Identity as a Service: procesbeschrijvingen Project : SURFworks Identity as a Service Projectjaar : 2009 Projectmanager : Remco Poortinga-van Wijnen, Roland van Rijswijk Auteur(s) : Arjo Duineveld (IGI) Opleverdatum : 16 december 2009 Versie : definitief Samenvatting Dit document beschrijft de procesbeschrijvingen behorende bij de Proof of Concept van Identity as a Service. In dit document worden de processen beschreven zoals deze bij een instelling die deelneemt aan de PoC van Identity as a Service (IaaS) zouden moeten verlopen. Indien de processen van de instelling voldoen aan deze beschrijvingen dan kan de instelling gebruik maken van de standaard IaaS functionaliteit. Indien de processen afwijken (en het is niet gewenst of niet mogelijk om ze aan te passen) dan is maatwerk noodzakelijk VOOR DEZE PUBLICATIE GELDT DE CREATIVE COMMONS LICENTIE ATTRIBUTION- NONCOMMERCIAL-SHARE ALIKE 3.0 NETHERLANDS. MEER INFORMATIE OVER DEZE LICENTIE IS TE VINDEN OP HTTP://CREATIVECOMMONS.ORG/LICENSES/BY-NC-SA/3.0/NL/
Colofon Programmalijn Onderdeel Activiteit Deliverable Toegangsrechten Externe partij : SURFworks : SURFfederatie PoCs : Identity as a Service : Procesbeschrijvingen behorende bij IaaS PoC : publiek : IGI Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl). 2
Inhoudsopgave 1 INLEIDING... 8 2 OVERZICHT PROCESSEN... 10 2.1 MEDEWERKER STATUSSEN EN PROCESSEN... 10 2.2 SCHOLIEREN EN VOORAANMELDERS STATUSSEN EN PROCESSEN... 11 2.3 STUDENTEN EN ALUMNI STATUSSEN EN PROCESSEN... 13 2.4 SCHOLIEREN EN VOORAANMELDERS STATUSSEN EN PROCESSEN... 13 3 PROCESBESCHRIJVING NIEUWE MEDEWERKER IN DIENST... 15 3.1 FUNCTIONELE BESCHRIJVING... 15 3.2 PROCESDIAGRAM... 15 3.3 PROCESBESCHRIJVING... 15 4 PROCESBESCHRIJVING OPVRAGEN NIEUWE ACCOUNTS... 17 4.1 FUNCTIONELE BESCHRIJVING... 17 4.2 PROCESDIAGRAM... 17 4.3 PROCESBESCHRIJVING... 18 5 PROCESBESCHRIJVING WACHTWOORD INSTELLEN... 19 5.1 FUNCTIONELE BESCHRIJVING... 19 5.2 PROCESDIAGRAM... 19 5.3 PROCESBESCHRIJVING... 19 6 PROCESBESCHRIJVING WACHTWOORD RESET... 21 6.1 FUNCTIONELE BESCHRIJVING... 21 6.2 PROCESDIAGRAM... 21 6.3 PROCESBESCHRIJVING... 21 7 PROCESBESCHRIJVING WACHTWOORD WIJZIGEN... 23 7.1 FUNCTIONELE BESCHRIJVING... 23 7.2 PROCESDIAGRAM... 23 7.1 PROCESBESCHRIJVING... 23 8 PROCESBESCHRIJVING MEDEWERKER DEACTIVEREN... 25 8.1 FUNCTIONELE BESCHRIJVING... 25 8.2 PROCESDIAGRAM... 25 8.3 PROCESBESCHRIJVING... 25 9 PROCESBESCHRIJVING MEDEWERKER ACTIVEREN... 27 9.1 FUNCTIONELE BESCHRIJVING... 27 9.2 PROCESDIAGRAM... 27 9.3 PROCESBESCHRIJVING... 27 10 PROCESBESCHRIJVING MARKEERTIJD VERLOPEN... 29 10.1 FUNCTIONELE BESCHRIJVING... 29 10.2 PROCESDIAGRAM... 29 10.3 PROCESBESCHRIJVING... 29 11 PROCESBESCHRIJVING MEDEWERKER VERWIJDEREN... 31 11.1 FUNCTIONELE BESCHRIJVING... 31 3
11.2 PROCESDIAGRAM... 31 11.3 PROCESBESCHRIJVING... 31 12 PROCESBESCHRIJVING MEDEWERKER TIJDELIJK CONTRACT WORDT VAST CONTRACT... 33 12.1 FUNCTIONELE BESCHRIJVING... 33 12.2 PROCESDIAGRAM... 33 12.3 PROCESBESCHRIJVING... 33 13 PROCESBESCHRIJVING MEDEWERKER VAST CONTRACT WORDT TIJDELIJK CONTRACT... 35 13.1 FUNCTIONELE BESCHRIJVING... 35 13.2 PROCESDIAGRAM... 35 13.3 PROCESBESCHRIJVING... 35 14 PROCESBESCHRIJVING MEDEWERKER EINDDATUM WIJZIGEN... 37 14.1 FUNCTIONELE BESCHRIJVING... 37 14.2 PROCESDIAGRAM... 37 14.3 PROCESBESCHRIJVING... 37 15 PROCESBESCHRIJVING AANMELDEN ALS SCHOLIER... 39 15.1 FUNCTIONELE BESCHRIJVING... 39 15.2 PROCESDIAGRAM... 39 15.3 PROCESBESCHRIJVING... 39 16 PROCESBESCHRIJVING SCHOLIER DEACTIVEREN... 41 16.1 FUNCTIONELE BESCHRIJVING... 41 16.2 PROCESDIAGRAM... 41 16.3 PROCESBESCHRIJVING... 41 17 PROCESBESCHRIJVING SCHOLIER MARKEERTIJD VERLOPEN... 43 17.1 FUNCTIONELE BESCHRIJVING... 43 17.2 PROCESDIAGRAM... 43 17.3 PROCESBESCHRIJVING... 43 18 PROCESBESCHRIJVING SCHOLIER ACTIVEREN... 45 18.1 FUNCTIONELE BESCHRIJVING... 45 18.2 PROCESDIAGRAM... 45 18.3 PROCESBESCHRIJVING... 45 19 PROCESBESCHRIJVING SCHOLIER VERWIJDEREN... 46 19.1 FUNCTIONELE BESCHRIJVING... 46 19.2 PROCESDIAGRAM... 46 19.3 PROCESBESCHRIJVING... 46 20 PROCESBESCHRIJVING SCHOLIER WORDT VOORAANMELDER... 48 20.1 FUNCTIONELE BESCHRIJVING... 48 20.2 PROCESDIAGRAM... 48 20.3 PROCESBESCHRIJVING... 48 21 PROCESBESCHRIJVING SCHOLIER WORDT STUDENT... 50 21.1 FUNCTIONELE BESCHRIJVING... 50 21.2 PROCESDIAGRAM... 50 21.3 PROCESBESCHRIJVING... 50 22 PROCESBESCHRIJVING VOORAANMELDEN... 52 22.1 FUNCTIONELE BESCHRIJVING... 52 4
22.2 PROCESDIAGRAM... 52 22.3 PROCESBESCHRIJVING... 52 23 PROCESBESCHRIJVING VOORAANMELDER DEACTIVEREN... 54 23.1 FUNCTIONELE BESCHRIJVING... 54 23.2 PROCESDIAGRAM... 54 23.3 PROCESBESCHRIJVING... 54 24 PROCESBESCHRIJVING VOORAANMELDER MARKEERTIJD VERLOPEN... 56 24.1 FUNCTIONELE BESCHRIJVING... 56 24.2 PROCESDIAGRAM... 56 24.3 PROCESBESCHRIJVING... 56 25 PROCESBESCHRIJVING VOORAANMELDER ACTIVEREN... 58 25.1 FUNCTIONELE BESCHRIJVING... 58 25.2 PROCESDIAGRAM... 58 25.3 PROCESBESCHRIJVING... 58 26 PROCESBESCHRIJVING VOORAANMELDER VERWIJDEREN... 60 26.1 FUNCTIONELE BESCHRIJVING... 60 26.2 PROCESDIAGRAM... 60 26.3 PROCESBESCHRIJVING... 60 27 PROCESBESCHRIJVING AANMELDING DEFINITIEF... 62 27.1 FUNCTIONELE BESCHRIJVING... 62 27.2 PROCESDIAGRAM... 62 27.3 PROCESBESCHRIJVING... 62 28 PROCESBESCHRIJVING AANMELDEN ALS STUDENT... 64 28.1 FUNCTIONELE BESCHRIJVING... 64 28.2 PROCESDIAGRAM... 64 28.3 PROCESBESCHRIJVING... 65 29 PROCESBESCHRIJVING STUDENT DEACTIVEREN... 66 29.1 FUNCTIONELE BESCHRIJVING... 66 29.2 PROCESDIAGRAM... 66 29.3 PROCESBESCHRIJVING... 66 30 PROCESBESCHRIJVING STUDENT MARKEERTIJD VERLOPEN... 68 30.1 FUNCTIONELE BESCHRIJVING... 68 30.2 PROCESDIAGRAM... 68 30.3 PROCESBESCHRIJVING... 68 31 PROCESBESCHRIJVING STUDENT ACTIVEREN... 70 31.1 FUNCTIONELE BESCHRIJVING... 70 31.2 PROCESDIAGRAM... 70 31.3 PROCESBESCHRIJVING... 70 32 PROCESBESCHRIJVING STUDENT VERWIJDEREN... 71 32.1 FUNCTIONELE BESCHRIJVING... 71 32.2 PROCESDIAGRAM... 71 32.3 PROCESBESCHRIJVING... 71 33 PROCESBESCHRIJVING STUDENT STUDEERT AF... 72 33.1 FUNCTIONELE BESCHRIJVING... 72 33.2 PROCESDIAGRAM... 72 33.3 PROCESBESCHRIJVING... 72 5
