LICENTIES EN FEATURES

Licenties

IGA user

Accountbeheer door KeyHub

Selfservice portaal

Single Sign-On (SSO)

Voor medewerkers die weinig interactie hebben met KeyHub, maar wel behoefte hebben aan essentiële functionaliteiten

Business user

Accountbeheer door KeyHub

Selfservice portaal

Single Sign-On (SSO)

Wachtwoordkluis

Groepen

Voor dynamisch rechtenbeheer.  Toegangsrechten worden automatisch aangepast op basis van de groepslidmaatschap van een medewerker.

Pro user

Accountbeheer door KeyHub

Selfservice portaal

Single Sign-On (SSO)

Wachtwoordkluis

Groepen

Provisioning naar groepen

Roterende wachtwoorden

Voor beheerders en power users die behoefte hebben aan geavanceerde functionaliteiten. 

Features

Workflows

KeyHub Workflows geven je op groepsniveau meer regie over hoe autorisaties en goedkeuringen tot stand komen. In plaats van één standaardproces voor alle groepen, kun je per groep specifieke regels instellen die precies passen bij de gevoeligheid en risico’s van die groep. Hierdoor kunnen beheerders en security-officers het toegangsbeheer flexibeler en nauwkeuriger inrichten.

Goedkeuring bij activatie

Wanneer een gebruiker een groep wil activeren (om bijbehorende rechten of resources te gebruiken), kan een lid van een autoriserende groep eerst expliciet toestemming moeten geven. Dit geeft een extra laag beveiliging voor kritieke toegang.

Review van audits

Door periodieke groepsaudits te plannen, controleer je of groepsleden en hun rechten nog up-to-date zijn. Voor sommige risicogroepen kun je een extra controlestap toevoegen, waarbij een aparte autoriserende groep de auditresultaten bekijkt en formeel goedkeurt. Dit proces is minder belastend dan een verplichte goedkeuring bij elke aanvraag, omdat het achteraf plaatsvindt. Zo heb je de zekerheid van een extra check, zonder de dagelijkse gang van zaken te verstoren.

Extra autorisatielaag voor lidmaatschap

KeyHub hanteert al een vier-ogenprincipe waar nodig, maar voor kritieke of uitzonderlijke groepen kun je nog een tweede partij inschakelen. Zo ontstaat een ‘delegatie-light’-constructie waarbij twee verschillende groepen samen beslissen wie lid mag worden.

Delegatie van management

Wil je het beheer van een groep delen of overdragen, dan kun je een andere groep als (mede)beheerder aanwijzen. Deze beheerders kunnen leden toevoegen of verzoeken goedkeuren en audits starten, maar houden niet automatisch álle managerrechten. Bepaalde functies, zoals het beheren van ‘Group-on-System’-instellingen, blijven bijvoorbeeld voorbehouden aan de oorspronkelijke eigenaar(s).

Privégroepen

Workflows maken het ook mogelijk groepen geheel af te schermen, zodat ze alleen zichtbaar zijn voor de leden van de groep, beheerders en auditors. Toegang kan dan niet via de gebruikelijke weg worden aangevraagd, maar uitsluitend worden toegekend door een groepsmanager. Op die manier kun je gevoelige projecten of gegevens extra goed beschermen.

Groepsactivatie

Groepsactivatie zorgt ervoor dat bepaalde aan een groep gekoppelde rechten pas beschikbaar komen zodra een gebruiker die groep actief inschakelt. Hiermee schakelt de gebruiker tijdelijk extra privileges in die aan deze groep zijn gekoppeld—denk aan toegang tot SSO-koppelingen, kluisrecords of (dynamische) provisioning in externe systemen. Eventueel kan er een autoriserende groep aan deze activatie gekoppeld worden via Workflows, zodat een extra goedkeuring vereist is. Ook kun je instellen dat gebruikers een reden moeten opgeven bij activering en dat de geactiveerde rechten automatisch na een bepaalde periode vervallen. Hierdoor hanteer je een just-in-time-toegangsmodel dat het principe van least privilege ondersteunt en het beveiligingsbewustzijn in de organisatie vergroot.

Geneste groepen

Geneste groepen in Topicus KeyHub maken het mogelijk om hiërarchische groepsstructuren te creëren, waarbij leden van een bovenliggende groep automatisch ook lid zijn van de onderliggende groepen met dezelfde rechten. Tegelijkertijd kun je in die onderliggende groepen aanvullende leden toevoegen die niet tot de bovenliggende groep behoren. Zo combineer je het gemak van automatisch doorgegeven lidmaatschappen met de flexibiliteit om in elk niveau van de hiërarchie een eigen samenstelling te hanteren, zonder dat er inhoudelijk verschil ontstaat tussen lidmaatschappen die via de bovenliggende groep worden geërfd en lidmaatschappen die rechtstreeks zijn toegevoegd.

