Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

I AM in de cloud

 

Computable Expert

Reza Sarshar
Projectleider/ Adviseur, Kaizen Projectmanagement. Expert van Computable voor de topics Management, Infrastructuur en Digital Workplace.

Volgens verschillende onderzoeken zullen veel bedrijven in en na 2014 gebruik gaan maken van meerdere SaaS-oplossingen in een hybride cloud-architectuur. Deze stap zal een groot effect hebben op de efficiëntie, beheersbaarheid en beheerbaarheid van je (ondersteunende) bedrijfsprocessen.

De transformatie van traditionele architectuur naar het hybride cloud model is al een feit. Hoe kunnen ict-managers en cio`s deze niet al bekende hervorming beheerst uitvoeren en ook tegelijkertijd de wens van business realiseren?

Uitdagingen
Een aantal effecten van de invoering van SaaS-oplossingen op het ict landschap en architectuur zijn eerder in een artikel besproken. Leveranciers doen ons geloven dat de invoering van hun SaaS-oplossing niks meer is dan de aanschaf daarvan. Misschien is het ook handig om te weten dat:

  • De policies die door verschillende SaaS-leveranciers opgelegd worden zorgen voor een toename van gebruikersnamen en wachtwoorden per gebruiker. Een gebruiker draagt in dat geval een dik sleutelbos voor toegang tot zijn/haar applicatieset bij verschillende cloudleveranciers. Het is al bekend dat de gebruikers in de securityketen de zwakste schakel zijn! Dit is voldoende om ons voor te stellen dat de gele post-it velletjes weer op de bureau`s komen liggen.
  • Verspreiding, decentralisatie en toename van tooling (per SaaS-leverancier) en beheeractiviteiten rondom gebruikersaccount. Afhankelijk van de SaaS-leverancier zijn hier verschillende manieren voor de provisioning van accounts. De meest gebruikte manieren zijn losse tools van de SaaS-leverancier die informatie uit Active Directory synchroniseerd of (saml) Just-in-time provisioning doen. Als voorbeeld levert Microsoft de tool dirsync die de complete AD + wachtwoorden naar de cloud synchroniseerd. De uitdaging bij sommige leveranciers echter zit hem in de de-provisioning hiervan!
  • In het huidige interne applicatielandschap is het zeer normaal dat verschillende applicaties (indien nodig) met elkaar kunnen communiceren. Dit gedrag is niet meer vanzelfsprekend waanneer je deze applicaties vervangt door verschillende SaaS-oplossingen bij verschillende externe cloudleveranciers. In een hybride architectuur heb je een verbindingsbrug nodig!
  • Elke SaaS-leverancier bepaalt zijn authenticatie- en autorisatieprotocol voor zijn diensten. Ondanks dat er een standaardisatieslag op het gebied van authenticatieprotocollen gaande is, zien we ook dat de grote spelers deze positieve ontwikkeling niet altijd volledig omarmen of ondersteunen. Deze situatie zorgt voor een incompatibiliteit en belemmering in interoperabiliteit tussen verschillende SaaS-oplossingen bij verschillende leveranciers.

Identity en Access Management (I AM)
Een oplossing die de hierboven benoemde uitdagingen kan verhelpen is Identity en Access Management (I AM). Het voegt een laag aan de architectuur toe die centraal als katalysator en integrator tussen je interne authenticatiedomein en verschillende SaaS-oplossingen werkt. Met een I AM-product kun je naast toegang tot alle SaaS-oplossingen met een gebruikersnaam en wachtwoord (single sign on) ook de centralisatie van verschillende beheerprocessen rondom audit, beveiliging, authenticatie, autorisatie en toegang realiseren. Een I AM-product kun je verder inzetten als communicatie hub tussen verschillende SaaS-oplossingen. Hierdoor voorkomt je een oerwoud van point to point communicatiekanalen tussen verschillende objecten (intern naar extern, extern naar extern, extern naar intern) in je hybride cloud-architecuur.  

Wanneer je van plan bent om je interne dienstverlening te optimaliseren met een self-service-portal voor je gebruikers dan heb je in een hybride omgeving een verbindingsbrug nodig voor de orkestratie van verschillende processen die hieraan gerelateerd en gebonden zijn.

