IAM pilvisovelluksissa – 4 asiaa, jotka IT:n pitää huomioida

Tunnisteet: Cloud, Identity and Access Management

Cloud on keskeisessä osassa yritysten päivittäistä tekemistä. Nykyään sovellukset ja palvelut hankitaankin lähes poikkeuksetta pilvipalveluina. Uusien työkalujen käyttöön ottaminen pilvestä onkin nopeaa. Joten kun tarve on suuri, aikaa vähän ja sovellusten asentaminen pilvestä helppoa, otetaan uusia palveluita käyttöön jatkuvasti lisää – ja usein täysin omatoimisesti konsultoimatta IT-osastoa. Kun uusia sovelluksia, järjestelmiä ja palveluita otetaan jatkuvasti käyttöön, kasvaa samalla myös käyttäjätunnusten sekä kirjautumistapahtumien määrä.

Työntekijälle useiden eri sovellusten käyttäminen tarkoittaa usein käyttäjätunnusten sekamelskaa sekä aikaa vievää kirjautumisprosessia, joka täytyy käydä läpi useita kertoja päivittäin. IT:lle jokainen uusi sovellus tarkoittaa taas uutta teknologiaa, mahdollisesti uutta kirjautumiskäytäntöä sekä uusia käyttäjätunnuksia hallittavaksi. Pirstaloitunut sovellusarkkitehtuuri voikin aiheuttaa useita vaikeuksia identiteetin- ja pääsynhallinnassa (identity and access management, IAM). Ota nämä neljä asiaa IAM:n osalta huomioon, kun organisaatiossa käytetään cloud-pohjaisia sovelluksia.

 IAM pilvisovelluksissa – 4 asiaa, jotka IT:n pitää huomioida

 

 1. Käyttäjäkokemus

Loppukäyttäjien työnteko vaikeutuu, jos useisiin eri sovelluksiin täytyy kirjautua aina erikseen ja mahdollisesti vieläpä monta kertaa päivän aikana. Jotta jokaiseen sovellukseen ja järjestelmään ei täytyisi kirjautua sovelluskohtaisesti, kannattaa käyttäjille mahdollistaa kertakirjautuminen eli single sign-on. Kirjautuminen sovelluksiin on entistä helpompaa, kun käytössä on myös single sign-on dashboard eli näkymä, jossa on kaikki käyttäjälle tärkeät sovellukset helposti saatavilla. 

Sekä on-premise että pilvisovelluksiin voi mahdollistaa kertakirjautumisen samanaikaisesti, kun käyttöön otetaan keskitetty (eli centralized tai unified) identiteetinhallinnan ratkaisu. Siinä missä käyttäjä pääsee nopeasti sisälle kaikkiin tarvittaviin sovelluksiin kertaheitolla, helpottuu samalla myös kokonaisuuden hallittavuus IT:n päässä: kaikkien sovellusten identiteetin- ja pääsynhallinta tapahtuu keskitetysti yhdestä paikasta.

 

2. Autentikointitavat

Kun käytössä on useita eri pilvisovelluksia useilta eri toimittajilta, on vastassa varmasti myös useita eri identiteetin autentikointitapoja. Tietoturvan varmistamiseksi organisaation bisneskriittisiin järjestelmiin kirjautumisen pitäisi aina tapahtua vahvan tunnistautumisen (strong authentication) kautta. Vahva tunnistautuminen voi tapahtua esimerkiksi TUPAS-tunnistautumisen avulla. Arkipäiväisempiin sovelluksiin kirjautuminen voi taas onnistua pelkkää käyttäjätunnusta ja salasanaa käyttämällä.

Identiteetin- ja pääsynhallinta on mahdollista hoitaa keskitetysti myös, vaikka tunnistautumisen tasoja olisi erilaisia. Itse asiassa hyvä IAM-ratkaisu mahdollistaa erilaisten tunnistautumisen tasojen lisäksi erilaiset keinot tunnistautumiseen verkkopankkitunnuksista sosiaalisen median tileihin. Identiteetinhallinnan järjestelmän tuleekin siis tukea useita eri teknologiatyyppejä, kuten OpenID, SAML 2.0 ja OAuth.

 

3. Käyttäjien roolittaminen

Organisaatioissa on useita erilaisia rooleja ja sovellusten käyttöoikeuksien tulisi olla työtehtävien mukaiset. Mutta kun pilvisovelluksia on käytössä useita, on todella aikaa vievää käydä erikseen määrittelemässä jokaiseen sovellukseen erilaiset käyttöoikeudet eri käyttäjille. Puhumattakaan muutostilanteista, joissa joku tarvitsi enemmän oikeuksia jo eilen, ja jonkun toisen oikeuksia pitäisi taas väliaikaisesti madaltaa tietyissä järjestelmissä.

IT:n kannattaakin määrittää sovellusten pääsy- ja käyttöoikeudet roolikohtaisesti – ei käyttäjäkohtaisesti. Tällöin manuaalisia muutoksia ei tarvitse tehdä joka kerta, kun työntekijä ylennetään tai jonkun henkilön työtehtävät vaihtuvat, vaan oikeudet muuttuvat aina automaattisesti roolin muuttuessa. Roolikohtainen oikeuksien myöntäminen onnistuu, kun identiteetin- ja pääsynhallinta hoidetaan keskitetysti yhdellä järjestelmällä, josta määritellään mikä henkilön rooli on ja minkälainen pääsy ja oikeudet kullakin roolilla on eri järjestelmiin.

 

4. Pilvipohjainen vai on-premise? 

Identiteetinhallinta voi myös itsessään olla pilvipohjainen eli cloud based identity management. Kun on kyse pilvisovelluksista, tuntuukin erikoiselta ajatella, että identiteetin- ja pääsynhallinta tapahtuisi on-premise-ratkaisulla, eikä cloud-maailmaan luonnollisesti istuvalla IDaaS-mallilla (Identity as a Service). Monissa organisaatioissa IAM ei kuitenkaan ole vielä pilvessä, eikä se edes välttämättä kata kaikkia sovelluksia ja järjestelmiä, joita yrityksellä on käytössään. Lisäksi esimerkiksi vahvan tunnistautumisen mahdollistava ratkaisu saattaa olla oma komponenttinsa, täysin erillään muusta identiteetin- ja pääsynhallinnasta.

Identiteetinhallintajärjestelmään pitää voida liittää pilvestä käyttöönotettujen sovellusten lisäksi omat, paikalliset järjestelmät. Tällöin single sign-on on mahdollista kaikkiin käytössä oleviin sovelluksiin – käytettiin niitä pilvessä tai omalla palvelimella. Lisäksi platformin on hyvä kattaa useita eri tunnistautumistapoja, jolloin IT voi hallita kaikkien sovellusten kirjautumista aidosti yhdestä paikasta.

Jukka Papinaho

Kirjoittanut Jukka Papinaho

I am senior product manager @Efecte responsible of Efecte Identity Management.