KeyHub Workflows geven je op groepsniveau meer regie over hoe autorisaties en goedkeuringen tot stand komen. In plaats van één standaardproces voor alle groepen, kun je per groep specifieke regels instellen die precies passen bij de gevoeligheid en risico’s van die groep. Hierdoor kunnen beheerders en security-officers het toegangsbeheer flexibeler en nauwkeuriger inrichten.

Goedkeuring bij activatie

Wanneer een gebruiker een groep wil activeren (om bijbehorende rechten of resources te gebruiken), kan een lid van een autoriserende groep eerst expliciet toestemming moeten geven. Dit geeft een extra laag beveiliging voor kritieke toegang.

Review van audits

Door periodieke groepsaudits te plannen, controleer je of groepsleden en hun rechten nog up-to-date zijn. Voor sommige risicogroepen kun je een extra controlestap toevoegen, waarbij een aparte autoriserende groep de auditresultaten bekijkt en formeel goedkeurt. Dit proces is minder belastend dan een verplichte goedkeuring bij elke aanvraag, omdat het achteraf plaatsvindt. Zo heb je de zekerheid van een extra check, zonder de dagelijkse gang van zaken te verstoren.

Extra autorisatielaag voor lidmaatschap

KeyHub hanteert al een vier-ogenprincipe waar nodig, maar voor kritieke of uitzonderlijke groepen kun je nog een tweede partij inschakelen. Zo ontstaat een ‘delegatie-light’-constructie waarbij twee verschillende groepen samen beslissen wie lid mag worden.

Delegatie van management

Wil je het beheer van een groep delen of overdragen, dan kun je een andere groep als (mede)beheerder aanwijzen. Deze beheerders kunnen leden toevoegen of verzoeken goedkeuren en audits starten, maar houden niet automatisch álle managerrechten. Bepaalde functies, zoals het beheren van ‘Group-on-System’-instellingen, blijven bijvoorbeeld voorbehouden aan de oorspronkelijke eigenaar(s).

Privégroepen

Workflows maken het ook mogelijk groepen geheel af te schermen, zodat ze alleen zichtbaar zijn voor de leden van de groep, beheerders en auditors. Toegang kan dan niet via de gebruikelijke weg worden aangevraagd, maar uitsluitend worden toegekend door een groepsmanager. Op die manier kun je gevoelige projecten of gegevens extra goed beschermen.

Geneste groepen in Topicus KeyHub maken het mogelijk om hiërarchische groepsstructuren te creëren, waarbij leden van een bovenliggende groep automatisch ook lid zijn van de onderliggende groepen met dezelfde rechten. Tegelijkertijd kun je in die onderliggende groepen aanvullende leden toevoegen die niet tot de bovenliggende groep behoren. Zo combineer je het gemak van automatisch doorgegeven lidmaatschappen met de flexibiliteit om in elk niveau van de hiërarchie een eigen samenstelling te hanteren, zonder dat er inhoudelijk verschil ontstaat tussen lidmaatschappen die via de bovenliggende groep worden geërfd en lidmaatschappen die rechtstreeks zijn toegevoegd.

ILM / SCIM biedt geautomatiseerd identiteitsbeheer (Identity Lifecycle Management) en koppelingen met externe systemen, zodat je de volledige levenscyclus van gebruikersaccounts kunt beheren—van aanmaken en aanpassen tot verwijderen bij vertrek (ook wel IDU of JML genoemd: Instroom, Doorstroom, Uitstroom / Joiners, Movers, Leavers).

Met de SCIM-standaard (System for Cross-domain Identity Management) synchroniseert KeyHub informatie over gebruikers en groepen met andere toepassingen, zoals HR-systemen. Hierdoor kan KeyHub bijvoorbeeld bij een nieuwe medewerker (ingevoerd in het HR-systeem) automatisch een account met de juiste rechten aanmaken, en bij uitdiensttreding alle rechten direct intrekken. Dit vermindert het handmatige werk voor IT-beheerders, voorkomt verouderde accounts en verbetert de veiligheid doordat alle toegangsinformatie altijd up-to-date en consistent blijft.

Voor grotere bedrijven biedt KeyHub de mogelijkheid van een Hiërarchische Organisatie Structuur. Hiermee kun je de KeyHub-omgeving opdelen in afzonderlijke organisatie-eenheden (OU's), bijvoorbeeld per afdeling, vestiging of dochteronderneming. Elke organisatie-eenheid kan zijn eigen groepen en groepsbeheerders hebben, terwijl er toch overkoepelend overzicht en centraal beheer mogelijk blijft. Je kunt per onderdeel bepalen wie waar toegang toe heeft, zonder dat de hele organisatie door elkaar in één omgeving staat. Het beheer wordt zo een stuk schaalbaarder: lokale admins beheren hun eigen unit, terwijl de centrale IT-afdeling het totaaloverzicht en de regie behoudt. Voor de IT-afdeling betekent dit dat het beheer minder complex en tijdrovend wordt, met een duidelijke scheiding van verantwoordelijkheden tussen centrale en decentrale beheerders. Tegelijkertijd blijft een uniform beveiligingsbeleid gewaarborgd, omdat KeyHub deze hiërarchische opzet ondersteunt met centrale controles en instellingen.