De grote SaaS-leveranciers weten al hoe belangrijk de rol van I AM is. Daarom doen ze hun best om de identity provider van de klant te worden door deze mogelijkheid als extra (integrale) dienst aan te bieden. Kijk uit voor een addertje onder het gras! Hierdoor kun je beperkt worden tot SaaS-oplossingen die deze leveranciers ondersteunen (vendor lock-in) en ook de mogelijkheden die hun oplossing ondersteunt. Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service) Naast een aantal beperkingen van IDaaS zijn er een aantal juridische vraagstukken die het afnemen van deze externe dienst minder interessant maken. Je kunt naast de benoemde mogelijkheden ook deze dienst on-premise realiseren. Uiteraard zijn er hier voor- en nadelen aan gebonden die per situatie bekeken moeten worden.

De plek van de Identity Store
Het veranderen van je architectuur in een hybride mode en het gebruiken van verschillende SaaS-oplossingen kunnen niet alleen grote effecten hebben op je bedrijfsprocessen maar ook op de inrichting van je authenticatiedomain en Identity Store. Onderschat dit niet! Identity en Access Management is het vertrek en de landingsbaan van je hybride omgeving. Waar de plek van je identity store komt (on-premise of als IDaaS bij een tussenpartij of bij SaaS leverancier) heeft effect op de flexibiliteit en verdere inrichting van je architectuur in de toekomst.

Een eigen centrale plek voor Identity & Access Management biedt je de mogelijkheid om altijd de regie te blijven behouden over wie er toegang heeft tot wat en dit aantoonbaar te kunnen maken (audit), centralisatie van provisioning van accounts voor applicaties en bedrijfsprocessen , afdwingen/controle over sterk wachtwoordbeleid en authenticatieprotocollen en nog meer.

Het is de taak van cio`s/ict-managers om deze onzichtbare valkuilen en obstakels op weg naar de toekomstige architectuur (hybride cloud) tijdig inzichtelijk te maken om het Identity-oerwoud en desinvestering in de toekomst te voorkomen.

Bespreek de mogelijkheden, de beperkingen, voor- en nadelen en Identity & Access Management productportfolio met een I AM-expert voordat je architectuur veranderd is in een oerwoud!

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5029849). © Jaarbeurs IT Media.

4,7


Lees meer over


Partnerinformatie
 

Reacties

Reza,

Dank voor je artikel. Het zijn hier en daar wel wat open deurtjes die hier al vaker aan de orde zijn geweest. Maar al met al haal je wel enkele valide punten punten aan en is dit best een handige samenvatting.

Ik heb nog wel wat vragen/opmerkingen over onderstaande zaken:

" Een eigen centrale plek voor Identity & Access Management biedt je de mogelijkheid om altijd de regie te blijven behouden over wie er toegang heeft tot wat en dit aantoonbaar te kunnen maken (audit), centralisatie van provisioning van accounts voor applicaties en bedrijfsprocessen , afdwingen/controle over sterk wachtwoordbeleid en authenticatieprotocollen en nog meer"

Op zich heb je helemaal gelijk. Maar veel bedrijven willen juist volledig ontzorgd worden als men de transitie naar de Cloud maakt. Echter is dit zoals je aangeeft niet altijd even verstandig. En zal dit gefaseerd moeten gebeuren. Zijn er scenario's mogelijk dat je het toch uitbesteedt aan de Cloud-leverancier en lokaal of bij een andere leverancier een spiegel laat draaien?

"Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service) Naast een aantal beperkingen van IDaaS zijn er een aantal juridische vraagstukken die het afnemen van deze externe dienst minder interessant maken. Je kunt naast de benoemde mogelijkheden ook deze dienst on-premise realiseren. Uiteraard zijn er hier voor- en nadelen aan gebonden die per situatie bekeken moeten worden"

Wat zijn deze beperkingen? Over welke juridische vraagstukken heb je het? En wat zijn voor- en nadelen? Ik ben benieuwd naar je ervaringen op dat gebied.

Reza, het moet gezegd worden. Top artikel en *zeer* relevant, I AM wordt soms zelfs als heilige graal gezien.

"Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service)"

- Met welke heb je ervaring / raad je aan?
- Welke past bij een Microsoft georiënteerd bedrijf?
- Hoeveel tijd kost het om een POC hiervoor op te zetten?

Dank voor het artikel en goede introductie tot de problematiek.
IDaaS is zeker een opkomende trend waar organisaties de complexiteit van IAM buiten de deur kunnen beleggen.

Belangrijkste vraagstukken zijn hierbij hoe er gekoppeld kan worden met de on-premisesystemen. Veel IDaaS leveranciers bieden mogelijkheden om met een Active Directory te koppelen maar de overige systemen die on-premise staan en geen standaard protocollen als SAML 2 spreken vallen buiten de scope van de iDaaS dienst.