34 PROCESBESCHRIJVING ALUMNUS BEGINT VERVOLGSTUDIE... 74 34.1 FUNCTIONELE BESCHRIJVING... 74 34.2 PROCESDIAGRAM... 74 34.3 PROCESBESCHRIJVING... 74 35 PROCESBESCHRIJVING ALUMNUS DEACTIVEREN... 76 35.1 FUNCTIONELE BESCHRIJVING... 76 35.2 PROCESDIAGRAM... 76 35.3 PROCESBESCHRIJVING... 76 36 PROCESBESCHRIJVING ALUMNUS MARKEERTIJD VERLOPEN... 77 36.1 FUNCTIONELE BESCHRIJVING... 77 36.2 PROCESDIAGRAM... 77 36.3 PROCESBESCHRIJVING... 77 37 PROCESBESCHRIJVING ALUMNUS ACTIVEREN... 79 37.1 FUNCTIONELE BESCHRIJVING... 79 37.2 PROCESDIAGRAM... 79 37.3 PROCESBESCHRIJVING... 79 38 PROCESBESCHRIJVING ALUMNUS VERWIJDEREN... 80 38.1 FUNCTIONELE BESCHRIJVING... 80 38.2 PROCESDIAGRAM... 80 38.3 PROCESBESCHRIJVING... 80 39 PROCESBESCHRIJVING ACCOUNT VOOR EEN EXTERNE CREËREN... 82 39.1 FUNCTIONELE BESCHRIJVING... 82 39.2 PROCESDIAGRAM... 82 39.3 PROCESBESCHRIJVING... 82 40 PROCESBESCHRIJVING ACCOUNT VOOR EEN EXTERNE DEACTIVEREN... 84 40.1 FUNCTIONELE BESCHRIJVING... 84 40.2 PROCESDIAGRAM... 84 40.3 PROCESBESCHRIJVING... 84 41 PROCESBESCHRIJVING ACCOUNT VOOR EEN EXTERNE MARKEERTIJD VERLOPEN... 86 41.1 FUNCTIONELE BESCHRIJVING... 86 41.2 PROCESDIAGRAM... 86 41.3 PROCESBESCHRIJVING... 86 42 PROCESBESCHRIJVING ACCOUNT VOOR EEN EXTERNE ACTIVEREN... 88 42.1 FUNCTIONELE BESCHRIJVING... 88 42.2 PROCESDIAGRAM... 88 42.3 PROCESBESCHRIJVING... 88 43 PROCESBESCHRIJVING ACCOUNT VOOR EXTERNE VERWIJDEREN... 89 43.1 FUNCTIONELE BESCHRIJVING... 89 43.2 PROCESDIAGRAM... 89 43.3 PROCESBESCHRIJVING... 89 44 PROCESBESCHRIJVING EXTERNE ACCOUNT EINDDATUM WIJZIGEN... 90 44.1 FUNCTIONELE BESCHRIJVING... 90 44.2 PROCESDIAGRAM... 90 44.3 PROCESBESCHRIJVING... 90 6
Wijzigingen Datum Wijziging Versie Door 17-09- 2009 21-09- 2009 24-09- 2009 01-10- 2009 Initieel 0.1 Arjo Duineveld Wijzigingen op basis van interne review eerste 0.2 Arjo Duineveld processen Versie voor eerste review door SURFnet 0.8 Arjo Duineveld Opmerkingen SURFnet verwerkt 0.9 Arjo Duineveld 7
1 Inleiding In dit document worden de processen beschreven zoals deze bij een instelling die deelneemt aan de PoC van Identity as a Service (IaaS) zouden moeten verlopen. Indien de processen van de instelling voldoen aan deze beschrijvingen dan kan de instelling gebruik maken van de standaard IaaS functionaliteit. Indien de processen afwijken (en het is niet gewenst of niet mogelijk om ze aan te passen) dan is maatwerk noodzakelijk. In de IaaS worden een aantal typen accounts onderscheiden: 1. Medewerker accounts, voor medewerkers van de betreffende instelling. 2. Scholieren accounts, voor scholieren die toegang moeten hebben tot een systeem van de instelling (bijvoorbeeld omdat ze een vak aan de universiteit volgen) 3. Vooraanmelder account, voor potentiële studenten die zich aangemeld hebben bij de instelling. 4. Studenten accounts, voor studenten aan de instelling. 5. Alumnus accounts, voor afgestudeerden aan de betreffende instelling. 6. Externe accounts, voor iedereen die ook (tijdelijke) toegang tot 1 of meer systemen van de instelling. Denk aan uitwisselingsstudenten, gastdocenten, externe medewerkers, etc. Aan een externe account is altijd een einddatum gekoppeld waarop het account vanzelf gedeactiveerd wordt. Uiteraard is het mogelijk deze einddatum te wijzigen. De accounts zijn losstaand (een medewerker account kan nooit overgaan in een student account). Met de volgende uitzonderingen: 1. Een scholier account kan overgaan in een vooraanmelder account 2. Een scholier account kan overgaan in een student account 3. Een vooraanmelder account kan overgaan in een student account 4. Een student account kan overgaan in een alumnus account. In het volgende hoofdstuk wordt eerst een overzicht gegeven van alle processen die een rol spelen bij Identity Management van de PoC van IaaS. In de daarop volgende hoofdstukken wordt elk proces gedetailleerder uitgewerkt. In de detailuitwerkingen is voor elk proces een schematische weergave opgenomen van het proces. De verschillende processtappen zijn daarbij weergegeven in een kolom die correspondeert met het systeem waar de stap plaatsvindt. De volgende systemen spelen een rol: Human Resource (HR) systeem Studenten Informatie Systeem (SIS) Identity Manager Identity Vault Doelsystemen Beheermodule Selfservice module Doelsystemen Hierbij zijn het HR systeem en het SIS bronsystemen. De Identity Manager is het deel van de Identity Management implementatie waar alle logica is ingebouwd. De Indentity Vault is het deel waar alle gegevens worden opgeslagen. De beheermodule is een onderdeel van de Identity Manager waarop rechtstreeks (zonder dat er gegevens uit een bronsysteem komen) accounts beheerd kunnen worden. De selfservice module, eveneens een onderdeel van de Identity Manager, is een module waarmee gebruikers bepaalde handelingen met betrekking tot hun 8
eigen account kunnen uitvoeren. Denk aan het wijzigen van het wachtwoord e.d. De doelsystemen zijn de systemen waar de gebruikers toegang toe moeten krijgen. 9
2 Overzicht processen Dit hoofdstuk geeft een overzicht van alle processen die een rol spelen bij de PoC van IaaS. Van elk type account worden de verschillende statussen die zo n account kan doorlopen in een diagram getoond. Elk van de overgangen tussen 2 statussen correspondeert met een proces. In de navolgende hoofdstukken wordt elk proces gedetailleerder beschreven. 2.1 Medewerker statussen en processen In Figuur 1 worden alle statussen die een medewerker account kan doorlopen getoond. De overgangen tussen deze statussen corresponderen met een proces. Een account voor een medewerker wordt altijd gecreëerd op het moment dat een medewerker in dienst komt. Er wordt dan een dummy wachtwoord aan deze account gekoppeld zodat de gebruiker nog niet in kan loggen. De tweede stap is dat een medewerker van HR een lijst opvraagt met nieuwe medewerker accounts. Op dat moment wordt voor al deze accounts een activeringscode gemaakt en getoond aan de HR medewerker. Het is dan aan de HR medewerker om de activeringscodes te communiceren aan de medewerker(s). Met behulp van de activeringscode kan de medewerker zijn wachtwoord instellen in de selfservice module van de Identity Manager. Met het ingestelde wachtwoord heeft hij daarna toegang tot alle doelsystemen. De activeringscode kan niet gebruikt worden om in te loggen op de doelsystemen. Indien een medewerker zijn wachtwoord vergeet, of indien het wachtwoord is uitgelekt kan een beheerder een wachtwoord reset aanvragen. Er wordt dan een nieuwe