Vad är Identity Management (IDM)
Den explosiva tillväxten av molnet och i synnerhet Software-as-a-Service (SaaS) -applikationer, som de som blir populära i samarbets- eller projektledningsutrymmet, har förändrat företagets affärsverksamhet.
Att distribuera programvara som en hanterad tjänst som levereras via molnet innebär lägre underhållskostnader, ökad driftstid, snabbare utrullning av funktioner och minskat behov av hårdvara på plats.
Det är bara några av anledningarna till att molnbaserade SaaS-lösningar gör djupa och snabba intrång i uppgifter som tidigare dominerades enbart av intern IT-personal.
Men för att fullt ut förverkliga de besparingar som SaaS-appar erbjuder, behöver företag ett sätt att enkelt skapa och hantera användare (aka, identiteter) över hela sin portfölj av molnappar - portföljer som vanligtvis spänner över flera plattformar och som kan förändras ofta.
IT-administratörer måste ge användarna SSO-funktion (Single Sign-On) över hela organisationens programportfölj, men det är bara en del av problemet.
Att kontrollera åtkomstdjupet i SaaS-appar är lika viktigt som för lokala appar och till och med lokala nätverksresurser.
Så inte bara vem som får tillgång till appen, utan exakt vad de kan komma åt när de använder den appen.
Detta kan vara avgörande i många affärsappar, som definierar användarens roll, autentisering över flera appar och mer avancerade säkerhetsåtgärder som multifaktorautentisering (MFA), som refererar till att bygga autentiseringsmekanismer som kräver mer än bara ett steg , som att ange ett användarnamn och lösenord, men också kräva ytterligare steg, till exempel en fysisk symbol av något slag (till exempel ett smartkort eller USB-minne) eller ett biometriskt mått (till exempel en fingeravtryckssökning).
Lika lika viktigt är hanteringen av befintliga identitetsleverantörer (IDP), såsom Microsoft Active Directory (AD) eller personalresurser (HR).
I många fall kan identitetsinformation hämtas från flera förvar, vilket kräver att ett system inte bara hanterar identiteter i olika system utan också kan synkronisera information mellan dessa system och tillhandahålla en enda sanningskälla när det behövs.
Det är särskilt viktigt nu när Internet of Things (IoT) verkligen börjar växa.
Ett ständigt bredare utbud av IoT-enheter innebär inte bara mer trafik utan också fler förfrågningar om auktoriserad åtkomst i båda riktningarna.
Det är troligen anledningen till att identitet och säkerhet har blivit en av de viktigaste tillväxtfaktorerna i IoT under de senaste åren, vilket visas i detta diagram från marknadsundersökningsföretaget Statista.
Storleken på IoT-applikationsmarknaden, 2020 (miljarder euro)
För att allt detta ska hända behöver administratörer förmågan att hantera användare i en snabbt föränderlig miljö utan att manuellt måste utföra åtgärder som i decennier har destillerats ner till enkla ändringar av användarens gruppmedlemskap i Microsoft AD.
Att behöva justera behörighets-, åtkomst- och kontrollegenskaper manuellt över dussintals, hundratals eller till och med tusentals användare varje gång en ny SaaS-tjänst görs tillgänglig kan vara otroligt besvärligt, även om IT utnyttjar automatiseringsteknik som skript.
Identity-Management-as-a-Service (IDaaS) -lösningar blir snabbt en kritisk aspekt av företagsinfrastrukturen, av en mängd olika skäl som vi kommer att beskriva genom denna artikel.
Ironiskt nog är kanske det perfekta svaret på detta problem, åtminstone delvis, att doppa in i SaaS-brunnen igen och använda en IDaaS-leverantör.
Anslutande identiteter i molnet
De flesta IDaaS-leverantörer använder en vanlig metod för att hantera autentisering genom att använda identiteter som finns i din organisations befintliga nätverkskatalog.
Det vanligaste alternativet är att ha en mjukvara installerad i ditt lokala nätverk, känd som en agent, som gör att IDaaS-leverantören kan kommunicera med din katalog.
På det sättet kan administratörer fortsätta använda samma katalogverktyg som de alltid har, men ändå sömlöst komma åt appar och resurser utanför företagsnätverket.
Denna kommunikation är vanligtvis en kombination av synkronisering (där kataloganvändare och grupper dras upp till tjänsten) och on-demand-kommunikation (känd som federation) för att utföra autentiseringsförfrågningar mot katalogen.
De flesta IDaaS-lösningar erbjuder möjligheten att anpassa synkroniseringsprocessen, särskilt vilka användarattribut som får synkroniseras.
Ett par anledningar till varför du skulle anpassa attributsynkronisering är antingen säkerhets- eller sekretessrelaterade (t.ex.
om du har attribut som kan innehålla konfidentiell data) eller på grund av funktionalitet (t.ex.
om du behöver göra anpassade attribut tillgängliga för IDaaS leverantör för att använda dem inom tjänsten).
En annan vanlig metod för att ansluta din lokala katalog med en IDaaS-lösning är att exponera ett standardkatalogprotokoll eller autentiseringsleverantör till IDaaS.
Några exempel på detta är LDAP (Lightweight Directory Access Protocol), en öppen standard eller Active Directory Federation Services (ADFS), en populär men egenutvecklad teknik tillgänglig från Microsoft och populär på grund av dess enkla integration med Microsofts mycket populära Active Directory.
LDAP är en standardbaserad metod för att kommunicera med en katalog (antingen AD eller ett av flera alternativ) medan ADFS är en roll i Windows Server som skräddarsys mer för att tillåta webbappar att hämta specifik information från AD.
Inte alla IDaaS-leverantörer stöder dessa alternativ och i de flesta fall kräver dessa alternativ en hög konfigurationsnivå, inklusive brandväggsregler.
