Wat is identiteitsbeheer (IDM)
De explosieve groei van de cloud en in het bijzonder Software-as-a-Service (SaaS) -toepassingen, zoals die steeds populairder worden op het gebied van samenwerking of projectbeheer, heeft de manier waarop bedrijven zaken doen veranderd.
Het implementeren van software als een beheerde service die via de cloud wordt geleverd, betekent lagere onderhoudskosten, hogere uptime, snellere uitrol van functies en minder behoefte aan hardware op locatie.
Dat zijn slechts enkele van de redenen waarom cloudgebaseerde SaaS-oplossingen diep en snel hun weg vinden naar taken die voorheen uitsluitend werden gedomineerd door eigen IT-personeel.
Maar om de besparingen die worden geboden door SaaS-apps volledig te realiseren, hebben bedrijven een manier nodig om eenvoudig gebruikers (ook wel identiteiten genoemd) te maken en te beheren in hun hele portfolio van cloud-apps - portfolio's die meestal meerdere platforms beslaan en vaak kunnen veranderen.
IT-beheerders moeten gebruikers Single Sign-On (SSO) -mogelijkheden bieden voor de hele portfolio met apps van de organisatie, maar dat is slechts een deel van het probleem.
Het beheersen van de toegang tot SaaS-apps is net zo belangrijk als voor lokale apps en zelfs lokale netwerkbronnen.
Dus niet alleen wie toegang krijgt tot de app, maar precies waartoe ze toegang hebben als ze die app gebruiken.
Dit kan van cruciaal belang zijn in veel zakelijke apps, net als het definiëren van de rol van de gebruiker, authenticatie tussen apps en geavanceerdere beveiligingsmaatregelen zoals multi-factor authentication (MFA), wat verwijst naar het bouwen van authenticatiemechanismen die meer dan slechts een enkele stap vereisen.
zoals het invoeren van een gebruikersnaam en wachtwoord, maar er zijn ook extra stappen nodig, zoals een fysieke token (bijvoorbeeld een smartcard of USB-stick) of een biometrische meting (bijvoorbeeld een vingerafdrukscan).
Even belangrijk is het beheer van bestaande Identity Providers (IDP's) zoals Microsoft Active Directory (AD) of human resources (HR) -software.
In veel gevallen kan identiteitsinformatie afkomstig zijn uit meerdere opslagplaatsen, waardoor een systeem niet alleen identiteiten in verschillende systemen moet beheren, maar ook in staat is om informatie tussen deze systemen te synchroniseren en indien nodig een enkele bron van waarheid te bieden.
Dat is vooral belangrijk nu het Internet of Things (IoT) echt begint te groeien.
Een steeds breder scala aan IoT-apparaten betekent niet alleen meer verkeer, maar ook meer verzoeken om geautoriseerde toegang in beide richtingen.
Dat is waarschijnlijk de reden dat identiteit en beveiliging de afgelopen jaren een van de belangrijkste groeifactoren van het IoT zijn geworden, zoals blijkt uit deze grafiek van marktonderzoeksbureau Statista.
Omvang van IoT-toepassingsmarkt, 2020 (miljarden euro's)
Om dit allemaal mogelijk te maken, moeten beheerders de mogelijkheid hebben om gebruikers te beheren in een snel veranderende omgeving zonder handmatig acties uit te voeren die al decennia lang zijn gedestilleerd tot eenvoudige wijzigingen in de eigenschappen van een gebruikersgroep in Microsoft AD.
Het handmatig aanpassen van machtigingen, toegangs- en controle-eigenschappen voor tientallen, honderden of zelfs duizenden gebruikers elke keer dat een nieuwe SaaS-service beschikbaar komt, kan onbetaalbaar zijn, zelfs als IT profiteert van automatiseringstechnologieën zoals scripting.
Identity-Management-as-a-Service (IDaaS) -oplossingen worden in snel tempo een cruciaal aspect van de bedrijfsinfrastructuur, om een ??groot aantal redenen zullen we in de loop van dit artikel nader ingaan.
Ironisch genoeg is het ideale antwoord op dit probleem, althans gedeeltelijk, om weer in de SaaS-bron te duiken en een IDaaS-provider te gebruiken.
Identiteiten in de cloud verbinden
De meeste IDaaS-providers gebruiken een algemene methode om authenticatie af te handelen door identiteiten te gebruiken die zijn opgenomen in de bestaande netwerkdirectory van uw organisatie.