activeringscode aangemaakt en aan de beheerder getoond. Het is aan de beheerder om de activeringscode aan de gebruiker te tonen. Het wachtwoord op de doelsystemen wordt vervangen zodat daar niet meer met het oude wachtwoord kan worden ingelogd. Met de activeringscode kan de medewerker weer zijn wachtwoord (voor de Identity Manager en alle doelsystemen) instellen. Er zijn een aantal processen die de status van (actieve) medewerker niet wijzigen maar wel een aantal gegevens die bij die account horen wijzigen. Een tijdelijk contract van een medewerker kan worden omgezet in een vast contract. De einddatum voor de medewerker wordt dan op NVT (Niet Van Toepassing) gezet. Als een vast contract wordt gewijzigd in een tijdelijk contract dan wordt de einddatum juist ingesteld op een specifieke datum. De einddatum (van een tijdelijk contract) is vanuit de Identity Manager beheermodule altijd nog te wijzigen. In de selfservice module kan een gebruiker zelf zijn wachtwoord wijzigen. Indien een account gedeactiveerd wordt deze in eerste instantie slechts gemarkeerd. Een deel van de doelsystemen zijn nog gedurende een bepaalde tijd toegankelijk. Welke systemen dat zijn en hoe lang ze toegankelijk blijven is afhankelijk van de reden van deactiveren. De mogelijke redenen voor een medewerker zijn: Uit dienst Met pensioen Geschorst Overleden Op staande voet ontslagen Algemeen Deze lijst van redenen kan later uitgebreid worden indien dat noodzakelijk blijkt. 10
Na afloop van de overgangsperiode worden alle doelsystemen inactief. Na een bepaalde tijd (die ook weer afhankelijk kan zijn van de reden van deactiveren) wordt de account verwijderd. Het is ook mogelijk een oneindig lange bewaartermijn op te geven (voor 1 of meer redenen van deactiveren) zodat de account in principe nooit verwijderd wordt. Zowel een account die gemarkeerd is voor deactiveren als een gedeactiveerde account kunnen nog geactiveerd worden waarna de gebruiker (met het oude wachtwoord) weer toegang heeft tot alle doelsystemen. Figuur 1: Statussen en processen voor de medewerker accounts 2.2 Scholieren en vooraanmelders statussen en processen Figuur 2 toont de verschillende statussen van scholier en vooraanmelder accounts en de overgangen daartussen. De status van actieve student die in het diagram als pijl is getekend verwijst naar (is hetzelfde als) de gelijknamige status in het volgende diagram, zie paragraaf 2.3. De aanmelding van zowel een scholier als een vooraanmelder verloopt analoog aan de manier waarop een medewerker account ontstaat en actief wordt. Alleen is het bronsysteem is hier het Studenten Informatie Systeem (SIS) en niet het HR systeem. De account wordt eerst gemaakt met een dummy wachtwoord. Als een medewerker van de studentenadministratie een lijst opvraagt van nieuwe accounts (van een bepaald type) worden er activeringscodes aangemaakt. 11
Deze kunnen gebruikt worden om een wachtwoord in te stellen. Ook na een wachtwoord reset wordt een activeringscode gemaakt (en wordt het wachtwoord in de doelsystemen gewijzigd). Het deactiveren en verwijderen van een scholier of vooraanmelder account verloopt ook op een wijze die analoog is aan de manier waarop dat bij medewerker accounts gebeurt. Eerst wordt de account alleen gemarkeerd voor deactiveren, enkele doelsystemen kunnen dan nog beschikbaar zijn. Na een bepaalde tijd (afhankelijk van de reden van deactiveren) wordt de account echt inactief. Op dat moment geeft de account geen toegang meer tot een doelsysteem. Een inactieve account wordt na een bepaalde tijd (ook die kan afhangen van de reden waarom de account gedeactiveerd is) verwijderd. Accounts die gemarkeerd zijn voor deactiveren of die al gedeactiveerd zijn kunnen teruggezet worden in een actieve status. Uiteraard zijn verwijderde accounts niet meer terug te zetten, er zal dan een nieuwe account moeten worden gemaakt. De redenen om een scholier of vooraanmelder account te deactiveren zijn uiteraard niet dezelfden als voor een medewerker account. Zoals nu voorzien kan volstaan worden met slechts één reden: gestopt. Figuur 2: Statussen en processen voor scholier en vooraanmelder accounts Tussen scholieren, vooraanmelders en studenten zijn een aantal statusovergangen die corresponderen met de bijbehorende overgang van een persoon naar een andere categorie. 12
2.3 Studenten en alumni statussen en processen In Figuur 3 zijn alle statussen en processen te vinden die horen bij studenten en alumni accounts. Het aanmaken en actief worden van een studentenaccount gebeurt op een manier zoals die ook al bij medewerkers, scholieren en vooraanmelders is beschreven. Voor alumni accounts geldt dat deze altijd als een studentenaccount beginnen. Ook het deactiveren van een studenten of alumnus account gebeurt analoog aan de eerder beschreven accounttypen. De redenen om een student account te deactiveren zijn: Gestopt (studie beëindigd zonder af te studeren) Overleden Algemeen Figuur 3: Statussen en processen voor student en alumnus accounts Als ze afstuderen worden studenten alumni en wijzigt hun account dienovereenkomstig. Alumnus accounts kunnen weer terug gewijzigd worden in een student account door het proces dat we hier vervolgstudie hebben genoemd. Personen die 2 rollen hebben binnen de instelling zullen voor elke rol een afzonderlijke account krijgen. Dus iemand die zowel alumnus is als medewerker heeft zowel een alumnus als een medewerker account. 2.4 Scholieren en vooraanmelders statussen en processen In Figuur 4 zijn alle statussen en processen die bij een account voor een externe horen te vinden. Alle statussen en processen zijn al beschreven bij de eerdere accounttypen. 13
Aan een account voor een externe is altijd een einddatum gekoppeld, op deze datum wordt de account vanzelf gedeactiveerd (en na een bepaalde tijd verwijderd). Figuur 4: Statussen en processen voor externe accounts Voor accounts voor externen voorzien wij, net als voor scholieren en vooraanmelders accounts slechts één reden om te deactiveren: gestopt. Ook hier geldt dat, indien nodig, deze lijst later uitgebreid kan worden. 14