Voor de regie, inclusief provisioning van gebruikers en autorisaties van on-prem applicaties blijft iDaaS beperkt.
Daarnaast is de IAM link met activity monitoring (wat doet een gebruiker) op dit moment een stuk flexibeler in een on-prem vorm.

Centraal de regie blijven houden is een belangrijk aspect en de vraag is
hoe eenvoudig dat is met de huidige iDaaS leveranciers die een deel van het probleem kunnen adresseren.

Vraag:
ik lees in 2 artikelen vandaag "cloud" in 1 adem genoemd met SAAS.
Hoe zie je het gebruik van het woord cloud in de context van webapplicaties versus het gebruik van schaalbare virtual servers in een IAAS.
Als leverancier van webdiensten wens ik me met niet met de I uit IAAS bezig te houden, voor mij is de webapplicatie die de diensten bereid stelt voldoende. Hier (computable) wordt dat ook cloud genoemd waar ik een webapplikatie zie.

Verder een goed punt met IAM, dat probleem ervaar ik, als je een hint hebt voor een goede eenvoudige oplossing naar het KISS-principe dan houdt ik me aanbevolen.

Een zeer relevant artikel Reza. In aanvulling daar op.

Vorige week is de Europese GARTNER IAM conferentie geweest in Londen. Hier ben ik aanwezig geweest. Een paar voorspellingen voor 2020 uit de key note (meer info op persoonlijk verzoek):
- 80% van de toegang komt van non-PC's
- 60% van de gebruikers komt van buiten de eigen organisatie
- 70% van de toegang zal geregeld worden door attributen ipv obv rollen
- IAM prijzen gaan in de komende jaren met 40% dalen

Deze ontwikkelingen drijven de adoptie van IDaaS. In 2015 zal het aandeel van IDaaS in de markt al groter zijn dan traditionele Suites. Diverse NL organisaties hebben al ervaring.

En toch even voor eigen parochie.... iWelcome werd door Gartner plenair als enige Europese (Nederlandse!) leverancier genoemd en wordt opgenomen in het Magic Quadrant!

@ Jan,

SAAS is een leveringsmodel wat gebruik maakt van de Cloud.

De rest mag Reza beantwoorden.

Reza,

Ik heb enige twijfels aangaande dit soort oplossingen in de cloud, zeker als single sign-on op basis van gebruikersnaam en wachtwoord gebruikt wordt. Hetzelfde aangaande orchestratie als (de)provisioning van gebruikers niet aangesloten wordt op personele systemen. De theorie van wie(Identiteit), waar (Access) en wat (Autorisatie) blijkt vaak moeilijk in te vullen met als gevolg dat de waarom (Audit) vaak achterwege blijft.

Een zeer relevant artikel Reza. In aanvulling daar op.

Vorige week is de Europese GARTNER IAM conferentie geweest in Londen. Hier ben ik aanwezig geweest. Een paar voorspellingen voor 2020 uit de key note (meer info op persoonlijk verzoek):
- 80% van de toegang komt van non-PC's
- 60% van de gebruikers komt van buiten de eigen organisatie (federatie)
- 70% van de toegang zal geregeld worden door attributen ipv obv rollen
- IAM prijzen gaan in de komende jaren met 40% dalen
- Grote adoptie van standaarden maakt technologie onafhankelijk: SAML, OAuth, SCIM

Deze ontwikkelingen drijven de adoptie van IDaaS. In 2015 zal het aandeel van IDaaS in de markt al groter zijn dan traditionele Suites. Diverse NL organisaties hebben al ervaring.

En toch even voor eigen parochie.... iWelcome werd door Gartner plenair als enige Europese (Nederlandse!) leverancier genoemd en wordt opgenomen in het Magic Quadrant!

@Ruud:
Dank voor je reactie en terechte vragen.
Ik probeer hier kort op te reageren anders moet ik een reactie schrijven die langer is dan het artikel zelf :-)

1- Je Identity Store is heel belangrijk. In het kader van "ontzorgd worden" mag je hem niet weggeven. Wat je wel kunt doen is je hybride omgeving gebaseerd op een IAM-appliance realiseren die op afstand door je IAM-leverancier beheerd wordt. Deze constructie zien we vaak bij het beheren van FireWall bij veel bedrijven.
Houd je Identity Store vast, die heb je voor verschillende ict-ontwikkelingen(intern / extern) van je omgeving nodig.

