In de wereld van Identity Governance & Administration (IGA) is “standaard” vaak slechts het vertrekpunt. Elke organisatie heeft eigen vereisten voor hoe gebruikers worden opgevolgd en gerapporteerd. Die maatwerkvereisten zijn waardevol, maar kunnen soms onverwachte obstakels vormen voor automatisatie.

Recent stonden we voor een complexe offboarding-uitdaging in One Identity Manager, waarbij we een aangepaste rapporteringsstructuur moesten verzoenen met een naadloze Microsoft 365 Out-of-Office (OOO)-automatisatie.

Het probleem: de “Terminated”-locatie als zwart gat

De klant had een specifieke vereiste binnen het offboardingproces: wanneer een identiteit wordt beëindigd, moet de Location-eigenschap onmiddellijk worden aangepast naar een container die het jaar van uitdiensttreding weerspiegelt (bijvoorbeeld “Terminated 2025”).

Dit is bijzonder nuttig voor HR-audits en rapportering, maar veroorzaakte een groot probleem voor de geautomatiseerde OOO-script. Het OOO-bericht moet namelijk gelokaliseerd zijn en haalt het helpdesk-telefoonnummer en helpdesk-e-mailadres op uit de locatie van de gebruiker.

Het conflict:

• Het offboardingproces verplaatst de gebruiker naar de locatie “Terminated 2025”.
• Het OOO-script wordt geactiveerd en zoekt helpdeskgegevens op basis van de huidige locatie.
• Aangezien “Terminated 2025” geen helpdeskmetadata bevat, blijven de variabelen leeg.

De oplossing: een robuuste, statusbewuste architectuur

Om tegemoet te komen aan de rapporteringsvereisten zonder de gebruikerservaring te onderbreken, ontwierpen we een oplossing in drie lagen.

1. Schema-uitbreiding: de “Last Known Good”-status

We breidden de One Identity Person-tabel uit met een aangepaste eigenschap: CCC_LastValidLocation.

Tijdens het offboardingproces – en cruciaal: vóór de verplaatsing naar de “Terminated”-container – slaan we de oorspronkelijke UID_Loc van de gebruiker op. Zo blijft de geografische context behouden en wordt de automatisatie immuun voor de latere locatie-wijziging.

2. Orchestratiescript & Microsoft 365-integratie

We ontwikkelden een maatwerkscript dat fungeert als brug tussen de identity store en de cloud. In plaats van vaste templates:

• Leest het script CCC_LastValidLocation uit
• Haalt het bijhorende helpdeskmetadata op
• Bouwt dynamisch de HTML-inhoud van het OOO-bericht op
• Voert een PowerShell-cmdlet (Set-OofMessage) uit om het Out-of-Office-bericht in Microsoft 365 te configureren

3. Fail-safe: fallbacklogica

In een ideale wereld is elke locatie volledig ingevuld. In de praktijk ontstaan datagaten. Om te vermijden dat het script faalt of een onvolledig bericht verstuurt, implementeerden we fallbacklogica.

Wanneer het script vaststelt dat HelpdeskPhone of HelpdeskEmail leeg is, schakelt het automatisch over naar een globaal corporate helpdeskcontact. Zo ontvangt elke externe correspondent steeds een geldig aanspreekpunt en blijft het professionele imago van de organisatie gewaarborgd.

Waarom dit belangrijk is voor je IGA-strategie

Dit project toont het verschil aan tussen het simpelweg “installeren” van een tool en het architecturaal uitdenken van een oplossing:

• Flexibiliteit: ondersteuning van een maatwerkbusinessproces zonder functionaliteit te verliezen
• Technische diepgang: gebruik van de One Identity Object Layer en PowerShell voor end-to-end automatisatie
• Veerkracht: een zelfherstellend systeem dankzij slimme fallbackmechanismen

Uiteindelijk draait IGA om ervoor zorgen dat de juiste mensen de juiste toegangen hebben en dat wanneer ze vertrekken, dit gebeurt met een professioneel, geautomatiseerd en correct “afscheid”.

Meer weten over jouw volgende IGA-project? Neem gerust contact met ons op.