wijzigingEen Change is een gestructureerde, gecontroleerde wijziging in of aan processen, registratie, informatiesystemen, toewijzingen, middelen of infrastructuur waarin meestal meerdere Activiteiten gecoördineerd beoordeeld, goed- of afgekeurd, gepland, uitgevoerd, getest en opgeleverd moeten worden. opgesteld zodanig dat uitvoerenden en systemen alle relevante gegevens hebben om de taak te volbrengen. Ook worden activiteiten, gedefinieerd in de TOPdesk Change sjabloonNiet gedefinieerd, eventueel uitgefilterd indien ze voor een wijziging niet relevant of vereist zijn. Dit op basis van de door het platform gedetecteerde veranderingen, de gegevens van de medewerker en de beleidsregels die van toepassing zijn.

In de activiteiten die behoren tot de fysieke toegang worden TOPdesk MiddelenNiet gedefinieerd opgenomen in de vorm van gestructureerde tekst. In TOPdesk worden deze middelen bij aanmaak van de activiteit als asset aan de activiteit gekoppeld. Bij voltooiing van betreffende activiteit wordt dezelfde lijst assets ook aan de medewerker gekoppeld dan wel ontkoppeld.

Bijwerken niet-autoritatieve medewerker registraties

Secundair doel van het platform is het onderhouden van registraties waarin gegevens van medewerkers en hun relatie tot de organisatie in worden gebruikt. Deze registraties worden geacht een betrouwbare weergave van relevante medewerkersgegevens te zijn.

Bijwerken medewerker registratie in TOPdesk

In TOPdesk worden de zogeheten kaartenNiet gedefinieerd onderhouden wat betreft de volgende velden:

  • Voor-, achter- en formeel samengestelde naam[4] en initialen
  • Afdeling, functie en personeelsnummer[5]
  • Telefoonnummer wordt leeg gemaakt
  • Bedrijfsemail adres en login naam voor TOPdesk (gelijk aan elkaar)
  • Leidinggevende[6]
  • Taal, fysieke locatie[7]

Bijwerken medewerker registratie in Active Directory

In Active Directory worden de gebruikersobjecten wat betreft persoonlijke en organisatorische gegevens onderhouden:

  • Voor-, achter-, formeel samengestelde en weergavenaam en initialen
  • Inlognaam[8]
  • Aanmeldnaam en bedrijfsemail adres (gelijk aan elkaar)[8]
  • Bedrijf, afdeling, functie en leidinggevende[9]

Processen

This article/section/paragraph needs expansion

Voorwaardelijke inrichting

Om genoemde doelen te behalen en processen te kunnen doorlopen zijn op zowel het platform als in gekoppelde systemen configuraties, koppelingen en artefacten gerealiseerd.

Geoperationaliseerd toewijzingsbeleid

In het platform zijn beleidsregels vastgelegd zodanig dat op basis van een afdelingscode, een functiecode of een persoonlijk gegeven een aan een medewerker toe te wijzen lijst privileges en middelen kan worden vastgesteld. Dit betreft het beleid voor toewijzing van:

Het platform gebruikt deze toewijzingsmatrices om uitvoerenden lijsten met toe te wijzen en/of in te trekken privileges aan te leveren op de TOPdesk activiteiten. De matrices zijn in het platform opgeslagen en worden daarop onderhouden. Bij aanpassingen in deze beleidsregels wordt aangetekend wat de reden van wijziging is, refererend naar de betreffende TOPdesk wijziging. Aanpassingen in deze matrices zijn uitsluitend van toepassing op daarna gedetecteerde veranderingen bij medewerkers (en dus niet met terugwerkende kracht op medewerkers die de beleidswijziging treft).

In Active Directory zijn eveneens beleidsregels vastgelegd op dezelfde wijze. Het betreft hier toewijzing van:

  • Toegang tot informatiesystemen (applicaties en digitale hulpmiddelen)
  • Toegang tot gedeelde documenten en media (shares, grotendeels nog lokaalOn-premises software (abbreviated to on-prem, and often written as "on-premise") is installed and runs on computers on the premises of the person or organization using the software, rather than at a remote facility such as a server farm or cloud.
  • Toegang tot gedeelde mailboxen
  • Onderdeel van distributielijsten
  • Gebruik (lidmaatschap) van Teams


Onderhoud organisatorische eenheden

nog verder te verwerken
  • Interventieformulier voor leidinggevende met mogelijkheid tot afwijking van beleidstoewijzing
  • Activiteiten voor afhandelaars fysieke toegang
  • Goedkeuringsactiviteiten voor niet-beleid toegewezen fysieke toegang
  • Activiteiten voor afhandelaars servicedesk en functioneel beheer
    • Netwerk accounts en mailboxen voor medewerkers
    • Groepslidmaatschappen van populatie en privilege groepen

Voetnoten

  1. B.de.Vries@FPCvanMesdag.nl - 20251206203415
    Grotendeels overnemen van PID
  2. B.de.Vries@FPCvanMesdag.nl - 20251206203415
    Fouten en problemen in de huidige inrichting die niet het kernprobleem zijn
  3. B.de.Vries@FPCvanMesdag.nl - 20251206203415
    <beschrijven aan de hand van huidige deliveries> Wat wordt er nu door het IAM landschap geleverd aan (eind)gebruikers? 
  4. <Gewenste achternaam>, <gewenste voornaam> [<tussenvoegsels>]
    Dit is ook de unieke object identifier van elke kaart.
  5. Alleen geschreven bij aanmaak nieuwe kaart, hierna is dit de unieke identifier
  6. Eén enkel veld dus voor medewerkers met meerdere leidinggevenden wordt er één geselecteerd. Hier is echter geen sluitend algoritme voor te vinden en dus is de arbitraire selectie: Manager van de afdeling waarop medewerker meest recent werkzaam geworden is.
  7. Selectie uit in TOPdesk beschikbare waarden voor Branch
  8. 8.0 8.1 Alleen geschreven bij aanmaak van het object
  9. Dit zijn alle enkelvoudige velden dus één van de verbintenissen met de organisatie wordt gebruikt. Hier is echter geen sluitend algoritme voor te vinden dus het meest actuele dienstverband wordt voor deze velden gebruikt.


Retrieved from "https://memo.3bdesign.nl/index.php?title=UPEM/Redesign&oldid=10986"
... more about "UPEM/Redesign"
RDF feed
identityString of any form by which an entity can be uniquely identified 
TOPdesk +, ExO +, Visma⏐Raet Youforce +  and Active Directory +
organizationOrganization, company or enterprise owning this knowledge base 
FPC Dr. S. van Mesdag (Van Mesdag, Stichting FPC Dr. S. van Mesdag kliniek, ?, ?, ?) +
Requires edit
UPEM/Redesign +