Het Koning Willem I College (KW1C) in Noordoost Brabant is een brede mbo beroepsopleider die graag voorop loopt. Ook in rol-gebaseerd Identity & Access Management (IAM). Met bijna 20.000 studenten, 2.000 medewerkers, 14 afdelingen en 16 locaties, is IAM voor de opleider een bovengemiddelde uitdaging. Omdat er veel variabelen in rollen bestaan, maar ook omdat er veel verschillende systemen, onderwijstypen, opleidingen, klassen, roosters en vestigingen zijn.
Daarnaast vinden in een school veel meer mutaties in rollen plaats dan in andere organisaties, omdat de leerlingen nu eenmaal permanent in ontwikkeling zijn. De 20.000 leerlingen van KW1C volgen een entreeopleiding, een mbo beroepsopleiding, volwassenenonderwijs of (her-)certificeringstrajecten. Voor een baan in bijvoorbeeld een economische of technische richting, maar ook in de zorg, sport, horeca, toerisme, IT of beveiliging.
Om snel en veilig toegang te verlenen tot de juiste systemen en gegevens is het Koning Willem I College de autorisaties voor toegang zoveel mogelijk rol-gebaseerd gaan automatiseren, met behulp van SmartAIM. Juul de Louw, Informatiemanager en Aanjager Digitale Transformatie bij KW1C, is al dertien jaar de spin in het web van Identity & Access Management binnen de school. Hij doet uit de doeken hoe het Koning Willem I College de autorisatie van de toegang heeft geautomatiseerd.
Autorisatie zonder gedoe
De Louw is verantwoordelijk voor het ontwerpen van de koppelingen tussen mensen, de leerlingen en medewerkers enerzijds en de systemen, applicaties, en organisatie anderzijds. Het is onder meer zijn taak om ervoor te zorgen dat iedereen voor zijn/haar/hun rol de juiste autorisaties krijgt, op een veilige manier met zo min mogelijk gedoe eromheen. “Een student kiest een studie en moet automatisch toegang krijgen tot al het studiemateriaal, roosters, het leermanagementsysteem, de softwarepakketten en de faciliteiten waar de rol recht op geeft. Dat geldt ook voor docenten, stagebegeleiders, decanen of teamleiders. Staat de rol eenmaal vast, en die rol kan ook een combinatie van rollen zijn, dan wordt de bijbehorende toegang automatisch geregeld via SmartAIM.”
“Ik geloof in privacy & security by design”, zegt De Louw. “Het doel is om het voor studenten en docenten zo makkelijk mogelijk te maken. Veilig, met zo laag mogelijke drempels.” De reis naar het automatiseren van de toegang begon enkele jaren geleden, toen het oude software-autorisatiesysteem steeds minder voldeed. Het systeem kon niet goed overweg met SaaS-oplossingen (Software-as-a-Service) die ook in het onderwijs opdoken. “Met kunst- en vliegwerk konden we het nog wat rekken, maar eigenlijk hadden we een ander softwarepakket nodig,” zegt De Louw. “Toen hebben we een inventarisatie gedaan naar de behoeftes onder studenten, docenten en andere medewerkers, maar ook van de IT-afdeling, omdat de ontwikkelingen in deze sector razendsnel gaan. Wat willen zij en hoe gaan we dat maximaal ondersteunen, was de vraag.”
Visie op Toegang
De inventarisatie leidde tot Visie op Toegang, een document opgesteld samen met de CISO (Chief Information Security Officer) van KW1C, met hulp van interne en externe expertise. De rode lijn in Visie op Toegang is de voorkeur voor het automatiseren van zoveel mogelijk software-autorisaties. “De Visie op Toegang is tot op de dag van vandaag de basis voor alles wat we binnen KW1C ten aanzien van IAM doen, inclusief vervolgprojecten en doorontwikkeling. Het was ook de basis voor de aanbesteding die we voor het nieuwe Identity & Access Management systeem hebben uitgevoerd.”
SmartAIM kwam als beste optie uit de aanbesteding. De Louw: “Het was meer dan een software-implementatie, het was een echt traject. De keuze viel op SmartAIM, omdat het een relatief jong softwarepakket is, op basis van een role-based access control-model (RBAC), dat heel goed aansloot bij de manier die ons voor ogen stond in de Visie op Toegang. Eigenlijk kwamen alle aspecten die wij belangrijk vonden, zoals flexibiliteit in het koppelen van interne en externe applicaties, de wensen op het gebied van gebruiksvriendelijkheid en de beheerbaarheid van het systeem, goed tot hun recht in de aanpak van SmartAIM.”