3 Procesbeschrijving Nieuwe medewerker in dienst 3.1 Functionele beschrijving Als vanuit het HR bronsysteem een nieuwe medewerker wordt ingevoerd zorgt IaaS ervoor dat er een gebruikersnaam, een wachtwoord en een e-mailadres voor de nieuwe medewerker worden aangemaakt. Het wachtwoord wordt nooit naar de gebruiker gecommuniceerd; door dit wachtwoord te gebruiken in de doelsystemen wordt voorkomen dat de gebruiker daar te vroeg inlogt. Maar er bestaat wel de mogelijkheid, voor de beheerders van doelsystemen om al iets te doen met het account van de nieuwe medewerker. Om dit wachtwoord te onderscheiden van een tijdelijk wachtwoord (zie bij het proces Opvragen nieuwe accounts) wordt het een dummy wachtwoord genoemd. 3.2 Procesdiagram 3.3 Procesbeschrijving Processtap Proces Nieuwe medewerker in dienst Input Vanuit het HR systeem komen de gegevens over de nieuwe medewerker Output Aangemaakte accounts in alle (van toepassing zijnde) doelsystemen Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Invoer medewerker gegevens 02 Genereer gebruikersnaa Een HR medewerker voert de gegevens in in het HR systeem. Het genereren van een gebruikersnaam een wachtwoord en een e-mailadres. Het De gebruikersnaam en e-mailadres zijn uniek. In geval van gelijke namen zal een volgnummer worden toegevoegd. 15
Processtap m, dummy wachtw. en e- mailadres 03 Aanmaken account 04 Aanmaken account wachtwoord wordt nooit gecommuniceerd en wordt daarom dummy wachtwoord genoemd om het te onderscheiden van een tijdelijk wachtwoord. Het opslaan van de accountgegevens in de Identity Vault Het aanmaken van de accounts in de doelsystemen. In alle doelsystemen waar een medewerker toegang toe heeft wordt een account aangemaakt. 16
4 Procesbeschrijving Opvragen nieuwe accounts 4.1 Functionele beschrijving Via de beheerinterface kan een lijst van alle nieuwe accounts met het bijbehorende wachtwoord worden opgevraagd. Voor deze nieuwe accounts wordt dan een tijdelijk wachtwoord aangemaakt. Met dit tijdelijke wachtwoord kan de gebruiker alleen inloggen in de Identity Management applicatie om het tijdelijke wachtwoord te veranderen in een zelfgekozen wachtwoord, zie ook het proces Wijzigt wachtwoord. In de doelsystemen blijft het dummy wachtwoord staan, het is namelijk niet de bedoeling dat gebruikers met hun tijdelijke wachtwoord inloggen in de doelsystemen. De lijst met alle nieuwe accounts kan voor elk type account (medewerkers, scholieren, vooraanmelders, studenten en externe accounts) worden opgevraagd. Standaard wordt de lijst gegeven sinds de laatste keer dat de lijst voor dat type accounts voor het laatst is opgevraagd. Met behulp van selectiecriteria kunnen andere accounts (opnieuw) opgevraagd worden 4.2 Procesdiagram 17
4.3 Procesbeschrijving Processtap Proces Opvragen nieuwe accounts Input In de beheerinterface wordt de opdracht account opvragen gegeven, daarbij worden selectiecriteria opgegeven Output Een lijst van accounts met een wachtwoord Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Opvragen nieuwe accounts 02 Haal gegevens op, op basis van selectiecriteria 03 Genereer tijdelijke wachtwoorden 04 Sla wachtwoorden op 05 Lijst met tijdelijke wachtwoorden In de beheermodule wordt de optie Opvragen nieuwe accounts gekozen. Daarbij worden een aantal selectiecriteria opgegeven. Op basis van de opgegeven selectiecriteria worden de betreffende accounts opgehaald uit de Identity vault Voor elk van de accounts in de lijst (die nog niet eerder een wachtwoord heeft gekregen) wordt een tijdelijk wachtwoord gegenereerd De wachtwoorden uit de vorige stap worden opgeslagen Er wordt in de beheermodule een lijst getoond van alle accounts die aan de selectiecriteria voldoen inclusief de nieuw gegenereerde wachtwoorden. Één van de selectiecriteria is het type account waarvan de lijst moet Worden opgeleverd. Aandachtspunt: wat doen we met accounts die wel al een wachtwoord hebben gehad? Bestaande wachtwoord tonen? Nieuw wachtwoord genereren? Niets tonen? Het moet in ieder geval mogelijk zijn opnieuw activeringsgegevens te genereren voor de situatie dat iemand deze is kwijtgeraakt. 18
5 Procesbeschrijving Wachtwoord instellen 5.1 Functionele beschrijving Met behulp van een activeringscode kan een gebruiker zijn of haar wachtwoord instellen. Daarbij voert de gebruiker een zelfgekozen wachtwoord in. Dit wachtwoord wordt het wachtwoord voor alle doelsystemen waar de gebruiker toegang toe heeft. 5.2 Procesdiagram 5.3 Procesbeschrijving Proces Wachtwoord instellen Input In de selfservice module kiest de gebruiker voor Wachtwoord instellen Output Een wachtwoord in de doelsystemen waar de gebruiker toegang toe heeft Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Wachtwoord wijzigen De gebruiker kiest in de selfservice module de optie Wachtwoord instellen 02 Activeringscode De gebruiker voert een activeringscode in. 03 Wachtwoord De gebruiker voert zijn wachtwoord in (2 keer om fouten te voorkomen) 19
04 Activeer account 05 Sla wachtwoord op. 06 Update wachtwoord Zijn account in Identity Manager wordt geactiveerd. Het wachtwoord wordt opgeslagen in de Identity Vault Het wachtwoord wordt doorgegeven aan de doelsystemen 20
6 Procesbeschrijving Wachtwoord reset 6.1 Functionele beschrijving Een beheerder kan voor een specifieke gebruiker een wachtwoord reset aanvragen. De beheerder kan dit bijvoorbeeld doen omdat een wachtwoord bekend is geworden aan derden. Als een gebruiker zijn wachtwoord is vergeten zal hij bij een beheerder een wachtwoord reset moeten aanvragen. De beheerder krijgt een activeringscode te zien waarmee de gebruiker zijn wachtwoord kan wijzigen en zijn account weer kan activeren. Het is aan de beheerder om ervoor te zorgen dat de activeringscode bij de gebruiker terecht komt. Het is eventueel mogelijk een nieuwe activeringscode te laten genereren (als de oude activeringscode verloren is gegaan) door dit proces opnieuw uit te voeren. 6.2 Procesdiagram 6.3 Procesbeschrijving 21
