Hvad er identitetsstyring (IDM)
Den eksplosive vækst i skyen og især Software-as-a-Service (SaaS) -applikationer, som dem, der bliver populære i samarbejds- eller projektledelsesområdet, har ændret den måde, virksomhederne driver forretning på.
Implementering af software som en administreret tjeneste leveret via skyen betyder lavere vedligeholdelsesomkostninger, øget oppetid, hurtigere udrulning af funktioner og det reducerede behov for on-site hardware.
Det er bare nogle af grundene til, at skybaserede SaaS-løsninger gør dybe og hurtige indgreb i opgaver, der tidligere kun var domineret af internt it-personale.
Men for fuldt ud at realisere de besparelser, der tilbydes af SaaS-apps, har virksomheder brug for en måde til nemt at oprette og administrere brugere (aka, identiteter) på tværs af hele deres portefølje af sky-apps - porteføljer, der normalt spænder over flere platforme og kan ændre sig ofte.
IT-administratorer har brug for at give brugerne Single Sign-On (SSO) kapacitet på tværs af hele organisationens portefølje af apps, men det er kun en del af problemet.
Det er lige så vigtigt at kontrollere dybden af ??adgang i SaaS-apps som det er for lokale apps og endda lokale netværksressourcer.
Så ikke kun hvem der får adgang til appen, men præcis hvad de kan få adgang til, når de bruger den app.
Dette kan være kritisk i mange forretningsapps, som definerer brugerens rolle, godkendelse på tværs af apps og mere avancerede sikkerhedsforanstaltninger som multifaktorautentificering (MFA), der refererer til opbygning af godkendelsesmekanismer, der kræver mere end blot et enkelt trin , som at indtaste et brugernavn og en adgangskode, men også kræve yderligere trin, såsom et fysisk token af ??en slags (f.eks.
et chipkort eller USB-nøgle) eller et biometrisk mål (f.eks.
en fingeraftryksscanning).
Lige så vigtigt er forvaltningen af ??eksisterende identitetsudbydere (IDP'er) såsom Microsoft Active Directory (AD) eller human resources (HR) -software.
I mange tilfælde kan identitetsoplysninger hentes fra flere arkiver, hvilket kræver, at et system ikke kun administrerer identiteter i forskellige systemer, men også kan synkronisere information mellem disse systemer og tilvejebringe en enkelt sandhedskilde, når det er nødvendigt.
Det er især vigtigt nu, hvor tingenes internet (IoT) virkelig begynder at vokse.
En stadig bredere vifte af IoT-enheder betyder ikke kun mere trafik, men også flere anmodninger om autoriseret adgang i begge retninger.
Det er sandsynligvis grunden til, at identitet og sikkerhed er blevet en af ??de vigtigste vækstfaktorer i IoT de sidste par år, som vist i dette diagram fra markedsundersøgelsesfirmaet Statista.
Størrelse på IoT-applikationsmarkedet, 2020 (milliarder euro)
For at få alt dette til at ske har administratorer brug for evnen til at administrere brugere i et miljø, der ændrer sig hurtigt, uden manuelt at udføre handlinger, der i årtier er blevet destilleret ned til enkle ændringer i en brugers gruppemedlemskabsegenskaber i Microsoft AD.
At skulle justere tilladelser, adgang og styreegenskaber manuelt på tværs af snesevis, hundreder eller endda tusinder af brugere hver gang en ny SaaS-tjeneste gøres tilgængelig, kan være uoverkommeligt besværlig, selvom IT drager fordel af automatiseringsteknologier såsom scripting.
Identity-Management-as-a-Service (IDaaS) -løsninger bliver hurtigt et kritisk aspekt af virksomhedsinfrastrukturen af ??et utal af grunde, som vi detaljerer i løbet af denne artikel.
Ironisk nok er måske det ideelle svar på dette problem, i det mindste delvist, at dyppe ned i SaaS-brønden igen og bruge en IDaaS-udbyder.
Forbinder identiteter i skyen
De fleste IDaaS-udbydere bruger en almindelig metode til at håndtere godkendelse ved hjælp af identiteter indeholdt i din organisations eksisterende netværkskatalog.
