Monille organisaatioille identiteetin- ja pääsynhallinta (Identity and Access Management, IAM) on keskittynyt vain oman organisaation sisäisessä käytössä olleisiin järjestelmiin. IT-osasto on huolehtinut niin tilien suojaamisesta kuin salasanojen palauttamisesta, ja käyttäjien tyytyväisyys on pyritty varmistamaan mahdollisimman nopealla vasteajalla. IT-asiantuntijat ovat siis tapelleet aikaa vastaan ratkoen tikettejä mahdollisimman nopeasti, jotta organisaation työntekijät pääsevät jatkamaan työtään.
Identiteetin- ja pääsynhallinnassa ei kuitenkaan enää ole useinkaan kyse vain yrityksen sisäisten käyttäjien tietojen ja käyttöoikeuksien turvallisesta hallinnasta. Kun palvelut digitalisoituvat ja mm. sähköinen asiointi, sähköinen kauppa ja sähköiset palvelut ovat osa jokapäiväistä elämää, saattavat nuo samat järjestelmät ollakin yhtäkkiä niin yhteistyökumppaneiden kuin loppuasiakkaidenkin käytössä. IT:n pitää siis huolehtia oman organisaation lisäksi myös mahdollisten asiakkaiden ja partnereiden pääsynhallinnasta.
Kun organisaatio herää siihen, että onkin useampi eri osapuoli, joilla täytyy olla helppo pääsy ja sopivat oikeudet eri sovelluksiin ja järjestelmiin, ei vanha tikettijärjestelmä ja manuaalinen työskentely tahdo enää taipua uuteen työmäärään. Kun palvelut ovat sähköistyneet ja yhä useampi sovellus toimii pilvestä käsin, kannattaa IAMiin ottaa samanlainen, ketterä ja kevyt lähestymistapa. Näin voidaan mahdollistaa eri osapuolien pääsy järjestelmiin ja sovelluksiin niin, että kokonaisuus pysyy edelleen hallinnassa.
1. Mahdollista itsepalvelu
Kun huomataan, että on tarve avata portit myös organisaation ulkopuolelle ja antaa esimerkiksi kumppanille pääsy järjestelmään, joka on aiemmin ollut yrityksen sisäisessä käytössä, kannattaa heti alkaa hahmottamaan isompaa kuvaa. Eli sen sijaan, että käydään manuaalisesti luomassa kumppanille käyttäjätilejä ja asettamassa oikeuksia, kannattaa pohtia kuinka kasvavaa käyttäjätunnusten määrää jatkossa hallinnoidaan. Mitä jos yhteistyökumppanien lisäksi halutaan mahdollistaa myös loppuasiakkaiden pääsy tiettyihin järjestelmiin? Tällöin puhutaan muutamien uusien tilien sijaan sadoista tai tuhansista hallittavista käyttäjätileistä.
Viimeistään tässä vaiheessa, kun käyttäjiä alkaa olla enemmän kuin organisaation omat työntekijät, kannattaa mahdollistaa itsepalvelu eli mm. käyttäjien omatoiminen rekisteröityminen järjestelmiin. Samassa on järkevää automatisoida salasanojen resetointi sekä mahdollistaa käyttäjälle kertakirjautuminen eli single sign-on. Näin käyttäjät pääsevät kaikkiin tarvittaviin sovelluksiin yhdellä kirjautumiskerralla, eikä unohtuneen salasanankaan palauttamista tarvitse jäädä odottelemaan. Mikä parasta, tämä vapauttaa valtavasti IT-osaston aikaa.
2. Älä tee eri käyttäjäryhmien pääsynhallintaa erikseen
Kun IT:n täytyy varmistaa, että eri osapuolilla (esimerkiksi sisäiset käyttäjät, asiakkaat ja kumppanit) on tarvittavat pääsyoikeudet järjestelmiin ja sovelluksiin, saatetaan niitä lähteä hallitsemaan erikseen. Tämä johtuu usein siitä, että kunkin käyttäjäryhmän kohdalla voi olla erilaisia vaatimuksia identiteetin- ja pääsynhallinnan osalta: yhteistyökumppaneiden kanssa työskentely saattaa esimerkiksi olla projektiluontoista, jolloin oikeudet halutaan myöntää vain määräajaksi. Loppukäyttäjät taas saattavat olla kuluttaja-asiakkaita, joille halutaan mahdollistaa sisäänkirjautuminen Facebook-tunnuksilla. Oman organisaation käyttäjiä taas hallinnoidaan ehkä samaan tapaan kuin ennenkin.