Proces Wachtwoord reset Input Een beheerder of de gebruiker kiest de optie Wachtwoord reset in respectievelijk de beheermodule of de self service module Output Een activeringscode Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Wachtwoord reset 02 Deactiveer account 03 Deactiveer account 04 Genereer activatiecode 05 Toon activatiecode Een beheerder (vanuit de beheermodule) of een gebruiker (vanuit de self service module) kiest de optie wachtwoord reset Het account binnen de Identity Manager wordt gedeactiveerd. De accounts in de doelsystemen worden gedeactiveerd. Er wordt een activatiecode gegenereerd waarmee de gebruiker zijn wachtwoord kan wijzigen De activatiecode wordt getoond aan de beheerder of gebruiker die de wachtwoord reset heeft geïnitieerd. Als dit een beheerder is moet deze er voor zorgen dat de activatiecode op één of andere manier bij de gebruiker terecht komt. 22
7 Procesbeschrijving Wachtwoord wijzigen 7.1 Functionele beschrijving Een gebruiker kan zelf zijn wachtwoord wijzigen. Ter controle moet hij daarbij zijn oude wachtwoord invoeren. Het nieuwe wachtwoord is actief in alle doelsystemen waar de gebruiker toegang toe heeft. 7.2 Procesdiagram 7.1 Procesbeschrijving Proces Wachtwoord wijzigen Input In de selfservice module kiest de gebruiker voor Wachtwoord wijzigen Output Een nieuw wachtwoord in de doelsystemen waar de gebruiker toegang toe heeft Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Wachtwoord wijzigen De gebruiker kiest in de selfservice module de optie Wachtwoord wijzigen 02 Activeringscode De gebruiker voert zijn oude wachtwoord in. 03 Wachtwoord De gebruiker voert zijn nieuwe wachtwoord in (2 keer om fouten te voorkomen) 04 Sla wachtwoord Het nieuwe wachtwoord wordt opgeslagen 23
op 05 Update wachtwoord Het wachtwoord wordt doorgegeven aan de doelsystemen 24
8 Procesbeschrijving Medewerker deactiveren 8.1 Functionele beschrijving Vanuit het HR systeem komt door dat een gebruikersaccount moet worden gedeactiveerd. Daarbij geeft de HR medewerker een reden op. Dit kan één van de volgende redenen zijn: Uit dienst Met pensioen Geschorst Overleden Op staande voet ontslagen Algemeen Op basis van deze reden wordt bepaald: 1) Tot welke systemen de gebruiker nog toegang mag houden voor welke de toegang onmiddellijk wordt afgesloten en 2) hoe lang deze overgangsperiode duurt. 8.2 Procesdiagram 8.3 Procesbeschrijving 25
Processtap Proces Medewerker deactiveren Input Vanuit HR systeem Output Gedeactiveerde account en begin van overgangsperiode Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Medewerker deactiveren Een HR medewerker deactiveert een medewerker account en geeft daarbij een reden op. 02 Sla status op De status gedeactiveerd wordt opgeslagen samen met de reden van deactiveren 03 Stel datum van deactiveren in 04 Deactiveer accounts Op basis van de reden wordt de einddatum van de overgangsperiode bepaald. In die doelsystemen waar dat van toepassing is wordt de account gedeactiveerd. Welke systemen dit zijn hangt af van de reden van deactiveren 26
9 Procesbeschrijving Medewerker activeren 9.1 Functionele beschrijving Een account die gedeactiveerd is en daardoor de status Gemarkeerd voor deactiveren of Gedeactiveerd heeft kan weer geactiveerd worden vanuit de beheermodule. Alle bijbehorende accounts in doelsystemen worden dan weer geactiveerd. 9.2 Procesdiagram 9.3 Procesbeschrijving Processtap Proces Medewerker activeren Input Beheermodule Output Geactiveerde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Gedeactiveerd e medewerker activeren Een beheerder selecteert de optie medewerker activeren. 02 Sla status op De status wordt veranderd in actief 03 Activeer account Het account in de Identity Manager wordt geactiveerd 04 Activeer De accounts in de doelsystemen worden 27
Processtap account geactiveerd. 28
10 Procesbeschrijving Markeertijd verlopen 10.1 Functionele beschrijving Wanneer de overgangsperiode waarin enkele accounts nog tijdelijk beschikbaar zijn voor een medewerker eindigt worden middels dit proces alle accounts in doelsystemen gedeactiveerd. Ook wordt de datum bepaald waarop de account verwijderd zal worden. Daarbij wordt rekening gehouden met de reden van deactiveren die is opgegeven zij het proces Medewerker deactiveren 10.2 Procesdiagram 10.3 Procesbeschrijving Processtap Proces Medewerker markeertijd verlopen Input Dagelijkse controle Output Gedeactiveerde account en begin van overgangsperiode Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Markeertijd verlopen Dagelijks wordt gecontroleerd (voor elke account) of de einddatum van de overgangsperiode al is bereikt 29
Processtap 02 Sla status op Als dat zo is wordt de status gewijzigd in Gedeactiveerd 03 Stel datum van verwijderen in Op basis van de reden van deactiveren wordt de datum waarop de account verwijderd wordt bepaald. 04 Deactiveer accounts In alle doelsystemen worden de accounts gedeactiveerd. 30
11 Procesbeschrijving Medewerker verwijderen 11.1 Functionele beschrijving Als de overgangsperiode is verlopen wordt een datum ingesteld waarop de account volledig verwijderd wordt. Het verwijderen gebeurt in dit proces. 11.2 Procesdiagram 11.3 Procesbeschrijving Processtap Proces Medewerker verwijderen Input Vanuit de beheermodule Output Verwijderde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Verwijderdatu m bereikt 02 Verwijder gegevens 03 Verwijder account Er wordt dagelijks gecontroleerd of de verwijderdatum van een account is bereikt. De gegevens met betrekking tot het account worden verwijderd. Het account wordt verwijderd uit Identity Manager. Alleen gedeactiveerde medewerkers kunnen verwijderd worden. 31
Processtap 04 Verwijder account De accounts worden verwijderd uit de doelsystemen. 32
12 Procesbeschrijving Medewerker tijdelijk contract wordt vast contract 12.1 Functionele beschrijving Dit proces wordt uitgevoerd als een tijdelijk dienstverband wordt omgezet in een vast dienstverband. Belangrijkste daarbij is dat daardoor de einddatum verdwijnt zodat het account niet meer automatisch wordt gedeactiveerd aan het eind van de looptijd van het contract. 12.2 Procesdiagram 12.3 Procesbeschrijving Processtap Proces Tijdelijk contract wordt vast contract Input Vanuit het HR systeem Output Verwijderde einddatum Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Tijdelijk contract wordt vast contract Een HR medewerker wijzigt een tijdelijk contract in een vast contract 02 Sla status op De gewijzigde status wordt vastgelegd 33
Processtap 03 Verwijder einddatum De einddatum die gekoppeld is aan een tijdelijk contract wordt verwijderd. 34