2- Afhankelijk van je business en de regels waar je je aan moet houden en nog wat andere zaken kan ik pas aangeven welke beperkingen een IDaaS voor je heeft.

a) wanneer je je identity store gebruik om je werkprocessen in te richten (mijn volgende publicatie) dan zou het onhandig zijn dat je eerst naar buiten moet gaan om je te identificeren/autoriseren en daarna naar binnen te komen om je werkprocessen te kunnen activeren.

b)veel organisaties die met privacy gegevens te maken hebben mogen van wet niet hun identity store buiten de deur zetten.

Wat als de vertrouwelijke gegevens (bv wachtwoorden) van je organisatie op straat komen te liggen! Neemt iDaaS 100% de verantwoordelijkheid hiervoor? Accepteert de policy van je bedrijf dit risico? Wat staat in het contract van je IDaaS leverancier?

c)zal je IDaaS leverancier de opkomende SaaS leveranciers ondersteunen of doen ze alleen wat ze ooit in hun pakket opgenomen hebben? Je hebt zelf meer controle over je eigen IAM oplossing (upgrade, vervangen, aanpassen etc)

Zoals in het artikel aangegeven het is een onderwerp dat per case en klant besproken moet worden, ik kan er helaas geen vaste antwoord op geven.

Dank Reza voor je heldere en snelle toelichting.

@Henri:
Dank voor je complimenten en reactie.

- ik heb (indirect)ervaring met 2x IDaaS leveranciers. Deze deel ik graag met je mee als je me belt. Ik wil niet op deze site of een leverancier afkraken of promoten.

- je doet er verstandig aan als je een IAM-product kiest dat modulaire gebouwd is. Sommige functionaliteiten heb je nu niet nodig, die kun je later met uitbreiding krijgen. Alle IAM-oplossingen ondersteunen Microsoft omgeving. Wat wel belangrijk is zijn o.a.:

a)de mogelijkheden die de betreffende oplossing je biedt. Deze heb je nodig voor het inrichten van je SaaS architectuur waar zeker Non-MS oplossingen aan de andere kant van de muur staan. Misschien ga je ooit (of nu) van een SaaS oplossing gebruik maken die bij een opensource leverancier staat! Of een mix bouwen van Google, Microsoft, Afas, eCare etc.
In dit kader kun je denken aan b.v. het aantal en soort van de ingebouwde API`s, koppeling met verschillende interfaces zoals eHerkening, DigiD, koppelingen met SaaS leveranciers in de zorg en ook in de onderwijs etc.

b)flexibiliteit en eenvoud in (1e/2e lijn) beheer. Sommige IAM producten zijn maar niks anders dan een box vol met scripts die verder mooi ingepakt zijn. Implementatie, aanpassingen en zeker verdere ontwikkelingen zijn niet altijd eenvoudig.

Afhankelijk van wat je organisatie/klant van plan is met haar ict inrichting en architectuur, nu en in de toekomst en nog een aantal andere onderwerpen kan ik je verder helpen met een productkeuze en ook eigen vs IDaaS.

- een poc opzetten is zo gebeurd! Wanneer je inzichtelijk hebt gemaakt welke functionaliteiten aangeboden moeten worden en welke in de nabij toekomst erbij komen dan kunnen we snel een IAM Cloud applinace inrichten. Wel is het handig om voor je FO met een IAM-consultant te gaan overleggen.

Ik verneem graag als ik niet voldoende op je vragen in ben gegaan en of je verder vragen hebt.

Hoi Reza, mooi artikel! Complimenten. Korte vraag; wat zijn volgens jou de meest relevante aanbieders van I AM tooling/software?

@Jan:
Het is wel belangrijk dat je eerst duidelijk maakt wat je met je IAM-oplossing wilt doen. De doelstelling en hierna de inrichting van IAM voor de leverancier van webdiensten kunnen anders zijn dan voor een klant die een SaaS architectuur wil opzetten.

Ik kan me voorstellen dat veel zaken hieromtrent voor veel afnemers onbekend zijn. Dat komt doordat IAM vrij onbekend is of alleen gezien word als een ding die alleen SSO voor je regelt. Dat is niet waar!

Misschien is het niet verkeerd om op de site van www.IonIT.nl te kijken om wat meer kennis te maken met de mogelijkheden van IAM.

Pfffffff, ik had me voorgenomen om geen leverancier te benoemen :-(

Het is inderdaad een mooi artikel, en laat een noodzaak zien om een goed identity federation oplossing te gaan gebruiken, daar kun je bij mijn werkgever mee aankomen, wij leveren een identity federation hub.