Compliance plus

Compliance Plus breidt de mogelijkheden voor groepsclassificatie en auditing in KeyHub uit door groepen te labelen met bijvoorbeeld productie, acceptatie of high security, zodat direct duidelijk is hoe kritisch of gevoelig een groep is. Op basis van deze classificaties kunnen security officers specifieke beveiligings- en compliance-eisen aan de inrichting van groepen stellen, zoals verplichte auditschema’s of het verplicht activeren van kluistoegang (sommige opties zijn afhankelijk van andere licentiemodules). Dit helpt niet alleen om te voldoen aan interne en externe regelgeving (bijvoorbeeld ISO 27001 of AVG/GDPR), maar maakt ook de rapportages en controles overzichtelijker.

Daarnaast kun je met Compliance Plus de recovery van bepaalde kluizen uitschakelen – zowel via ‘social recovery’ als de noodprocedure door KeyHub beheerders – om zo zeer gevoelige informatie extra te beschermen, zelfs als er een noodsituatie is. Deze aanvullende beveiligingslaag minimaliseert het risico op ongeautoriseerde toegang tot cruciale data. Hoewel de basisinformatie over groepen en auditing altijd beschikbaar is, biedt Compliance Plus hiermee een meer verfijnde en flexibele manier om de KeyHub-omgeving te classificeren en te auditen.

Identity Lifecycle Management / SCIM

ILM / SCIM biedt geautomatiseerd identiteitsbeheer (Identity Lifecycle Management) en koppelingen met externe systemen, zodat je de volledige levenscyclus van gebruikersaccounts kunt beheren—van aanmaken en aanpassen tot verwijderen bij vertrek (ook wel IDU of JML genoemd: Instroom, Doorstroom, Uitstroom / Joiners, Movers, Leavers).

Met de SCIM-standaard (System for Cross-domain Identity Management) synchroniseert KeyHub informatie over gebruikers en groepen met andere toepassingen, zoals HR-systemen. Hierdoor kan KeyHub bijvoorbeeld bij een nieuwe medewerker (ingevoerd in het HR-systeem) automatisch een account met de juiste rechten aanmaken, en bij uitdiensttreding alle rechten direct intrekken. Dit vermindert het handmatige werk voor IT-beheerders, voorkomt verouderde accounts en verbetert de veiligheid doordat alle toegangsinformatie altijd up-to-date en consistent blijft.

Service accounts

Service accounts zijn accounts die niet aan een specifieke persoon gekoppeld zijn, maar door applicaties of systemen worden gebruikt. Zulke accounts hebben vaak ruime rechten en vormen een potentieel veiligheidsrisico als ze niet goed beheerd worden. Met deze module kun je service accounts centraal beheren in KeyHub. KeyHub genereert wachtwoorden of sleutels van voldoende complexiteit en slaat deze veilig op in de kluis. Vervolgens kun je zelf bepalen welke medewerkers of teams toegang krijgen tot deze credentials. Alle acties met een service account (zoals het opvragen van credentials) worden gelogd, zodat je inzicht hebt in wie er wanneer gebruik van maakt. Bovendien kun je de wachtwoorden van service accounts naar wens handmatig of dagelijks (automatisch) laten wijzigen (rotatie) om misbruik te voorkomen. Voor IT-beheerders betekent dit dat deze “stille” maar kritieke accounts niet langer buiten beeld blijven, maar onder controle zijn binnen KeyHub. Dat verbetert de (aantoonbare) veiligheid aanzienlijk.

Enterprise organisaties

Voor grotere bedrijven biedt KeyHub de mogelijkheid van een Hiërarchische Organisatie Structuur. Hiermee kun je de KeyHub-omgeving opdelen in afzonderlijke organisatie-eenheden (OU's), bijvoorbeeld per afdeling, vestiging of dochteronderneming. Elke organisatie-eenheid kan zijn eigen groepen en groepsbeheerders hebben, terwijl er toch overkoepelend overzicht en centraal beheer mogelijk blijft. Je kunt per onderdeel bepalen wie waar toegang toe heeft, zonder dat de hele organisatie door elkaar in één omgeving staat. Het beheer wordt zo een stuk schaalbaarder: lokale admins beheren hun eigen unit, terwijl de centrale IT-afdeling het totaaloverzicht en de regie behoudt. Voor de IT-afdeling betekent dit dat het beheer minder complex en tijdrovend wordt, met een duidelijke scheiding van verantwoordelijkheden tussen centrale en decentrale beheerders. Tegelijkertijd blijft een uniform beveiligingsbeleid gewaarborgd, omdat KeyHub deze hiërarchische opzet ondersteunt met centrale controles en instellingen.