Mis on identiteedihaldus (IDM)
Pilvede ja eriti tarkvara-teenusena (SaaS) plahvatuslik kasv, nagu ka need, mis muutuvad populaarseks koostöö- või projektijuhtimisruumis, on muutnud ettevõtete äritegevust.
Tarkvara juurutamine pilve kaudu pakutava hallatud teenusena tähendab madalamaid hoolduskulusid, suuremat tööaega, kiiremat funktsioonide juurutamist ja väiksemat vajadust kohapealse riistvara järele.
Need on vaid mõned põhjused, miks pilvepõhised SaaS-lahendused teevad sügava ja kiire sissetungi ülesannetele, milles varem domineerisid ainult ettevõttesisesed IT-töötajad.
Kuid SaaS-i rakenduste pakutava kokkuhoiu täielikuks realiseerimiseks vajavad ettevõtted võimalust hõlpsasti luua ja hallata kasutajaid (aka identiteete) kogu pilverakenduste portfellis - portfellid, mis tavaliselt hõlmavad mitut platvormi ja võivad sageli muutuda.
IT-administraatorid peavad andma kasutajatele ühekordse sisselogimise (SSO) võimaluse kogu organisatsiooni rakenduste portfellis, kuid see on ainult osa probleemist.
Juurdepääsu sügavuse kontrollimine SaaS-i rakendustes on sama oluline kui asutusesiseste rakenduste ja isegi kohaliku võrgu ressursside jaoks.
Nii et mitte ainult see, kes saab rakendusele juurdepääsu, vaid ka see, millele ta pääseb juurde, kui ta seda rakendust kasutab.
See võib olla kriitiline paljudes ärirakendustes, nagu ka kasutaja rolli määratlemine, rakendusteülene autentimine ja täpsemad turvameetmed, näiteks mitmeteguriline autentimine (MFA), mis viitab autentimismehhanismide loomisele, mis nõuavad rohkem kui ühte sammu , nagu kasutajanime ja parooli sisestamine, kuid nõuavad ka täiendavaid samme, näiteks mingisugust füüsilist märki (näiteks kiipkaarti või USB-mälupulka) või biomeetrilist mõõdet (näiteks sõrmejäljeskannimine).
Sama oluline on ka olemasolevate identiteedipakkujate (IDP) haldamine, näiteks Microsofti Active Directory (AD) või inimressursside (HR) tarkvara.
Paljudel juhtudel võidakse identiteediteavet hankida mitmest hoidlast, mis nõuab, et süsteem mitte ainult ei haldaks erinevates süsteemides olevaid identiteete, vaid suudaks ka nende süsteemide vahel teavet sünkroonida ja vajadusel pakkuda ühtset tõeallikat.
See on eriti oluline nüüd, kui asjade Internet (IoT) hakkab tõepoolest kasvama.
Üha laiem IoT-seadmete hulk ei tähenda mitte ainult suuremat liiklust, vaid ka rohkem taotlusi volitatud juurdepääsu saamiseks mõlemas suunas.
See on tõenäoliselt põhjus, miks identiteet ja turvalisus on viimastel aastatel muutunud IoT üheks peamiseks kasvuteguriks, nagu näitab turu-uuringufirma Statista diagramm.
IoT rakendusturu suurus, 2020 (miljardid eurod)
Selle kõige elluviimiseks vajavad administraatorid võimalust hallata kasutajaid kiiresti muutuvas keskkonnas, ilma et peaksid käsitsi tegema toiminguid, mis on aastakümneid olnud lihtsad muudatused kasutaja grupi liikmelisuse atribuutides Microsoft AD-s.
Kümnete, sadade või isegi tuhandete kasutajate õiguste, juurdepääsu ja juhtimisomaduste käsitsi kohandamine iga kord, kui uus SaaS-teenus kättesaadavaks tehakse, võib olla ülemäära tülikas isegi siis, kui IT kasutab ära selliseid automatiseerimistehnoloogiaid nagu skriptimine.
Identiteedihalduse teenusena (IDaaS) lahendused on kiiresti muutumas ettevõtte infrastruktuuri kriitiliseks aspektiks, mida loendamatutel põhjustel üksikasjalikult kirjeldame selle artikli käigus.
Irooniline, et võib-olla on ideaalne vastus sellele probleemile, vähemalt osaliselt, uuesti SaaS-i kaevamine ja IDaaS-i pakkuja kasutamine.
Identiteetide ühendamine pilves
Enamik IDaaS-teenuse pakkujaid kasutab autentimise käsitlemiseks tavalist meetodit, kasutades teie organisatsiooni olemasolevas võrgukataloogis olevaid identiteete.