@Reno van der Looij

Keuze van tooling / aanbieders is sterk afhankelijk van het businessmodel van de klant. In een traditionele omgeving ( onpremise) , zijn in nederland NetIQ en Microsoft FIM/ ILM goed vertenwoordigd. Maar ook CA en Oracle zijn belangrijke spelers op dit gebied.

Als we gaan kijken naar integratie met SAAS ism een onpremisis IAM oplossing, zie ik dat NetIQ een goede ondersteuning bied voor de meest gangbare providers. Maar ook Microsoft ILM in samenwerking met windows Azure zou voor een goede oplossing kunnen zorgen.

Voor een iDaas oplossing, is iWelkom in nederland nog de enige zover mij bekend is . Verder is daar nog Ping identity.

Dus keuze genoeg. Maar nogmaals, de keuze is afhankelijk van het businessmodel en de processen van de organisatie.

Dag Reno,
Dank voor je reactie.
Zoals eerder aangegeven het kiezen van een IAM-product is afhankelijk van een aantal zaken. Je doelstelling op kort en lange termijn, je huidige architectuur en nog meer andere zaken zullen bepalen wat je IAM-product dient te zijn. Maak eerst inzichtelijk wat je behoeftes en plannen zijn en dan pas kijk naar producten en mogelijkheden. In dit kader zal je zien dat b.v. Microsoft FIM beter en minder bij je behoeftes past dan Cisco ISE of Oasis SAML of NetIQ.

Kijk op onze site (www.IonIT.nl) en laat me maar (als je ex-collega) weten of ik je ergens mee kan helpen.

@Ewout,
Je twijfels kunnen terecht zijn! Wanneer je van een IAM oplossing gebruikt om niet alleen aan de ID-gerelateerde zaken te regelen maar ook de orkestratie van je business processen te realiseren dan loop je tegen allerlei beperkingen/ showstoppers aan als je van een IDaaS gebruik gaat maken. sterker nog in vele gevallen zijn federatie en orkestratie niet mogelijk.

Identity & Access Management -tools hebben twee kanten:
A) buitenkant voor realisatie van allerlei zaken buiten de muren van je bedrijf (zoals SaaS ontwikkelingen)
B) binnenkant voor realisatie van interne zaken zoals Streamline business processen, automatiseren van automatisering (self service portal), audit etc.

Je zult zien dat IDaaS op veel punten vast gaat lopen (zoals orkestratie van je interne processen)

@Maarten:
Dank voor je reactie. Met de komst van BYOD zal IAM nog verder belangrijker worden. Het is niet alleen de plek van applicatie (intern of extern als SaaS) maar ook de device van gebruiker, de locatie van gebruiker, beveiliging icm flexibiliteit en nog veel andere zaken die zullen ons duidelijk maken hoe belangrijk IAM voor de toekomst is.

Nog een andere aspect van IAM is, federatie tussen verschillende zelfstandige organisaties in de keten die samenwerken maar niet bij elkaar horen. In dit kader kunnen we de overheidsinstellingen, ministeries, partners in de zorgketen en onderwijs benoemen.

Hier kom ik in mijn volgende artikel op terug.

@Redactie
Dank voor de correctie.

@Reza
Enige tijd geleden was er een soorgelijke discussie rond IAM en IdM waarbij idee van ESB naar voren gebracht werd, zeg maar de hub waarover Jaap het heeft voor de federatie en ik al enige overdenkingen plaatste:

http://www.computable.nl/artikel/opinie/security/4901903/1276896/identity-management-met-esb-is-utopie.html

Ewout,
Dank voor reactie en de link, dat heb ik niet eerder gezien.

Het bouwen van federatie is een ander onderwerp waar ik op mijn volgende artikel op terug kom. Ik heb me in dit artikel bezig gehouden met het effect van SaaS op je architectuur, investering, beheer, beveiliging etc.
Ik zal aan een collega vragen om mijn volgende artikel van wat meer technische informatie te voorzien.

Wat ik wel nu over Federatie kan zeggen is dat:

1- je IDM/AM oplossing moet dit goed kunnen ondersteunen. Je product dient goed ontwikkeld te zijn om een antwoord te hebben op de uitdagingen van dit verschijnsel (Federatie)

In de reactie aan Henri heb ik indirect hiernaar verwezen

"Sommige IAM producten zijn maar niks anders dan een box vol met scripts die verder mooi ingepakt zijn"

De geschiktheid van je IDM/AM product, modulaire opbouw, flexibiliteit en nog wat andere dingen zijn zeer belangrijk voor het succesvol afronden van je traject.

