Het klinkt in eerste instantie misschien als extra beheerlast: het toevoegen van wéér een platform. Wanneer je leest dat de authenticatie voor onze Data Export Service via Google verloopt, ontstaan er wellicht begrijpelijke zorgen over extra beheerlast of de noodzaak om een nieuwe leverancier te managen. Dat snappen we volkomen.
Toch hebben we hier heel bewust voor gekozen. In dit artikel leggen we uit waarom deze oplossingsrichting niet alleen helpt om aan de huidige beveiligingseisen te voldoen, maar waarom het uiteindelijk ook efficiënter en veiliger is voor jouw organisatie.
Geen eigen API, maar meeliften op cloud-native voordelen
We krijgen weleens de vraag waarom we de data niet via een standaard, zelfgebouwde API aanbieden. Het antwoord is praktisch: de integratiemogelijkheden en de beveiliging van een cloud-native oplossing zijn vele malen uitgebreider en robuuster dan we zelf via een losse API kunnen faciliteren.
Met deze setup kun je de data bijvoorbeeld direct integreren met diverse dashboarding tools, iets wat met een standaard API niet direct mogelijk is. Daarnaast kun je gebruikmaken van de standaard Google REST API en uitstekende client libraries in allerlei verschillende programmeertalen. Dit maakt het ophalen, koppelen en verwerken van de data een stuk eenvoudiger en stabieler.
Geen datareplicatie: toegang tot data die er al is
Onze Spend Cloud wordt gehost op het Google Cloud Platform (GCP). Voor ons datawarehouse maken wij gebruik van Google BigQuery, een serverless oplossing.
Een groot voordeel van deze aanpak is dat we geen data hoeven te repliceren of te verplaatsen voor deze export-oplossing. De data staat al veilig in ons datawarehouse. Via de robuuste authenticatiemiddelen van Google geven we jullie via zogenaamde "views" simpelweg direct en veilig toegang tot jullie data die daar al staat.
Dit brengt fundamentele voordelen met zich mee. Google Cloud voldoet aan de allerstrengste, hedendaagse veiligheidsstandaarden. Omdat wij GCP gebruiken, is Google GDPR-technisch al een subverwerker (wij verwerken jullie data, Google verwerkt dit via ons). Er komt dus géén nieuwe of onbekende dataverwerker bij in de keten.
Gegevensbeheer: Houd de regie over je data
Een logische zorg is dat bedrijfsdata gekoppeld wordt aan een onbeheerbaar, los account. Voor een robuuste data-beheerbaarheid is het cruciaal dat de controle volledig aan jullie kant blijft.
Voor de authenticatie naar de data gebruiken we een Google Account. Hoewel het technisch mogelijk is om hiervoor een (privé) Gmail-account te gebruiken, raden we dit af. De beste en meest beheerbare optie is om een Google Account te koppelen aan een bestaand, zakelijk e-mailadres.
Door een organisatie-gebonden adres uit te breiden naar een Google Account, behoud je de regie. Gaat een collega uit dienst of verandert een rol, dan blijft de toegang gewoon via jullie eigen domein te beheren. Vanuit dit account genereren we vervolgens samen een Service Account (met toegangssleutels) voor de dagelijkse, geautomatiseerde ophaaltaken door bijvoorbeeld jullie BI-tool of datawarehouse oplossingen.
Het misverstand: Een Google Account vs. een Gmail Account
Er ontstaat vaak verwarring over de termen 'Gmail' en 'Google Account'. Ze worden soms door elkaar gebruikt, maar voor het beheer is het verschil wezenlijk:
- Een Google Account is puur een identiteits- en authenticatieschil (jouw digitale paspoort om veilig in te loggen op diensten, zoals Google Cloud of BigQuery).
- Een Gmail Account is een specifieke e-maildienst met een @gmail.com adres, die toevallig standaard aan een Google Account is gekoppeld.
Je hebt dus absoluut geen nieuw Gmail-account nodig voor deze integratie, je kunt jullie eigen, vertrouwde bedrijfsdomein gebruiken.
Hoe stel je dit in?
We hebben de benodigde configuratie in GCP tot het absolute minimum beperkt en we leveren gedetailleerde documentatie aan hoe je dit inricht.
De eerste stap is eenvoudig: pak een bestaand zakelijk e-mailadres en registreer dit als een Google Account.
- Ga naar deze support-pagina van Google.
- Start halverwege de pagina bij de kop "Use an existing email address" (of "Een bestaand e-mailadres gebruiken").
Zodra dit adres is ingesteld en bij ons is doorgegeven, verlenen wij toegang tot de data views. Daarna plannen we een korte meeting (30 minuten is ruim voldoende) om samen de inrichting aan de Google Cloud-kant af te ronden en de benodigde Service Account aan te maken.
Meer weten over de inhoud van de export? Bekijk dan de volledige documentatie over de
Data Export Service.