Kõige levinum variant on lasta kohalikku võrku installida tarkvara, mis on tuntud kui agent, mis võimaldab IDaaS-teenuse pakkujal teie kataloogiga suhelda.
Nii saavad administraatorid jätkuvalt kasutada samu kataloogitööriistu, mis neil alati on, kuid pääsevad sujuvalt juurde rakendustele ja ressurssidele väljaspool ettevõtte võrku.
See suhtlus on tavaliselt sünkroonimise (kus kataloogi kasutajad ja rühmad teenuseni tõmmatakse) ja tellitavate suhete (tuntud kui föderatsioon) kombinatsioon, et täita autentimisnõudeid kataloogi vastu.
Enamik IDaaS-lahendusi pakub võimalust sünkroonimisprotsessi kohandada, eriti milliseid kasutaja atribuute on lubatud sünkroonida.
Paar põhjust, miks atribuutide sünkroonimist kohandada, on seotud turvalisuse või privaatsusega (nt juhul, kui teil on atribuute, mis võivad sisaldada konfidentsiaalseid andmeid) või funktsionaalsuse tõttu (nt kui peate kohandatud atribuudid tegema IDaaS-ile kättesaadavaks) teenuse pakkujale, et neid teenuses kasutada).
Teine levinud meetod teie asutusesisese kataloogi ühendamiseks IDaaS-i lahendusega on standardse kataloogiprotokolli või autentimisteenuse pakkuja eksponeerimine IDaaS-ile.
Mõned näited selle kohta on avatud standardiga kergekaaluline kataloogipääsuprotokoll (LDAP) või Active Directory Federation Services (ADFS) - populaarne, kuid omandatud tehnoloogia, mis on saadaval Microsofti poolt ja mis on populaarne tänu hõlpsale integreerimisele Microsofti väga populaarse Active Directoryga.
LDAP on standardipõhine meetod kataloogiga suhtlemiseks (kas AD või üks mitmest alternatiivist), samas kui ADFS on Windows Serveri roll, mis on kohandatud pigem selleks, et võimaldada veebirakendustel AD-st spetsiifilist teavet hankida.
Kõik IDaaS-i pakkujad ei toeta neid suvandeid ja enamasti vajavad need suvandid kõrget konfiguratsiooni, sealhulgas tulemüüri reegleid.
Kuid need võimalused võivad olla paremad lahendused mõnel ärijuhtumil.
Näiteks võivad organisatsioonid, kellel on kõrgemad turvanõuded või privaatsuseeskirjad, võib-olla piirata domeenikontrolleritesse installitud tarkvara või neil on suurem kontroll selle üle, millised andmed on saadaval välisele IDaaS-lahendusele, mis sisuliselt töötab kellegi teise serverites.
Klientide ja partneritega ühenduse loomine
Äri ei ole palju väärt ilma suheteta partneritega ja mis veelgi olulisem - klientidega.
Selles tehnoloogia ja kohese rahulduse ajastul on äritegevuse kriitiline aspekt võime teha koostööd partneritega või pakkuda klientidele juurdepääsu oma teabele, austades samal ajal nende privaatsust ja turvalisust.
Paljud meie vaadatud IDaaS-lahendused pakuvad võimalust pakkuda äripartneritele SSO-le juurdepääsu rakendustele portaali kaudu, mis on funktsionaalselt identne tavalistele ärikasutajatele kättesaadavaga.
See võimaldab teie ettevõttel edendada ärisuhteid, ilma et peaksite partneritele automaatselt otsest juurdepääsu oma ettevõtte võrgule pakkuma või isegi uut rakendust spetsiaalselt partneri juurdepääsuks püsti panema.
Kliendihaldus on veel üks valdkond, kus IDaaS-i lahendused saavad väärtust pakkuda.
Enamikul klientidest on juba sotsiaalmeedias või muudel populaarsetel veebisaitidel loodud üks või mitu isikut.
Paljud meie poolt läbi vaadatud lahendused pakuvad IDaaS-i tarbija aspekti, mis on suure autentimismahu tõttu litsentsitud tavaliselt IDaaS-põhitootest eraldi.
Tavaliselt võimaldab tarbija IDaaS kasutajal registreeruda, kasutades juba talle kuuluvat kontot, näiteks Facebooki või Google'i kontot, mis annab neile seejärel juurdepääsu teie volitatud ressurssidele.