Het automatiseren van alleen ict processen is anders dan het automatiseren van werkprocessen (in de keten) Leveranciers die met hun product een it store aanbieden zijn beperkt tot een aantal zaken, dit is heel anders dan wat een IDM/AM in de federatie doet.

2) je moet voor federatie niet alleen naar IDM/AM oplossing kijken maar ook naar je applicaties, koppelingen en werkprocessen. Deze moeten ook geschikt zijn voor dit concept en ook met de regels van federatie en de beoogde IDM/AM oplossing om kunnen gaan.

Mijn collega`s zijn bezig met een federatie-traject bij een ministerie. We gaan binnenkort hier een verslag van maken en publiceren.

Terug naar dit artikel, zoals eerder aangegeven ik heb me hier in dit artikel bezig gehouden met IAM en SaaS. In het volgende artikel kom ik terug op IDM/AM en orkestratie/ federatie.

@Reza
de website heb ik bekeken. Wat opviel is, gemaakt met Joomla en niet in "de cloud" maar een stinknormale hoster.
Voorts de inhoud bekeken, en Oasis SAML gevonden, dat kende ik al en bood me het kader waarin ik het artikel kon plaatsen.

Zeg ik het simpel dan zie ik dat verschillende webapplikaties gekoppeld worden met een single sign on, plus id-check. Een weinig desktop/server virtualisatie o.a van MS. Aangeboden met wat projektmanagement.
Veel meer haal ik niet uit de marketing-speak.

Blijft voor mij de vraag waar en wanneer kun je dit zinnig en beheersbaar inzetten, per slot worden weer extra koppelvlakken gemaakt die allemaal hun problemen hebben.
Het KISS-principe lijkt hier moeilijk toepasbaar. Hoe groot moet de chaos zijn om dit als oplossing te zien?

Beste Reza,

Dank voor je artikel. Helder.
Vandaag besprak een klant met mij dat ze gelet op de complexiteit (koppelingen, autorisaties etc.) en uitdagingen die komen kijken bij het gebruik van de cloud, niet zullen kiezen voor het aankopen van een recordmanagementsysteem (RMS) in de cloud, die nu door een product leverancier wordt aangeboden. Ze zijn er nog niet klaar voor en willen hierdoor een on-premise RMS oplossing. De uitdagingen die jij benoemt zijn o.a. ook besproken.

IAM/IDaaS biedt je aan als mogelijke oplossing. Bij mij rijst dan de vraag: Bij wat voor soort type organisaties (afhankelijk van grootte, kennisniveau?) dit geschikt en rendabel kan zijn, ook gelet op de kosten en complexiteit? Bij wat voor type organisaties heb je het gebruik hiervan al in de praktijk gezien?

Beste Marianne,
Dank voor je reactie.
Een goede IAM oplossing biedt je meer dan alleen IAM. Met deze oplossing kun je b.v. een deel van de functionaliteit van je AD overnemen zodat je AD altijd schoon en overzichtelijk blijft, de rolverdeling en inrichting binnen je Sharepoint zeer flexibel maken, secure interface voor je apps en je mobile devices aanbieden en nog meer, toegang tot je bedrijfsprocessen/applicaties en bronnen gebaseerd op verschillende scenario`s bepalen etc.

Na het opstellen van een PvE, inzichtelijk maken van de behoeftes, beleid, toekomstige plannen etc kun je naar het product en de features die je nodig hebt kijken. Pas hierna kun je de investering inzichtelijk krijgen.
IAM was altijd interessant voor Enterprise omgeving en grote overheidsinstellingen. We zien steeds meer adoptie en toepassing van IAM bij kleine organisaties/scholen/zorginstellingen/verzekeraars etc. Dit komt mede door de komst van cloud (SaaS oplossingen), voordelen van samenwerking in de keten (bij de zorg/ziekenhuizen/partners, overheid & gemeenten), automatiseren van processen (web winkels van bestelling tot bezorging) en nog meer andere zaken.
En aan de andere kant IAM producten zijn tegenwoordig verder ontwikkeld. Ze doen meer dan alleen wat IAM vroeger deed.

Bij afsluiting van mijn artikel heb ik aangegeven :

"Bespreek de mogelijkheden, de beperkingen, voor- en nadelen en Identity & Access Management productportfolio met een I AM-expert voordat je architectuur veranderd is in een oerwoud!"

