Je hebt een nieuwe baan! Dat betekent dat je nieuwe werkgever je voor van alles en nog wat moet laten autoriseren. In een IT-systeem is het toekennen van autorisaties zo gedaan. De beheerder zet ergens een vinkje en klaar. Vanaf dat moment kan de nieuwe medewerker van alles en nog wat in dat systeem.
Een medewerker mag vooral niet teveel autorisaties krijgen. Volgens het boekje moet het toekennen van autorisaties daarom gebeuren via zogenaamde rollen, dat zijn kant en klare pakketten met allerlei autorisaties. Aan een rol hangen alle rechten die een applicatiegebruiker voor zijn functie nodig heeft. Dit klinkt heel simpel, maar het betekent wel dat de rollen goed moeten zijn ingericht in het systeem. In de praktijk is dat vaak niet het geval. Bij het toekennen van autorisaties wordt er dan geen rol gekopieerd, maar worden de rechten van een andere gebruiker gekopieerd. Een zogenaamde voorbeeldgebruiker: Pietje moet hetzelfde kunnen als Jantje. Maar wat als Jantje bij wijze van uitzondering bij alle betaalgegevens van alle klanten kan?
In een IT-systeem moet de ene persoon soms net even wat meer kunnen dan een andere. Daarom worden bij autorisaties op persoonlijk niveau soms uitzonderingen gemaakt. In theorie is dat geen probleem. Alleen worden door het kopiëren van voorbeeldgebruikers ook die extra rechten doorgegeven aan de volgende. En zo stapelen de rechten zich op. Dat kopiëren werkt net zo goed als het doorfluisterspel waarbij een zin van oor tot oor wordt doorgefluisterd. De laatste in de kring herhaalt hardop wat hem in het oor is gefluisterd. Meestal lijkt dat nergens meer op. Bij het kopiëren van rechten wordt het altijd meer, nooit minder. Alsof de laatste in de kring ineens een heel epistel afsteekt in plaats van die ene zin die hem zou zijn ingefluisterd.
Ik ben ooit ingewerkt op de verkeerde manier: zoek de voorbeeldgebruiker op en kopieer de rechten. Klaar. Die collega was zo iemand die het niet kon schelen dat er een goede en slechte manier was. Waarschijnlijk had hij daar ook nog nooit over nagedacht. Toen ik hem ernaar vroeg zei hij dat hij het altijd zo had gedaan. Punt.
Ik dacht: er zijn rollen ingericht, dus waarom gebruiken we die niet? De volgende nieuwe medewerker wees ik een rol toe. Vinkje en klaar. En toen maakte die nieuwe gebruiker een melding. In zijn werkvoorraad kon hij niets zien. Hij zag alleen maar slotjes.
Ai, dacht ik toen, waarna ik het snel op de verkeerde manier oploste. Ik kopieerde alle autorisaties van de voorbeeldgebruiker en opgelost. Ik wist niet wat er mis was met de inrichting van die rol, maar ik wist wel dat als ik mijn eigen autorisaties uitprintte ik een lijst kreeg van 95 pagina’s. Voor ieder menu-item, scherm en veld dat ik mocht raadplegen of muteren stond er een regeltje op die pagina’s. Hoeveel regels passen er op een pagina? En reken er maar niet op dat die regeltjes in gewoon Nederlands zijn geschreven.
Zo’n inrichting van rollen schud je niet even uit je mouw. De conclusie die ik trok was dat het corrigeren of opnieuw inrichten van de rollen een megaklus zou worden. Ik zette de inrichting van de autorisatiegroepen op de backlog: achterstallig onderhoud dat we konden oppakken zodra we daar ruimte voor hadden. Waarschijnlijk nooit, want we zaten al krap in de tijd en dit beloofde echt een megaklus te worden. Die door mij wel hoog werd geprioriteerd, maar door mijn collega niet.
Zoals gezegd dacht ik dat het een megaklus zou worden, dus dat is hoe ik het aan mijn leidinggevende heb voorgelegd: super belangrijk, maar alleen mogelijk als er capaciteit voor vrijkomt. Hij zei dat hij hoopte dat ik er de tijd voor kon vrijmaken. Het lag weer bij mij en daarmee was het voor hem klaar. Het autorisatieproces kon hem even weinig schelen als die collega die mij had ingewerkt.
Bij toeval kwam ik erachter dat er maar 1 dingetje aan de inrichting van de rollen ontbrak. Aan iedere rol waren zo’n 85 onbegrijpelijke pagina’s aan autorisaties toegekend, maar onder 1 kopje op die uitdraai stond geen enkel regeltje met autorisaties. Dat was het kopje ‘beleidsterrein’. Als daar niets was ingevuld dan zag de medewerker helemaal niets in zijn werkvoorraad. Een werkproces viel altijd onder een beleidsterrein, dus als iemand geen autorisaties had voor het beleidsterrein dan kon hij geen werkprocessen zien die daaronder waren aangemaakt. Hoeveel andere autorisaties hij ook had, hij kon dan alsnog helemaal niets.
Uiteindelijk was het dus maar goed ook dat mijn leidinggevende geen oren interesse had in ons autorisatieproces. Wist ik veel dat die rollen helemaal goed waren ingericht, op 1 dingetje na. Als ik een rol toekende dan werkte het niet. Zoveel had ik ervan geweten.
In mijn hoofd sloeg het ook nergens op om het bijna helemaal in te richten. Wat iemand klaarblijkelijk had gedaan. Iemand had 85 pagina’s met rechten bij elkaar geklikt. Dan vul je dat ene veld toch ook gewoon in? Zonder dat veld kon iemand immers helemaal niks.
Blijkbaar had het autorisatieproces ooit als volgt in elkaar gezeten: er werd een rol toegekend aan een medewerker en daarna werden diens autorisaties handmatig vervolmaakt door een selectie van beleidsterreinen te maken.
Ik vond het een euforisch ontdekking! Het was een historische ontdekking over hoe mijn voorgangers in een (meer of minder) ver verleden hadden geweekt. We hadden op het punt gestaan het wiel opnieuw uit te vinden, maar het werkte gewoon. Wauw!
Bovendien voelde het alsof we zojuist 100 manuren hadden bespaard. Wat in zekere zin ook zo was. Wie weet was er nog een procesadviseur voor uitgetrokken, aangezien die overal op losgelaten worden tegenwoordig. Ook die hadden we bespaard! Het niet borgen van kennis is zonder meer één van de grootste verspillingen!
Ik had van deze werkwijze kunnen weten als het autorisatieproces ergens beschreven was geweest, maar dat was blijkbaar niet gebeurt. Misschien had iemand het ooit wel mondeling uitgelegd aan de collega die mij had ingewerkt, maar die was het uit desinteresse glad weer vergeten.
Documenteren is niet mijn grootste hobby, maar ik ben wel gemotiveerd om het te doen. Doe je het niet dan verspil je kennis en geld. Zet het op papier en zorg dat iedereen het weet te vinden. Documenteren is het fundament van optimaliseren. Anders zet je geheid weer een keer honderd passen terug.