De meest voorkomende optie is om een ??stukje software op uw lokale netwerk te installeren, een zogenaamde agent, waarmee de IDaaS-provider kan communiceren met uw directory.
Op die manier kunnen beheerders dezelfde directory-tools blijven gebruiken die ze altijd hebben, maar toch naadloos toegang krijgen tot apps en bronnen buiten het bedrijfsnetwerk.
Deze communicatie is doorgaans een combinatie van synchronisatie (waarbij directorygebruikers en groepen naar de service worden getrokken) en communicatie op aanvraag (bekend als federatie) om verificatieverzoeken tegen de directory uit te voeren.
De meeste IDaaS-oplossingen bieden de mogelijkheid om het synchronisatieproces aan te passen, met name welke gebruikersattributen mogen worden gesynchroniseerd.
Een aantal redenen waarom u kenmerksynchronisatie zou aanpassen, zijn ofwel beveiligings- of privacygerelateerd (bijv.
Als u kenmerken heeft die vertrouwelijke gegevens bevatten) of vanwege functionaliteit (bijv.
Als u aangepaste kenmerken beschikbaar moet maken voor de IDaaS provider om ze binnen de dienst te gebruiken).
Een andere veelgebruikte methode om uw lokale directory met een IDaaS-oplossing te verbinden, is door een standaard directoryprotocol of authenticatieleverancier beschikbaar te stellen aan de IDaaS.
Enkele voorbeelden hiervan zijn het Lightweight Directory Access Protocol (LDAP), een open standaard, of Active Directory Federation Services (ADFS), een populaire maar gepatenteerde technologie die beschikbaar is bij Microsoft en populair is vanwege de eenvoudige integratie met de zeer populaire Active Directory van Microsoft.
LDAP is een op standaarden gebaseerde methode om te communiceren met een directory (ofwel AD of een van de vele alternatieven), terwijl ADFS een rol is in Windows Server die meer is toegespitst op het toestaan ??dat webapps specifieke informatie uit AD halen.
Niet alle IDaaS-providers ondersteunen deze opties en in de meeste gevallen vereisen deze opties een hoog configuratieniveau, inclusief firewallregels.
Maar deze opties kunnen voor sommige businesscases een betere oplossing zijn.
Organisaties met strengere beveiligingseisen of privacyregels moeten mogelijk de software die op domeincontrollers is geïnstalleerd beperken of meer controle krijgen over welke gegevens beschikbaar zijn voor een externe IDaaS-oplossing die in wezen op de servers van iemand anders draait.
Verbinding maken met klanten en partners
Een bedrijf is niet veel waard zonder relaties met partners, en nog belangrijker, klanten.
In dit tijdperk van technologie en onmiddellijke bevrediging is de mogelijkheid om samen te werken met partners of om klanten toegang te geven tot hun informatie en tegelijkertijd hun privacy en veiligheid te respecteren, een cruciaal aspect van zakendoen.
Veel van de IDaaS-oplossingen die we hebben besproken, bieden de mogelijkheid om zakenpartners SSO-toegang tot apps te bieden via een portaal dat functioneel identiek is aan het portaal dat beschikbaar is voor normale zakelijke gebruikers.
Hierdoor kan uw bedrijf zakelijke relaties onderhouden zonder dat u partners automatisch directe toegang tot uw bedrijfsnetwerk hoeft te geven of zelfs een nieuwe app speciaal voor partnertoegang hoeft op te zetten.
Klantbeheer is een ander gebied waarop IDaaS-oplossingen waarde kunnen bieden.
De meeste klanten hebben al een of meer identiteiten vastgesteld op sociale media of andere populaire websites.
Veel van de oplossingen die we hebben besproken, bieden een consumenten-IDaaS-aspect, dat doorgaans afzonderlijk wordt gelicentieerd van het kern-IDaaS-product vanwege het potentieel voor een groot aantal authenticaties.
Doorgaans stelt een consumenten-IDaaS een gebruiker in staat zich te registreren door een account te gebruiken dat hij al heeft, zoals een Facebook- of Google-account, dat hem vervolgens toegang geeft tot de bronnen die u autoriseert.
Afhankelijk van uw zakelijke gebruikssituatie, kan dit authenticatieproces gebruikers toegang geven tot een aangepaste webapp die is ontworpen om informatie te verstrekken die specifiek voor hen is, of kunnen gebruikers worden omgeleid naar het klantgedeelte van een CRM-oplossing (Customer Relationship Management).