Den mest udbredte mulighed er at have et stykke software installeret på dit lokale netværk, kendt som en agent, som gør det muligt for IDaaS-udbyderen at kommunikere med din mappe.
På den måde kan administratorer fortsætte med at bruge de samme biblioteksværktøjer, som de altid har, men alligevel problemfrit få adgang til apps og ressourcer uden for virksomhedsnetværket.
Denne kommunikation er typisk en kombination af synkronisering (hvor biblioteksbrugere og grupper trækkes op til tjenesten) og on-demand kommunikation (kendt som føderation) for at udføre godkendelsesanmodninger tilbage mod biblioteket.
De fleste IDaaS-løsninger giver mulighed for at tilpasse synkroniseringsprocessen, især hvilke brugerattributter der må synkroniseres.
Et par grunde til, at du vil tilpasse attributtsynkronisering, er enten sikkerheds- eller privatlivsrelateret (f.eks.
Hvis du har attributter, der kan indeholde fortrolige data) eller på grund af funktionalitet (f.eks.
Hvis du har brug for at gøre tilpassede attributter tilgængelige for IDaaS udbyder for at bruge dem inden for tjenesten).
En anden almindelig metode til at forbinde din lokale mappe med en IDaaS-løsning er at udsætte en standardmappeprotokol eller godkendelsesudbyder for IDaaS.
Nogle eksempler på dette er Lightweight Directory Access Protocol (LDAP), en åben standard eller Active Directory Federation Services (ADFS), en populær men proprietær teknologi tilgængelig fra Microsoft og populær på grund af dens nemme integration med Microsofts meget populære Active Directory.
LDAP er en standardbaseret metode til kommunikation med et bibliotek (enten AD eller et af flere alternativer), mens ADFS er en rolle i Windows Server, der er mere skræddersyet til at tillade webapps at hente specifik information fra AD.
Ikke alle IDaaS-udbydere understøtter disse indstillinger, og i de fleste tilfælde kræver disse indstillinger et højt niveau af konfiguration, herunder firewallregler.
Men disse muligheder kan være en bedre løsning for nogle forretningssager.
For eksempel kan organisationer med øgede sikkerhedskrav eller fortrolighedsregler være nødt til at begrænse den software, der er installeret på domænecontrollere eller have øget kontrol over, hvilke data der er tilgængelige for en ekstern IDaaS-løsning, der i det væsentlige kører på andres servere.
Forbindelse med kunder og partnere
En virksomhed er ikke meget værd uden relationer til partnere og vigtigere, kunder.
I denne tidsalder med teknologi og øjeblikkelig tilfredsstillelse er evnen til at samarbejde med partnere eller give kunderne adgang til deres information, samtidig med at de respekterer deres privatliv og sikkerhed, et kritisk aspekt ved at drive forretning.
Mange af de IDaaS-løsninger, vi har gennemgået, giver mulighed for at give forretningspartnere SSO-adgang til apps gennem en portal, der er identisk med den, der er tilgængelig for normale virksomhedsbrugere.
Dette giver din virksomhed mulighed for at fremme forretningsforhold uden automatisk at skulle give partnere direkte adgang til dit virksomhedsnetværk eller endda oprette en ny app specifikt til partneradgang.
Kundeadministration er et andet område, hvor IDaaS-løsninger kan tilbyde værdi.
De fleste kunder har allerede en eller flere identiteter etableret på sociale medier eller andre populære websteder.
Mange af de løsninger, vi har gennemgået, tilbyder et forbruger-IDaaS-aspekt, som typisk er licenseret separat fra det centrale IDaaS-produkt på grund af potentialet for et stort volumen af ??godkendelser.
Typisk vil en forbruger-IDaaS give en bruger mulighed for at registrere ved hjælp af en konto, de allerede ejer, såsom en Facebook- eller Google-konto, som derefter giver dem adgang til de ressourcer, du autoriserer.
Afhængigt af din virksomheds brugssag kan denne godkendelsesproces give brugerne adgang til en brugerdefineret webapp designet til at give oplysninger, der er specifikke for dem, eller brugere kan omdirigeres til kundeområdet i en CRM-løsning (Customer Relationship Management).