Integratielaag
“We hebben gekozen voor een integratielaag die de koppeling vormt tussen SmartAIM enerzijds en de bronsystemen van KW1C, zoals HR-systemen, systemen voor de studentgegevens in de verschillenden opleidingen en categorieën, roostersystemen en leermanagementsystemen, anderzijds. De integratielaag voorziet in praktische flexibiliteit. Wanneer een bronsysteem, zoals bijvoorbeeld het HR-systeem, vervangen moet worden, blijft de integratielaag intact. Dan hoeft een nieuw systeem slechts aan de integratielaag gekoppeld te worden.” Via de integratielaag krijgen medewerkers en studenten op basis van hun rol automatisch toegang tot alle systemen waar recht op bestaat. Een medewerker of student hoeft dus niet voor elke toepassing apart toegang aan te vragen. “Zo staat SmartAIM in het hart van ons informatielandschap.”
Implementatie SmartAIM
Om de geautomatiseerde autorisaties op basis van iemands rol mogelijk te maken, werd het hele proces van autorisatie binnen KW1C tegen het licht gehouden en opnieuw ontworpen. De Louw: “We moesten rol-gedreven gaan denken, dat betekende een enorme omslag.” Over de samenwerking met SmartAIM is De Louw zeer tevreden. “Het was prettig schakelen en de lijnen zijn nog steeds kort. Vaak werkten we op basis van functionele use cases. Het mooie is ook dat onze functionele beheerders van de bronsystemen zelf de koppeling met de integratielaag kunnen maken. Daar hebben we ze stap voor stap op voorbereid met behulp van informatiemateriaal en trainingen.”
Op naar de toekomst
De provisioning van de systemen, het voeden met de juiste informatie, is volgens De Louw een blijvend aandachtspunt en de grootste uitdaging. “We hebben nog behoorlijk wat systemen die niet meer zo van deze tijd zijn die we met kunst- en vliegwerk moeten koppelen met web services en API’s. Dat maakt de provisioning lastig. Ook voor elk nieuw softwarepakket moet de provisioning ingeregeld worden.”
De Louw heeft nog een aantal adviezen aan organisaties die aan de vooravond staan van een IAM-traject. “Maak altijd een plan op basis van een visie. Stel duidelijke doelen en praat erover met anderen, doe het niet alleen. Zoek een partner met wie je dit traject ingaat.”
Inmiddels is het Koning Willem I College zes jaar verder sinds de Visie op Toegang werd opgesteld. Door ontwikkelingen in de afgelopen jaren is die visie rijp voor herijking. Daarbij wordt ook gekeken naar Self-Sovereign Identity (SSI). Hiermee kan een individu zichzelf identificeren en toegang geven tot een systeem op basis van zijn identiteit die in zijn wallet op zijn telefoon staat. Dat is in de ogen van De Louw de toekomst.
Koning Willem I College (KW1C)
Het Koning Willem I College begon in 1990 als MBO-College ’s-Hertogenbosch, toen de mbo-opleidingen mea, mts, mdgo, Streekschool en de volwasseneducatie in Den Bosch werden samengevoegd. In 2022 kreeg KW1C zijn huidige vorm na de fusie met De Leijgraaf, met locaties in Meierijstad, Oss en Land van Cuijk. In hetzelfde jaar werd het KW1C voor de derde keer winnaar van de SustainaBul MBO-uitreiking en daarmee uitgeroepen het duurzaamste mbo van Nederland.
Het Regionale Opleidingscentrum uit Noordoost Brabant draagt het predicaat Unesco-school en is onderdeel van een netwerk van scholen die zich extra inzetten voor vrede en mensenrechten, intercultureel leren, duurzame ontwikkeling en wereldburgerschap. Oss en ’s-Hertogenbosch zijn Unesco Learning Cities. De Global Goals van Unesco vormen het kompas voor het realiseren van betere opleidingen en sterke samenwerkingen, zodat de studenten het verschil kunnen maken in hun vakmanschap en met praktische ideeën.
Het KW1C zoekt nadrukkelijk de samenwerking met het bedrijfsleven in de regio om vakmensen op te leiden. Onlangs werd het Koning Willem I College uitgeroepen tot de Beste Werkgever in de branche ‘Onderwijs’ 2022-2023, door Effectory en Intermediair.
