Så funkar automatiserad Joiner-Mover-Leaver (JML) – steg för steg

Det är lätt att missa en inställning i Active Directory när man har bråttom, och de där små missarna blir snabbt till säkerhetshål. Varje manuellt klick är en chans för fel att smyga sig in. Genom att automatisera flödet för nyanställda och personal som slutar låter ni HR-systemet sköta grovjobbet. Konton skapas och stängs ner baserat på den data som redan finns, så att IT slipper gissa vilka behörigheter som gäller.

Här förklarar vi hur du bygger ett säkert flöde för identitets- och åtkomsthantering (IAM) som möter dagens lagkrav.

Så fungerar automatisk kontohantering

Automatiserad JML innebär att systemet sköter konton och behörigheter baserat på vad som händer i organisationen. Istället för att IT ska sitta och vänta på ett ärende i helpdesk drar processen igång direkt när HR uppdaterar sitt register.

Använd HR som enda källa till sanning

Allt startar i HR-systemet. När ni anställer en person lägger HR in startdatum, roll, avdelning och chef. Den här registreringen triggar sedan resten av kedjan. Systemet hämtar uppgifterna automatiskt utan att någon behöver skriva in dem igen.

När HR-systemet får vara källan slipper IT-avdelningen agera detektiver. Ni vet att namnuppgifter och startdatum stämmer från början, så ingen behöver gissa vilka behörigheter som ska gälla för en viss roll.

Automatisk start för nyanställda

När någon nyanställs drar processen igång av sig själv. Istället för att en tekniker ska sitta och klicka manuellt skapar systemet konton i AD, fixar e-posten och ser till att de rätta programmen, licenserna och mapparna finns på plats. Det fungerar genom att rollen styr behörigheten. En sjuksköterska får sina journalsystem direkt, medan en lärare får tillgång till lärplattformen utan att behöva vänta. Allt är redo redan när kaffet hälls upp på första arbetsdagen.

Hantera ändringar i organisationen

Det är lätt hänt att folk samlar på sig gamla behörigheter när de byter tjänst internt. En person som går från receptionen till ekonomi behöver sällan ha kvar sina gamla accesser, men utan ett system som städar upp blir de ofta kvar för säkerhets skull.

Genom att låta HR-systemet styra de här bytena sköter rensningen sig själv. När titeln eller avdelningen ändras plockar systemet bort de gamla behörigheterna och lägger till de nya som faktiskt behövs för det nya jobbet. På så sätt slipper ni konton som sitter på drivor av onödiga rättigheter bara för att ingen har haft tid att gå in och rensa för hand.

Omedelbar avslutning när någon slutar

De största säkerhetshålen beror ofta på gamla konton som ligger kvar och skräpar efter att någon slutat. Det är en klassisk mardröm för IT-avdelningen när en person som lämnat företaget fortfarande kan logga in i känsliga system veckor senare.

När anställningen avslutas i HR-systemet stängs dörren direkt. Alla kopplingar till e-post och interna mappar klipps utan att någon behöver komma ihåg att göra det manuellt. Samtidigt frigörs licenserna så att ni slipper betala för program som ingen längre använder. Det handlar om att se till att ingen har tillgång till mer än vad de faktiskt behöver för att göra sitt jobb just nu.

Konton och cybersäkerhetslagen (NIS2)

I dag är kontroll på behörigheter ett lagkrav snarare än ett val. NIS2 tvingar organisationer att faktiskt kunna visa vem som har tillgång till vad, och när den kontrollen saknas uppstår snabbt problem vid en granskning.

1. Åtkomstkontroll

Genom att låta systemet sköta livscykeln för varje konto får ni ett kvitto på att bara de som jobbar kvar har access till de kritiska delarna av driften. Det tar bort osäkerheten som alltid uppstår vid manuella listor.

2. Spårbarhet

Om något väl händer kräver NIS2 att ni kan visa exakt vad som har skett. Det räcker inte att hoppas att gamla loggar finns kvar. Ett automatiserat flöde skapar en tydlig historik utan att någon behöver föra manuella anteckningar.

3. Loggning på rätt grunder

Eftersom det är HR-datan som styr ser ni direkt varför en person fick tillgång till ett visst system. Loggarna visar att behörigheten hängde ihop med rollen och att den försvann i samma stund som anställningen upphörde.

4. Säkerhet i leveranskedjan

NIS2 fokuserar mycket på varifrån tekniken kommer. Genom att använda en EU-baserad partner som Identum ser ni till att er identitetsdata stannar inom unionen och följer europeisk lagstiftning. Ni slipper oroa er för hur amerikanska molnlagar påverkar er data.

Vi jobbar i dag med över 500 organisationer som har tröttnat på att jaga behörigheter för hand eller som sitter fast i gamla, personberoende lösningar som MIM. Istället för att IT-avdelningen ska lägga halva veckan på att städa i AD ser vi till att rätt person får rätt access direkt när HR trycker på knappen.