IAM cloud-applikationer – 4 ting, som IT-afdelingen bør overveje

Tags: Cloud, Authentication, Identity and Access Management

Skyen spiller en vigtig rolle i virksomhedernes daglige aktiviteter. I dag anskaffes applikationer og tjenester i udbredt grad som cloud-tjenester. Det er hurtigt at indføre nye værktøjer fra skyen. Især når behovet er stort, og tiden er knap, er det nærliggende at installere applikationer fra skyen. Der introduceres hele tiden nye tjenester – og ofte helt uden at man rådfører sig med IT-afdelingen. Når der konstant introduceres nye applikationer, systemer og tjenester, øges antallet af bruger-ID'er og login-hændelser tilsvarende.

For en medarbejder, der bruger flere forskellige applikationer, betyder tit en rodet samling af bruger-ID'er og tidskrævende login-processer, der skal gentages flere gange om dagen. For IT-afdelingen er hver eneste nye applikation ensbetydende med endnu en teknologi, måske en ny login-metode og nye bruger-ID'er, der skal administreres. En fragmenteret applikationsarkitektur kan give mange vanskeligheder med identitets- og adgangsadministration (IAM). Overvej disse fire ting med hensyn til IAM, når din virksomhed bruger cloud-baserede applikationer.

 

IAM-pilvisovelluksissa.jpg

 

1. Brugeroplevelsen

Slutbrugernes arbejde bliver mere besværligt, hvis de altid skal logge på flere applikationer én ad gangen, måske flere gange i løbet af en dag. For at undgå særskilt login til hver applikation og hvert system, er det en god idé at indføre single sign-on for brugerne. Det bliver langt nemmere at logge på applikationer, hvis man bruger et single sign-on dashboard, hvor alle de applikationer, der er vigtige for brugeren, er umiddelbart tilgængelige.

Indførelsen af en centraliseret og forenet løsning til identitetsadministration gør det muligt at aktivere single sign-on både for lokalt afviklede og cloud-baserede applikationer. Det giver ikke kun brugerne mulighed for hurtigt at få adgang til alle de nødvendige applikationer, men det forbedrer også administrationsmulighederne set fra IT-perspektivet: Identitets- og adgangsadministration for alle applikationer er samlet på ét sted.

 

2. Godkendelsesmetoder

Hvis du bruger flere cloud-applikationer fra flere forskellige leverandører, vil du med sikkerhed stå over for flere forskellige metoder til identitetsgodkendelse. Af hensyn til informationssikkerheden skal adgangen til organisationens forretningskritiske systemer altid kræve stærk godkendelse. Stærk godkendelse kan for eksempel gennemføres ved hjælp af TUPAS-godkendelse. Login til mindre kritiske applikationer kan derefter foregå med kun ét bruger-ID og én adgangskode.

Identitets- og adgangsadministration kan administreres, selvom der er forskellige godkendelsesniveauer. Faktisk giver en god IAM-løsning mulighed for forskellige godkendelsesmetoder, for eksempel legitimationsoplysninger til netbank eller konti på sociale medier, samt forskellige godkendelsesniveauer. Derfor bør et identitetsadministrationssystem understøtte flere forskellige teknologityper, for eksempel OpenID, SAML 2.0 og OAuth.

 

3. Tildeling af brugerroller

En organisation har mange forskellige roller, og adgangsrettighederne til applikationerne bør afspejle brugernes opgaver. Hvis man anvender mange cloud-applikationer, er det dog meget tidskrævende at definere forskellige adgangsrettigheder for forskellige brugere i hver enkelt applikation. For slet ikke at tale om nye situationer, hvor en bruger har brug for flere rettigheder her og nu, eller hvor en brugers rettigheder skal begrænses midlertidigt i bestemte systemer.

Derfor bør IT-afdelingen tildele adgang og brugerrettigheder på grundlag af rollerne – ikke på grundlag af brugerne. På den måde skal der ikke foretages manuelle ændringer, hver gang en medarbejder udnævnes, eller en person får nye opgaver. I stedet ændres det hele automatisk, når rollerne ændres. Tildeling af rollespecifikke rettigheder er mulig, når identitets- og adgangsadministrationen er centraliseret i et system, hvor man har defineret rollerne for hver enkelt persons roller samt de adgangstyper og rettigheder, som hver rolle har i de forskellige systemer.

 

4. Cloud-baseret eller lokalt afviklet?

Identitetsadministration kan også selv være cloud-baseret. I forbindelse med cloud-applikationer giver det ikke mening at afvikle identitets- og adgangsadministrationen lokalt i stedet for at bruge en IDaaS-model (Identity as a Service, identitet som en tjeneste), som er velegnet til cloud-miljøet. I mange organisationer er IAM endnu ikke i skyen, og den dækker måske ikke engang alle de applikationer og systemer, som virksomheden bruger. Desuden indeholder en løsning, der bruger stærk godkendelse, måske sin egen komponent, fuldstændigt adskilt fra den øvrige identitets- og adgangsstyring.

Ud over cloud-baserede applikationer skal det også være muligt at knytte sine egne lokale systemer til identitets- og adgangssystemet. På den måde bliver single sign-on mulig for alle applikationer – uanset om de afvikles i skyen eller på egen server. Desuden skal platformen dække flere forskellige godkendelsesmetoder, så det er muligt for IT-afdelingen at administrere logins til alle applikationer centralt.

 

Kostenloser IAM Leitfaden

 

Jukka Papinaho

Written by Jukka Papinaho

I am senior product manager @Efecte responsible of Efecte Identity Management.

Join the mailing list! Get product updates and expert articles.

Check out also our English blog. You will find more useful, industry-related posts.