13 Procesbeschrijving Medewerker vast contract wordt tijdelijk contract 13.1 Functionele beschrijving Dit is het omgekeerde van het vorige proces, in dit geval wordt een vast contract juist een tijdelijk contract. Vanuit het HR systeem komt dan ook een einddatum mee die wordt opgeslagen in de Identity Manager. Op de betreffende datum wordt het account van de medewerker gedeactiveerd. 13.2 Procesdiagram 13.3 Procesbeschrijving Processtap Proces Medewerker vast contract wordt tijdelijk contract Input Vast contract wordt tijdelijk contract Output Ingestelde einddatum Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Vast contract wordt tijdelijk Een HR medewerker verandert een vast contract in een tijdelijk contract 35
Processtap contract 02 Sla status op De gewijzigde status wordt vastgelegd 03 Stel Aan het account wordt een einddatum einddatum in gekoppeld. Op de einddatum zal het proces Medewerker uit dienst automatisch plaatsvinden, zie de beschrijving van dat proces voor meer informatie. 36
14 Procesbeschrijving Medewerker einddatum wijzigen 14.1 Functionele beschrijving Als een medewerker een tijdelijk contract heeft waarvan de einddatum wijzigt dan kan de gewijzigde einddatum met dit proces worden vastgelegd. Dit proces is alleen van toepassing op medewerkers met een tijdelijk contract. 14.2 Procesdiagram 14.3 Procesbeschrijving Processtap Proces Medewerker einddatum wijzigen Input Vanuit HR systeem Output Gewijzigde einddatum Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Nieuwe einddatum 02 Medewerker heeft tijdelijk Een HR medewerker voert een nieuwe einddatum in in het HR systeem. Eerst wordt gecontroleerd of de medewerker inderdaad een tijdelijk contract heeft. Als het geen tijdelijk contract betreft houdt dit proces hiermee op. 37
Processtap contract? 03 Sla einddatum op 04 Stel einddatum Als dat zo is wordt de einddatum opgeslagen. De einddatum wordt aan het account gekoppeld zodat het account op de betreffende datum gedeactiveerd kan worden. 38
15 Procesbeschrijving Aanmelden als scholier 15.1 Functionele beschrijving Als vanuit het Studenten informatie systeem (SIS) een nieuwe scholier doorgegeven wordt vindt dit proces plaats. Er wordt een account aangemaakt in de Identity Manager en in alle doelsystemen. Deze accounts zijn nog niet toegankelijk. Het Identity Manager account wordt toegankelijk bij het proces opvragen nieuwe accounts (zie de beschrijving van dat proces). De doelsysteemaccounts worden toegankelijk als de scholier zijn wachtwoord in de Identity Manager heeft gewijzigd. Zie het proces wijzigt wachtwoord. 15.2 Procesdiagram 15.3 Procesbeschrijving Processtap Proces Aanmelden als scholier Input Scholier gegevens vanuit SIS Output Aangemaakte accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 39
Processtap 01 Invoer scholier gegevens Iemand van de studentenadministratie voert een nieuwe scholier in SIS 02 Genereer gebruikersnaam, dummy wachtwoord en e- mailadres Het genereren van een gebruikersnaam een wachtwoord en een e-mailadres. Het wachtwoord wordt nooit gecommuniceerd en wordt daarom dummy wachtwoord genoemd om het te onderscheiden van een tijdelijk wachtwoord. 03 Aanmaken account Er wordt een account aangemaakt op basis van de scholiergegevens 04 Aanmaken account In de doelsystemen waar een scholier toegang toe heeft wordt een account aangemaakt Deze accounts zijn nog niet toegankelijk omdat het wachtwoord wat er bij hoort nooit gecommuniceerd wordt. De accounts zijn echter wel aangemaakt zodat beheerders van de betreffende systemen iets met de nieuwe account kunnen (bijvoorbeeld indelen in een groep). 40
16 Procesbeschrijving Scholier deactiveren 16.1 Functionele beschrijving Als een scholieraccount gedeactiveerd moet worden, gebeurt dat middels dit proces. 16.2 Procesdiagram 16.3 Procesbeschrijving Processtap Proces Scholier deactiveren Input Vanuit SIS komt de informatie door dat het account gedeactiveerd moet worden Output Gedeactiveerde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Scholier deactiveren Een medewerker van studentenadministratie geeft aan dat een scholieraccount gedeactiveerd moet worden. 02 Sla status op De gewijzigde status wordt vastgelegd in de Identity Vault samen met de reden van deactiveren 03 Stel datum van deactiveren in De datum waarop de account gedeactiveerd mag worden wordt ingesteld Voor de PoC wordt maar 1 reden voorzien dus is het opslaan hiervan niet zo relevant 41
Processtap 04 Deactiveer account De accounts van sommige doelsystemen worden gedeactiveerd Accounts in doelsystemen kunnen tijdens de overgangsperiode ook nog actief zijn. Dat wordt per systeem bepaald. 42
17 Procesbeschrijving Scholier markeertijd verlopen 17.1 Functionele beschrijving Wanneer de overgangsperiode waarin enkele accounts nog tijdelijk beschikbaar zijn voor een medewerker eindigt worden middels dit proces alle accounts in doelsystemen gedeactiveerd. Ook wordt de datum bepaald waarop de account verwijderd zal worden. 17.2 Procesdiagram 17.3 Procesbeschrijving Processtap Proces Scholier markeertijd verlopen Input Automatische dagelijkse controle Output Gedeactiveerde accounts e Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Markeertijd verlopen Een dagelijkse controle kijkt of de markeertijd verlopen is 02 Sla status op De gewijzigde status wordt vastgelegd in de Identity Vault 03 Stel datum De datum waarop de account verwijderd mag 43
Processtap van verwijderen in 04 Deactiveer account worden wordt ingesteld De accounts van alle doelsystemen worden gedeactiveerd 44
18 Procesbeschrijving Scholier activeren 18.1 Functionele beschrijving Dit proces activeert een gedeactiveerde scholier account zodat de scholier weer gebruik kan maken van de doelsystemen. 18.2 Procesdiagram 18.3 Procesbeschrijving Processtap Proces Scholier activeren Input Vanuit de beheermodule Output Geactiveerde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Scholier activeren Een beheerder geeft aan dat een account geactiveerd moet worden. 02 Sla status op De status actief wordt opgeslagen 03 Activeer account Het account binnen Identity Manager wordt geactiveerd. 04 Activeer account De accounts in de doelsystemen worden geactiveerd. 45