Men dessa alternativ kan vara en bättre lösning för vissa affärsfall.
Till exempel kan organisationer med ökade säkerhetskrav eller sekretessregler behöva begränsa programvaran installerad på domänkontrollanter eller ha ökad kontroll över vilken data som finns tillgänglig för en extern IDaaS-lösning som i huvudsak körs på någon annans servrar.
Anslutning till kunder och partners
Ett företag är inte värt mycket utan relationer till partners, och ännu viktigare, kunder.
I denna tid av teknik och omedelbar tillfredsställelse är möjligheten att samarbeta med partners eller ge kunder tillgång till deras information, samtidigt som de respekterar deras integritet och säkerhet, en kritisk aspekt av att göra affärer.
Många av de IDaaS-lösningar som vi har granskat erbjuder möjligheten att ge affärspartners SSO-åtkomst till appar via en portal som är identisk med den som är tillgänglig för vanliga företagsanvändare.
Detta gör att ditt företag kan främja affärsförhållanden utan att automatiskt behöva ge partner direkt tillgång till ditt företagsnätverk eller ens ställa upp en ny app speciellt för partneråtkomst.
Kundhantering är ett annat område där IDaaS-lösningar kan erbjuda värde.
De flesta kunder har redan en eller flera identiteter etablerade på sociala medier eller andra populära webbplatser.
Många av de lösningar vi har granskat erbjuder en konsument-IDaaS-aspekt, som vanligtvis licensieras separat från IDaaS-kärnprodukten på grund av potentialen för en hög volym autentisering.
Vanligtvis tillåter en konsument-IDaaS en användare att registrera sig med ett konto som de redan äger, till exempel ett Facebook- eller Google-konto, som sedan ger dem tillgång till de resurser du godkänner.
Beroende på ditt företags användningsfall kan den här autentiseringsprocessen ge användarna tillgång till en anpassad webbapp som är utformad för att tillhandahålla information som är specifik för dem, eller användarna kan omdirigeras till kundområdet i en CRM-lösning (Customer Relationship Management).
I de flesta fall ger IDaaS-plattformen dig alternativ över hur autentiseringsförfrågan behandlas, vilket gör att du kan använda ett standardprotokoll eller tillhandahålla ett applikationsprogrammeringsgränssnitt (API) för utvecklare att komma åt genom anpassad kod.
Öka befintlig infrastruktur
I många fall kan en IDaaS-lösning ge betydande fördelar för din befintliga infrastruktur utöver de inneboende fördelarna med molnappar.
En stor fördel är uppenbar: hantering av identiteter.
Ju större ett företag är, desto fler identiteter finns det att hantera, och ofta börjar dessa identiteter att finnas på flera platser.
Ofta finns det programappar som hanterar anställda, deras lön och deras organisationsstruktur.
På samma sätt innehåller en eller flera företagskataloger ofta liknande information.
Företag med flera affärsintressen eller filialer kan ofta behöva separata identitetsbutiker; På samma sätt kan företag (såsom sjukhus eller industrikomplex) ofta också kräva segregering av nätverksresurser av efterlevnad eller säkerhetsskäl.
En IDaaS-lösning kan underlätta hanteringen av dessa identiteter på flera källplatser, inklusive tillhandahållande av självbetjäningsfunktioner, delegering, arbetsflöden för godkännande och automatisering.
Var och en av dessa funktioner kan också ge ett loggningselement för rapporterings- och efterlevnadsrevisionsändamål.
I många fall kan IDaaS-appen också tillhandahålla synkroniserings- eller översättningsfunktioner med automatisering, vilket gör att du kan hantera en identitet en gång och få dessa ändringar att flyta till andra system där det är lämpligt.
Ett annat sätt att IDaaS-lösningar kan hjälpa till med din befintliga infrastruktur är med appar som finns i det lokala nätverket.
I många fall är dessa appar kärnan i företagsverksamheten och att ge tillgång till användare utanför webbplatsen kräver antingen att appen exponeras för internet med en brandväggsregel eller att användaren först måste ansluta till en virtuell privat nätverkstunnel (VPN).
Medan något av dessa scenarier har sin plats och passar perfekt i många situationer, erbjuder vissa IDaaS-verktyg ett annat alternativ.
Genom att använda en programvarubaserad agent installerad i företagsnätverket kan en app nås via en IDaaS SSO-portal på samma sätt som en SaaS-app som finns i molnet.
De flesta tunga lyft i detta scenario hanteras av en krypterad tunnel mellan IDaaS-leverantören och programvaruagenten installerad i ditt nätverk.
IDM-säkerhetsöverväganden
Uppenbarligen finns det ett antal säkerhetsproblem för IT-butiker som undersöker SaaS-appar och IDaaS-lösningar.
I vissa situationer är det nästan omöjligt att undvika att använda SaaS-appar, så det är absolut nödvändigt att hitta den bästa metoden för att hantera och säkra de konton som behövs för att använda dessa appar.
Andra organisationer kanske inte överväger SaaS-appar av nödvändighet, så säkerhetsproblem måste vägas mot bekvämlighet och effektivitet.
Sammantaget finns det fyra kärnområden för säkerhet att tänka på när man utvärderar IDaaS-leverantörer.
Anslutningsmetoden som används för att integrera en befintlig företagskatalog är det första området att överväga.
Programvarubaserade synkroniseringsagenter stöder en säker anslutning mellan din katalog och IDaaS-leverantören men många IT-butiker kommer (med rätta) att tveka att installera en agent på sina domänkontrollanter.
Att tänka på en IDaaS-lösning som stöder en autentiseringsstandard som LDAP eller ADFS kan vara ett bättre alternativ eftersom de erbjuder ökad kontroll över autentisering och säkerhet.
Det andra området ...