Jos jokaiseen tarpeeseen tuotetaan oma ratkaisu, ei lopputuloksena ole helposti hallittava kokonaisuus, vaan IT:n painajainen. Kun hallittavana on useita palveluita, jotka on suunnattu niin sisäiseen kuin ulkoiseen käyttöön, kannattaa identiteetin- ja pääsynhallinta ehdottomasti keskittää yhdelle ja samalle alustalle. Markkinoilla on todella monipuolisia ratkaisuja pääsyoikeuksien ja roolitusten hallintaan, jotka taipuvat kaikkiin käyttötilanteisiin. Tällöin ei tarvitse tehdä kompromisseja käyttökokemuksen tai ominaisuuksien osalta, mutta IT-osastolla pysyvät langat käsissä, kun IAM-kokonaisuutta hallitaan keskitetysti yhdestä paikasta.
3. Huomioi monet kirjautumisen keinot
Iso osa useiden eri käyttäjäryhmien pääsynhallintaa on määritellä tavat, joilla käyttäjät pääsevät kirjautumaan. Etenkin loppukäyttäjää ajatellen Bring Your Own Identity (BYOI) eli mahdollisuus kirjautua palveluun sisään käyttäjätunnuksella ja salasanalla, jotka käyttäjällä on jo olemassa johonkin toiseen palveluun, on kätevämpää kuin järjestelmä- tai sovelluskohtaisten tunnusten luominen. Tällaisessa tunnistautumisessa voidaankin hyödyntää esimerkiksi Facebook-tunnuksia.
Sama pätee myös yhteistyökumppaneihin ja organisaation omiin työntekijöihin. Kirjautumisesta kannattaa tehdä mahdollisimman helppoa ja tunnistautumisen keinoja tarjota useita erilaisia. Organisaation bisneskriittisiin järjestelmiin kirjautuminen kannattaa kuitenkin tehdä aina vahvan tunnistautumisen kautta, kuten esimerkiksi TUPAS-tunnistautumisella. Käyttäjillä voi olla myös tarve hoitaa ja asioida toisen henkilön puolesta, esimerkiksi työpaikalla lomasijaisuuksien aikana. Pohdi siis, tarvitsetko myös teknologiaa, joka tukee sähköisiä valtakirjoja.
4. Valmistaudu tulevaan
Digitalisaation myötä on arkipäivää, että niin API-rajapinnat kuin kirjautumismahdollisuudetkin ovat auki myös yrityksen ulkopuolisille käyttäjille. Kun organisaatiossa tehdään suunnitelmaa pääsyn- ja identiteetinhallintaan, on tärkeää huomioida myös tulevaisuuden näkymät. Jos palvelu ei ole vielä auki loppuasiakkaille, voiko se muutaman vuoden päästä olla? Tämä on tärkeää huomioida, jotta pääsynhallintaan voidaan valita sellainen järjestelmä, joka tukee tarpeita jatkossa.
Organisaation omat työntekijät, yhteistyökumppanit ja asiakkaat eivät kuitenkaan ole ainoat käyttäjäryhmät. Onko teillä jo laitteita, jotka ovat osa yrityksen IT-infrastruktuuria? Internet of Thingsin (IoT) myötä internetiin liitetyt laitteet voivat mm. kerätä ja lähettää tietoa järjestelmiin. Laitteiden ja koneiden hyödyntäminen on tunnettu mahdollisuus kehittää liiketoimintaa, mutta IT:n on hyvä tunnistaa, että myös laitteet voivat aiheuttaa tietoturvariskejä. Jatkossa onkin yhä tärkeämpää määritellä myös laite- ja koneidentiteetti (Identity of Things) eli mm. millaisiin sovelluksiin ja tietoihin niillä on lupa päästä.