19 Procesbeschrijving Scholier verwijderen 19.1 Functionele beschrijving Een gedeactiveerd scholieraccount kan verwijderd worden met dit proces. 19.2 Procesdiagram 19.3 Procesbeschrijving Processtap Proces Scholier verwijderen Input Automatische dagelijkse controle Output Verwijderde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Verwijderdatum bereikt 02 Verwijder gegevens 03 Verwijder account Een automatisch dagelijks proces controleert of de verwijderdatum voor een account bereikt is. De gegevens met betrekking tot deze account worden verwijderd uit de Identity Vault Het account in Identity Manager wordt verwijderd 46
Processtap 04 Verwijder account De bijbehorende accounts in de doelsystemen worden verwijderd. 47
20 Procesbeschrijving Scholier wordt vooraanmelder 20.1 Functionele beschrijving Als een scholier zich vooraanmeldt wordt de status van het account met dit proces gewijzigd. Op basis van de wijziging kunnen dan accounts op andere doelsystemen worden aangemaakt. 20.2 Procesdiagram 20.3 Procesbeschrijving Processtap Proces Scholier wordt vooraanmelder Input Vanuit SIS Output Eventuele extra accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Scholier wordt vooraanmelder Een medewerker van de studentenadministratie geeft in het SIS aan dat een scholier vooraanmelder wordt. 02 Sla status op De gewijzigde status wordt vastgelegd 03 Update account Het account in Identity Manager wordt geüpdatet zodat het een vooraanmelder 48
Processtap 04 Maak account aan indien van toepassing account betreft Op die systemen waar vooraanmelders wel toegang toe hebben maar scholieren niet worden accounts aangemaakt. Op deze nieuwe doelsysteemaccounts kan de vooraanmelder direct met zijn huidige wachtwoord inloggen. 49
21 Procesbeschrijving Scholier wordt student 21.1 Functionele beschrijving Als een scholier zich inschrijft als student wordt de status van het account met dit proces gewijzigd. Op basis van de wijziging kunnen dan accounts op andere doelsystemen worden aangemaakt. 21.2 Procesdiagram 21.3 Procesbeschrijving Processtap Proces Scholier wordt student Input Vanuit SIS Output Extra accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Scholier wordt student Een medewerker van de studentenadministratie geeft in het SIS aan dat een scholier student wordt. 02 Sla status op De gewijzigde status wordt vastgelegd 03 Update Het account in Identity Manager wordt 50
Processtap account 04 Maak account aan indien van toepassing geüpdatet zodat het een student account betreft Op die systemen waar studenten wel toegang toe hebben maar scholieren niet worden accounts aangemaakt. 51
22 Procesbeschrijving Vooraanmelden 22.1 Functionele beschrijving Als iemand zich vooraanmeldt worden er met dit proces accounts voor hem aangemaakt. Hij heeft er nog geen toegang toe. Tot de Identity Manager krijgt hij toegang na het proces Opvragen nieuwe accounts (zie de beschrijving van dat proces). Tot de doelsysteem accounts krijgt hij toegang nadat hij zijn wachtwoord heeft gewijzigd in de Identity Manager. 22.2 Procesdiagram 22.3 Procesbeschrijving Processtap Proces Vooraanmelden Input Gegevens vooraanmelder vanuit SIS Output Aangemaakte accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Invoer gegevens vooraanmelder 02 Genereer gebruikersnaa Een medewerker van studentenadministratie voert de gegevens van de vooraanmelder in in SIS Er worden een gebruikersnaam, een dummy wachtwoord (dat nooit gecommuniceerd 52
Processtap m, dummy wachtwoord en e-mailadres 03 Aanmaken account 04 Aanmaken account wordt aan de gebruiker) en een e-mailadres aangemaakt. Deze gegevens worden opgeslagen bij een account. Op basis hiervan worden accounts aangemaakt in doelsystemen waar vooraanmelders toegang toe hebben. 53
23 Procesbeschrijving Vooraanmelder deactiveren 23.1 Functionele beschrijving Als een account van een vooraanmelder gedeactiveerd moet worden (onafhankelijk van de reden daarvan) wordt dat gedaan met dit proces. De bijbehorende doelsysteemaccounts worden dan gedeactiveerd. 23.2 Procesdiagram 23.3 Procesbeschrijving Processtap Proces Vooraanmelder deactiveren Input Vanuit SIS Output Gedeactiveerde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Vooraanmelder deactiveren In SIS wordt aangegeven dat een bepaalde vooraanmelder account gedeactiveerd moet worden. 02 Sla status op De nieuwe status wordt vastgelegd in de Identity Vault samen met de reden van Als, zoals nu voorzien, in de PoC maar 1 reden mogelijk is heeft opslaan niet veel zin. 54
Processtap 03 Stel datum van deactiveren in 04 Deactiveer account deactiveren De datum waarop de account volledig kan worden gedeactiveerd wordt ingesteld Een deel van de doelsysteemaccounts worden gedeactiveerd. 55
24 Procesbeschrijving Vooraanmelder markeertijd verlopen 24.1 Functionele beschrijving Een automatische controle kijkt dagelijks of de overgangsperiode voor een account is verlopen. Als dat zo is wordt er een datum voor het verwijderen van de account bepaald. Alle accounts in doelsystemen worden gedeactiveerd. 24.2 Procesdiagram 24.3 Procesbeschrijving Processtap Proces Vooraanmelder deactiveren Input Dagelijkse controle Output Gedeactiveerde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Vooraanmelder deactiveren Een automatische controle kijkt dagelijks of de markeertijd van een verlopen is. 02 Sla status op De nieuwe status wordt vastgelegd in de Identity Vault 03 Stel datum van De datum waarop de account volledig kan 56
Processtap verwijderen in 04 Deactiveer account worden verwijderd wordt ingesteld Alle doelsysteemaccounts worden gedeactiveerd. 57
25 Procesbeschrijving Vooraanmelder activeren 25.1 Functionele beschrijving Een gedeactiveerde vooraanmelder account kan weer geactiveerd worden met dit proces. 25.2 Procesdiagram 25.3 Procesbeschrijving Processtap Proces Vooraanmelder activeren Input Vanuit de beheermodule Output Geactiveerde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Vooraanmelder activeren In de beheermodule wordt aangegeven dat een bepaalde vooraanmelder account geactiveerd moet worden 02 Sla status op De gewijzigde, actieve status wordt opgeslagen 03 Activeer account Het account in de Identity Manager wordt geactiveerd 04 Activeer De accounts in de doelsystemen worden 58
Processtap account geactiveerd. 59