I de fleste tilfælde giver IDaaS-platformen dig muligheder for, hvordan godkendelsesanmodningen behandles, hvilket giver dig mulighed for at bruge en standardprotokol eller give en applikationsprogrammeringsgrænseflade (API), som udviklere kan få adgang til via brugerdefineret kode.
Udvidelse af eksisterende infrastruktur
I mange tilfælde kan en IDaaS-løsning give betydelige fordele for din eksisterende infrastruktur ud over de iboende fordele, der tilbydes ved at bruge sky-apps.
En stor fordel er en åbenbar fordel: styring af identiteter.
Jo større en virksomhed er, jo flere identiteter er der til at styre, og ofte begynder disse identiteter at opholde sig flere steder.
Ofte er der software-apps, der administrerer medarbejdere, deres løn og deres organisationsstruktur.
På samme måde indeholder en eller flere virksomhedsmapper ofte lignende oplysninger.
Virksomheder med flere forretningsinteresser eller filialer kan ofte kræve separate identitetsbutikker; ligeledes kan virksomheder (såsom hospitaler eller industrielle komplekser) ofte også kræve adskillelse af netværksressourcer af overholdelses- eller sikkerhedsmæssige årsager.
En IDaaS-løsning kan lette styringen af ??disse identiteter på flere kildeplaceringer, inklusive levering af selvbetjeningsfunktioner, delegering, godkendelsesarbejdsprocesser og automatisering.
Hver af disse funktioner kan også give et loggeelement til rapporterings- og compliance-revisionsformål.
I mange tilfælde kan IDaaS-appen også levere synkroniserings- eller oversættelsesfunktioner med automatisering, som giver dig mulighed for at administrere en identitet en gang og få disse ændringer til at overføre til andre systemer, hvor det er relevant.
En anden måde, hvorpå IDaaS-løsninger kan hjælpe med din eksisterende infrastruktur, er med apps, der er hostet inden for det lokale netværk.
I mange tilfælde er disse apps kernen i virksomhedens forretning, og det at give adgang til off-site-brugere kræver enten at udsætte appen for internettet med en firewallregel eller først kræve, at brugeren opretter forbindelse til en VPN-tunnel (Virtual Private Network).
Mens et af disse scenarier har deres plads og er perfekt egnet til mange situationer, tilbyder nogle IDaaS-værktøjer en anden mulighed.
Ved at bruge en softwarebaseret agent installeret inden i virksomhedsnetværket kan der fås adgang til en app via en IDaaS SSO-portal på samme måde som en SaaS-app hostet i skyen.
Det meste af det tunge løft i dette scenarie håndteres af en krypteret tunnel mellem IDaaS-udbyderen og softwareagenten installeret på dit netværk.
IDM-sikkerhedsovervejelser
Der er tydeligvis en række sikkerhedsproblemer for it-butikker, der ser på at bruge SaaS-apps og IDaaS-løsninger.
I nogle situationer er det næsten umuligt at undgå brugen af ??SaaS-apps, så det er bydende nødvendigt at finde den bedste metode til at administrere og sikre de konti, der er nødvendige for at bruge disse apps.
Andre organisationer overvejer muligvis ikke SaaS-apps af nødvendighed, så sikkerhedsproblemer skal afvejes mod bekvemmelighed og effektivitet.
Samlet set er der fire centrale sikkerhedsområder, der skal overvejes, når man vurderer IDaaS-udbydere.
Forbindelsesmetoden, der bruges til at integrere en eksisterende virksomhedsmappe, er det første område, der skal overvejes.
Softwarebaserede synkroniseringsagenter understøtter en sikker forbindelse mellem din mappe og IDaaS-udbyderen, men mange it-butikker vil (med rette) tøve med at installere en agent på deres domænekontrollere.
I betragtning af en IDaaS-løsning, der understøtter en godkendelsesstandard som LDAP eller ADFS, kan det være en bedre mulighed, da de tilbyder øget kontrol over godkendelse og sikkerhed.
Det andet område ...