In de meeste gevallen biedt het IDaaS-platform u opties over hoe het authenticatieverzoek wordt verwerkt, waardoor u een standaardprotocol kunt gebruiken of een Application Programming Interface (API) kunt bieden waar ontwikkelaars toegang toe hebben via aangepaste code.
Bestaande infrastructuur uitbreiden
In veel gevallen kan een IDaaS-oplossing aanzienlijke voordelen bieden voor uw bestaande infrastructuur, bovenop de inherente voordelen van het gebruik van cloud-apps.
Een groot voordeel ligt voor de hand: het beheren van identiteiten.
Hoe groter een bedrijf, hoe meer identiteiten er te beheren zijn, en vaak beginnen deze identiteiten zich op meerdere plaatsen te vestigen.
Vaak zijn er software-apps die werknemers, hun salaris en hun organisatiestructuur beheren.
Evenzo bevatten een of meer bedrijfstelefoonboeken vaak vergelijkbare informatie.
Bedrijven met meerdere zakelijke belangen of filialen hebben vaak aparte identiteitsarchieven nodig; Evenzo kunnen bedrijven (zoals ziekenhuizen of industriële complexen) vaak ook scheiding van netwerkbronnen vereisen om nalevings- of veiligheidsredenen.
Een IDaaS-oplossing kan het beheer van deze identiteiten op meerdere bronlocaties vergemakkelijken, inclusief selfservice-mogelijkheden, delegatie, goedkeuringsworkflows en automatisering.
Elk van deze functies kan ook een logboekelement bieden voor rapportage- en nalevingscontroledoeleinden.
In veel gevallen kan de IDaaS-app ook synchronisatie- of vertaalmogelijkheden bieden met automatisering, waardoor u een identiteit één keer kunt beheren en die wijzigingen waar nodig naar andere systemen kunt laten stromen.
Een andere manier waarop IDaaS-oplossingen kunnen helpen met uw bestaande infrastructuur, zijn met apps die worden gehost binnen het lokale netwerk.
In veel gevallen vormen deze apps de kern van het bedrijf en om toegang te bieden aan externe gebruikers, moet de app ofwel via een firewallregel op internet worden geopend, ofwel moet de gebruiker eerst verbinding maken met een VPN-tunnel (Virtual Private Network).
Hoewel elk van deze scenario's zijn plaats heeft en perfect geschikt is voor veel situaties, bieden sommige IDaaS-tools een andere optie.
Door een softwaregebaseerde agent te gebruiken die in het bedrijfsnetwerk is geïnstalleerd, kan een app worden geopend via een IDaaS SSO-portal op dezelfde manier als een SaaS-app die in de cloud wordt gehost.
Het meeste zware werk in dit scenario wordt afgehandeld door een gecodeerde tunnel tussen de IDaaS-provider en de softwareagent die op uw netwerk is geïnstalleerd.
IDM-beveiligingsoverwegingen
Het is duidelijk dat er een aantal beveiligingsproblemen zijn voor IT-winkels die SaaS-apps en IDaaS-oplossingen willen gebruiken.
In sommige situaties is het vrijwel onmogelijk om het gebruik van SaaS-apps te vermijden, dus het is absoluut noodzakelijk om de beste methode te vinden om de accounts te beheren en te beveiligen die nodig zijn om deze apps te gebruiken.
Andere organisaties overwegen SaaS-apps misschien niet uit noodzaak, dus beveiligingsproblemen moeten worden afgewogen tegen gemak en efficiëntie.
Over het algemeen zijn er vier kerngebieden van beveiliging waarmee u rekening moet houden bij het evalueren van IDaaS-providers.
De verbindingsmethode die wordt gebruikt om een ??bestaande bedrijfstelefoonlijst te integreren, is het eerste punt dat moet worden overwogen.
Softwaregebaseerde synchronisatieagenten ondersteunen een veilige verbinding tussen uw directory en de IDaaS-provider, maar veel IT-winkels zullen (terecht) aarzelen om een ??agent op hun domeincontrollers te installeren.
Het overwegen van een IDaaS-oplossing die een authenticatiestandaard ondersteunt, zoals LDAP of ADFS, is wellicht een betere optie, aangezien deze meer controle bieden over authenticatie en beveiliging.
Het tweede gebied ...