Ik kan helaas hier niet alle aspecten van deze oplossing benoemen/bespreken. Mijn collega`s kunnen jou meer vertellen, laat me maar aub weten als ik iets voor je kan regelen.

@Reza
Je roept dat Henri met lange reacties komt maar zelf kun je er ook wat van, ik vroeg in eerste reactie of het handig is om SSO op basis van gebruikersnaam en wachtwoord in te vullen?

Mijn tweede reactie wees op een soortgelijke discussie, waar schreeuw (J)aap niet aan deel nam aangaande federatie en de verschillende verantwoordelijkheden in de keten. Het begint tenslotte met de controle van de identiteit, ben ik wie ik zeg dat ik ben.

Begin dus nu eens eerst met het proces en zoek dan de passende technologie erbij want een IAM oplossing die gebaseerd is op enkel een gebruikersnaam en wachtwoord lijkt me weinig zekerheden te bieden, de onweerlegbaarheid is discutabel en daarmee ook je governance.

Vat me niet verkeerd op maar ervaring leert dat als ketens langer worden, personen een nummer de controle van digitale identiteiten zwakker. Misschien kent iedereen de baas maar kent iedereen ook de secretaresse?

@Ewout,
Zoals eerder aangegeven federatie is een ander onderwerp dan dit artikel. Hier kom ik in mijn volgende artikel op terug.

Welke record je gaat gebruik om SSO in de keten door te laten lopen wordt tijdens het initiële onderzoek/bespreking en (functioneel) ontwerp behandeld. Mee eens dat de gebruikersnaam + wachtwoord "niet altijd" handig zijn. Daarom hadden we in een traject gekozen om een record in de gebruikers-ID bij elke AD account binnen 4 organisaties aan te maken (met een script)en dat combineren met wat functionaliteiten en inrichting van IdM oplossing.
Verder ben ik het zeer met je eens als je aangeeft "begin dus eerst met proces......" Sterker nog, dat heb ik bijna in alle reacties hierboven gezegd.
Beveiliging in de keten is ook een onderwerp dat tijdens de initiële bespreking en ontwerpfase behandeld wordt. Wat je daarover aangeeft kan terecht zijn. Daarom kijken we vanaf het begin hoe we hier mee om moeten gaan. Aan de andere kant het is mooi dat je met een IAM oplossing snel kan traceren wie tot wat toegang heeft, wanneer, hoe etc etc, los van de lengte van je keten.

@Jan,
Ik denk dat ik je eea moet verder toelichten, communicatie via deze site is niet altijd handig. Hierna komen we samen op je vraag terug. Mail me aub je nummer dan bel ik je.

Beste Reza,

Dank voor je toelichting. Nu is het mij duidelijker. Hier kan ik zeker iets mee. Vooral ook de uitleg dat het een deel van de functionaliteiten van de AD overneemt lijkt mij meer toegevoegde waarde te geven.

Een zeer gedegen artikel en zeer professionele reacties. Wat mij zorgen baart, gewoon het geheel bekijkend, is de toename van hiaten is systemen, processen en procedures. Daar waar je juist met automatiseren wil bereiken dat je minder 'steps' bereikt, en daarmee besparingen, zie ik daar juist een toename van.

Niet alleen een toename maar ook de toename op kansen van omissie, het niet aansluiten van systemen op elkaar en niet altijd de toevoegende waarde die je wil bereiken met IT.

Misschien dat deze visie steeds wat vaker een 'ondergeschoven kindje' blijkt in de praktijk.

@NumoQuest:
Dank voor je reactie. IT managers zijn de afgelopen jaren bezig geweest met het up & running houden van de tent terwijl ze minder tot geen budget hebben gehad voor het verbeteren van hun bedrijfs- en ict-processen. Dat is juist de wijze waarop legacy tot stand komt.
Investeren in alignment en streamlining processen (automatiseren van automatisering) zal zich terug betalen door hoge efficiëntie in de keten. Daar kom ik in mijn volgende artikel op terug.

Puik inhoudelijk artikel met leerzame reacties. Naar aanleiding van wat ik om me heen zie vraag ik me af welk deel van de Nederlandse organisaties de voorliggende uitdagingen state-of-the-art gaat aanpakken. Bijv. door zaken vanaf de start onafhankelijk van gekozen cloudplatforms in te gaan richten. Dat vereist behoorlijk wat investeringen en (ook interne) kennis. Het is natuurlijk situatieafhankelijk, maar ik denk dat het voor veel (kleinere en middelgrote) organisaties best verstandig kan zijn om zich de komende jaren te focussen op 1 (dominant) platform. Ik ben wel benieuwd hoe jij hier tegenaan kijkt.