26 Procesbeschrijving Vooraanmelder verwijderen 26.1 Functionele beschrijving Met dit proces wordt een gedeactiveerde vooraanmelder verwijderd. 26.2 Procesdiagram 26.3 Procesbeschrijving Processtap Proces Vooraanmelder verwijderen Input De verwijderdatum is bereikt Output Verwijderde accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Verloopdatum bereikt 02 Verwijder gegevens 03 Verwijder account Bij een dagelijkse automatische controle wordt vastgesteld dat de verwijderdatum bereikt is. De gegevens met betrekking tot deze account worden verwijderd. Het account in Identity Manager wordt verwijderd. 60
Processtap 04 Verwijder account De accounts in de doelsystemen worden verwijderd. 61
27 Procesbeschrijving Aanmelding definitief 27.1 Functionele beschrijving Wanneer een vooraanmelder zich definitief aanmeldt (en daarmee student wordt) wordt dit proces uitgevoerd om extra accounts aan te maken voor doelsystemen waar studenten wel maar vooraanmelders geen toegang toe hebben. 27.2 Procesdiagram 27.3 Procesbeschrijving Processtap Proces Aanmelding definitief Input Vanuit SIS Output Eventuele extra accounts Nr. Processtap Uit te voeren activiteit Opmerkingen 01 Scholier wordt vooraanmelder In SIS wordt ingevoerd dat een vooraanmelder student wordt. 02 Sla status op De nieuwe status wordt opgeslagen 03 Update account Het account in Identity Manager wordt geüpdatet zodat het een student account 62
Processtap 04 Maak account aan indien van toepassing betreft In die doelsystemen waar een vooraanmelder niet en een student wel toegang toe heeft worden extra accounts aangemaakt. Als er ook systemen zijn waar een vooraanmelder wel en een student geen toegang toe heeft dan worden de account op die systemen verwijderd. 63
28 Procesbeschrijving Aanmelden als student 28.1 Functionele beschrijving Als iemand zich aanmeldt als student (zonder eerst scholier of vooraanmelder geweest te zijn) worden er accounts voor hem aangemaakt in dit proces. De student heeft nog geen toegang tot de accounts omdat het gebruikte wachtwoord niet naar hem gecommuniceerd wordt. Hij krijgt toegang tot de Identity Manager na het proces Opvragen nieuwe accounts en tot de doelsystemen nadat hij zijn wachtwoord heeft gewijzigd in de Identity Manager. 28.2 Procesdiagram 64
28.3 Procesbeschrijving Processtap Uit te voeren activiteit Opmerkingen Proces Aanmelden als student Input Vanuit SIS Output Aangemaakte accounts Nr Processtap Uit te voeren activiteit 01 Invoer student gegevens Een medewerker van de studentenadministratie voert de gegevens van een nieuwe student in 02 Genereer gebruikersnaam, dummy wachtwoord en e- mailadres Er worden voor de nieuwe gebruiker een gebruikersnaam een dummy wachtwoord en een e- mailadres gegenereerd. 03 Aanmaken account Op basis van deze gegevens wordt een account aangemaakt in Identity Manager. 04 Aanmaken account In de doelsystemen waar studenten toegang to hebben worden accounts aangemaakt. 65
29 Procesbeschrijving Student deactiveren 29.1 Functionele beschrijving Als een student gedeactiveerd wordt gaat er eerst een overgangsperiode in. In die tijd is de account alleen gemarkeerd voor deactiveren. Per doelsysteem kan bepaald worden of de student hier wel of geen toegang toe mag hebben. Dit kan ook nog afhangen van de reden van deactiveren die wordt meegegeven. Mogelijke redenen zijn: Gestopt Overleden Algemeen 29.2 Procesdiagram 29.3 Procesbeschrijving Processtap Proces Input Student deactiveren Vanuit SIS 66
Processtap Output Gedeactiveerde accounts Nr Processtap Uit te voeren activiteit Opmerkingen 01 Student deactiveren Vanuit SIS komt door dat het account gedeactiveerd moet worden. 02 Sla status en reden op De nieuwe status wordt opgeslagen samen met de reden van deactiveren 03 Stel datum van deactiveren in De datum waarop de account daadwerkelijk gedeactiveerd wordt, wordt ingesteld. 04 Deactiveer account Accounts in de doelsystemen worden gedeactiveerd of blijven actief, afhankelijk van de reden van deactiveren. 67
30 Procesbeschrijving Student markeertijd verlopen 30.1 Functionele beschrijving Een automatische controle kijkt dagelijks of de overgangsperiode voor een account is verlopen. Als dat zo is wordt er een datum voor het verwijderen van de account bepaald. Alle accounts in doelsystemen worden gedeactiveerd. 30.2 Procesdiagram 30.3 Procesbeschrijving Processtap Proces Student markeertijd verlopen Input Automatische controle Output Gedeactiveerde accounts Nr Processtap Uit te voeren activiteit Opmerkingen 01 Markeertijd verlopen Een dagelijkse controle kijkt of de markeertijd is 68
Processtap verlopen 02 Sla status e op De nieuwe status wordt opgeslagen 03 Stel datum van deactiveren in De datum waarop de account verwijderd wordt, wordt ingesteld. 04 Deactiveer account Accounts in de doelsystemen worden allemaal gedeactiveerd 69
31 Procesbeschrijving Student activeren 31.1 Functionele beschrijving Om een gedeactiveerde account weer te activeren moet dit proces gebruikt worden. De student kan daarna weer inloggen op de doelsystemen met zijn oude wachtwoord. 31.2 Procesdiagram 31.3 Procesbeschrijving Processtap Proces Student activeren Input Vanuit de beheermodule Output Geactiveerde accounts Nr Processtap Uit te voeren activiteit Opmerkingen 01 Gedeactiveerde student activeren In de beheermodule wordt aangegeven dat een gedeactiveerde account weer geactiveerd moet worden. 02 Sla status op De actieve status wordt vastgelegd 03 Activeer account Het account in Identity Manager wordt geactiveerd zodat de student hier kan inloggen. 04 Activeer account De accounts in de doelsystemen worden geactiveerd. 70
32 Procesbeschrijving Student verwijderen 32.1 Functionele beschrijving Met dit proces wordt een gedeactiveerde studenten account na een bepaalde tijd automatisch verwijderd. 32.2 Procesdiagram 32.3 Procesbeschrijving Processtap Proces Student verwijderen Input Dagelijkse controle Output Verwijderde accounts Nr Processtap Uit te voeren activiteit Opmerkingen 01 Verwijderdatum bereikt Een automatische dagelijkse controle stelt vast of de verwijderdatum is bereikt. 02 Verwijder gegevens De gegevens die betrekking hebben op het account worden verwijderd. 03 Verwijder account Het account wordt verwijderd 04 Verwijder account De accounts in de doelsystemen worden verwijderd. 71