Sõltuvalt teie ettevõtte kasutuse juhtumist võib see autentimisprotsess lubada kasutajatel juurdepääsu kohandatud veebirakendusele, mis on loodud neile spetsiifilise teabe pakkumiseks, või suunata kasutajad kliendisuhete haldamise (CRM) lahenduse kliendialale.
Enamasti annab IDaaS-i platvorm teile valikud selle kohta, kuidas autentimistaotlust töödeldakse, mis võimaldab teil kasutada standardset protokolli või pakkuda arendajatele juurdepääsu kohandatud koodi kaudu rakenduste programmeerimisliidesele (API).
Olemasoleva infrastruktuuri laiendamine
Paljudel juhtudel võib IDaaS-lahendus pakkuda teie olemasolevale infrastruktuurile märkimisväärseid eeliseid lisaks pilverakenduste kasutamisest tulenevatele eelistele.
Üks suur eelis on ilmne: identiteetide haldamine.
Mida suurem on ettevõte, seda rohkem on identiteete hallata ja sageli hakkavad need identiteedid elama mitmes kohas.
Sageli on tarkvararakendusi, mis haldavad töötajaid, nende palka ja organisatsioonilist struktuuri.
Samuti sisaldab üks või mitu ettevõtte kataloogi sageli sarnast teavet.
Ettevõtted, millel on mitu ärihuvi või filiaal, võivad sageli vajada eraldi identiteedipoode; samamoodi võivad ettevõtted (näiteks haiglad või tööstuskompleksid) nõuete järgimise või ohutuse huvides sageli nõuda võrguressursside eraldamist.
IDaaS-lahendus võib hõlbustada nende identiteetide haldamist mitmes allikakohas, sealhulgas pakkuda iseteenindusvõimalusi, delegeerimist, kinnitamise töövooge ja automatiseerimist.
Kõik need funktsioonid võivad pakkuda ka logimise elementi aruandluse ja vastavuse auditi eesmärgil.
Paljudel juhtudel võib IDaaS-i rakendus pakkuda ka sünkroonimis- või tõlkevõimalusi koos automatiseerimisega, mis võimaldab teil identiteeti üks kord hallata ja lasta need muudatused vajaduse korral teistesse süsteemidesse voolata.
Teine võimalus, kuidas IDaaS-lahendused aitavad teie olemasolevat infrastruktuuri, on kohalikus võrgus hostitud rakendused.
Paljudel juhtudel on need rakendused ettevõtte äritegevuse keskmes ja saidivälistele kasutajatele juurdepääsu pakkumine nõuab kas rakenduse paljastamist tulemüüri reegliga Interneti kaudu või esmalt kasutajalt ühenduse loomist virtuaalse eravõrgu (VPN) tunneliga.
Kuigi kummalgi neist stsenaariumidest on oma koht ja need sobivad suurepäraselt paljudesse olukordadesse, pakuvad mõned IDaaS-i tööriistad teist võimalust.
Ettevõtte võrku installitud tarkvarapõhise agendi abil pääseb rakendusele juurde IDaaSi SSO portaali kaudu samamoodi nagu pilves hostitud SaaS-i rakendust.
Enamiku selle stsenaariumi rasketest tõstetest haldab krüpteeritud tunnel IDaaS-i pakkuja ja teie võrku installitud tarkvaraagendi vahel.
IDM-i turvalisuse kaalutlused
On selge, et SaaS-i rakenduste ja IDaaS-lahenduste kasutamist uurivatel IT-poodidel on mitmeid turvalisuse probleeme.
Mõnes olukorras on SaaS-i rakenduste kasutamise vältimine võimatu, seega on hädavajalik leida parim viis nende rakenduste kasutamiseks vajalike kontode haldamiseks ja turvamiseks.
Teised organisatsioonid ei pruugi SaaS-i rakendusi vajaduse tõttu kaaluda, seega tuleb turvalisusega seotud probleeme kaaluda mugavuse ja tõhususega.
Üldiselt on IDaaS-i pakkujate hindamisel arvestada nelja peamise turbevaldkonnaga.
Esimesena tuleks kaaluda olemasoleva ettevõtte kataloogi integreerimiseks kasutatavat ühenduse meetodit.
Tarkvarapõhised sünkroonimisagendid toetavad turvalist ühendust teie kataloogi ja IDaaS-i pakkuja vahel, kuid paljudel IT-poodidel on (õigustatult) kõhklusi agendi installimisega oma domeenikontrolleridesse.
Kui kaaluda IDaaS-lahendust, mis toetab autentimisstandardit, näiteks LDAP või ADFS, võib see olla parem valik, kuna need pakuvad paremat kontrolli autentimise ja turvalisuse üle.
Teine ala ...