Beste Reza,
Mooi helder artikel dat goed verwoordt wat het belang is van Identity & Access Management in de Cloud. Tegelijkertijd waarschuwt het artikel bedrijven voor het in zee gaan met grote SaaS-leveranciers, die misschien gebruik maken van de adder ‘vendor lock-in’. Een goede IAM-oplossing bevat standaard alle koppelingen met de meest gebruikte systemen van de klant, dat geldt zowel aan de bronzijde als aan de afnemende kant. De basis van Identity & Access Management is dat het vendor onafhankelijk is. Het moet tenslotte werken met de applicaties die de klant al heeft, en moet de klant geen systemen voor gaan schrijven. Daarnaast zal je als CIO of ict-manager ook moeten kijken of de Identity & Access Management -oplossing zich al bewezen heeft, en in welke sector. Want hoewel de motors onder de IAM-kappen wellicht hetzelfde doel hebben, zijn de oplossingen pas echt geslaagd als zij werken met de specifieke situaties en behoeftes van de unieke klant.

@Ad:
Dank voor je reactie. Ik ben ervan overtuigd dat je de investering die je maakt in een IAM product en (her)inrichting van je werkprocessen snel terug krijgt. We zijn gewend om de werkprocessen als klein of grote blokjes neer te zetten zonder intelligentielaag er tussen. De uitvoering van het proces in de hele keten moeten we als een domino effect zien. Wanneer er geen verbindingsbrug tussen twee blokjes is dan stopt de werking en verlaagt de efficiëntie.
Ik ben het met je eens dat je hier een misschien dominant product voor moet neerzetten. Ik zal eerder zeggen kijk maar of het product modulaire gebouwd is. Dit is zeer belangrijk voor opbouw en wijzigingen gedurende dit traject en ook later in de toekomst.

Terug naar cloud, laten we eerst de touwtjes die naar verschillende leveranciers gaan in de handen zien krijgen. Daar hebben we IAM voor nodig.
Voorkom desinvestering, bespreek deze oplossing met een expert want dit product (IAM) heb je voor verdere interne wijzigingen/ontwikkelingen nodig.

Dag Bram,
Dank voor je reactie. Ik heb eerder ergens in mijn reacties aangegeven dat de klant zich goed dient te oriënteren op het product en mogelijkheden. Sommige producten zijn niks anders dan een doos met veel scripts en mooie verpakking! Je bent zeker veel kwijt aan (kosten van)beheer en het product is niet flexibel en kent beperkte (uitbreidings)mogelijkheden en nog meer andere zaken. IAM wordt al veel in de zorg en onderwijs gebruikt. We zien dat IAM producten sinds een paar jaar flink ontwikkel zijn. Daarom zou het niet verkeerd zijn om je productkeuze van toen te herzien. Als je al een IAM hebt dan zou je ook moeten afvragen of dit al een antwoord heeft op verschillende ontwikkelingen en behoeftes vanuit business (cloud, audit, governance etc)voor nu en vooral in de toekomst.

IAM aas lijkt mij een logische stap, zeker als je kijkt naar de mogelijkheden om IAM los te koppelen van fysieke locaties. Het zo mooi zijn als een dergelijk artikel wordt voorzien van een case met een toepassing. Een van de belangrijkste punten lijkt de exit strategie vanuit een IAMAAS aanbieder. Hoe kan je als je ooit deze route bewandeld switchen naar een andere aanbieder.

@Willem;
Leuke reactie, dank!
Ik weet niet of IDaaS een logische stap kan zijn. Ik heb de neiging om mijn Identity Store bij mezelf houden (laten beheren) Deze component is het fundament van mijn ict-landschap, deze zou ik niet zomaar weggeven. Bovendien ik weet niet of de IDaaS-leverancier aan mijn behoeftes kan voldoen als ik over een aantal jaar van SaaS-leveranciers en producten wil veranderen.
Zoals in het artikel aangegeven het buiten de deur zetten van je Identity Store is juridisch gezien geen optie voor veel organisaties. Verder wanneer je van je Identity Store gebruik wil maken om je (interne) processen te automatiseren dan zou je beter deze component binnen de muren van je (interne) architectuur moeten houden.
Ik kom in het volgende artikel terug op de toepassing van Identity Store voor procesautomatisering en federatie.

We zullen binnenkort een case publiceren over de toepassing van IAM.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×