Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Single sign on, tel uit je winst

 

Computable Expert

Jeroen Jacobs
Consultant / Project Manager @ Itility, Itility. Expert van Computable voor de topics Management, Outsourcing en Cloud Computing.

De populariteit van clouddiensten groeit. Goed nieuws voor it-afdelingen, die met cloud- en webbased diensten hun organisaties in staat stellen kosten te besparen. Er staat nog slechts één serieuze operationele hindernis in de weg: het inloggen op de verschillende diensten. Single sign on (sso) biedt daarbij uitkomst. En dat minimaal kostenneutraal! Het bewijs? Harde cijfers en een rekensom op basis van ervaringen uit de praktijk.

Alle voordelen ten spijt hebben clouddiensten ook een nadeel. Wanneer een gebruiker van de ene naar de andere dienst gaat, moet hij of zij namelijk opnieuw inloggen. It-afdelingen overwegen daarom geregeld de inzet van single sign on (sso). Alleen zetten ze dat in de praktijk niet altijd door. Meestal vanwege vermeende hoge kosten. Zonde, want de inzet van sso is relatief goedkoop, houdt veel eindgebruikers tevreden en levert zowel de it-afdeling als de rest van de organisatie meer op dan het kost. En dat doet sso al vanaftwee2 clouddiensten. Om voor eens en voor altijd af te rekenen met de vooroordelen rond sso heb ik de kosten en opbrengsten naast elkaar gezet in een rekenvoorbeeld.

De rekensom

1. Kostenneutraal voor it. Eindgebruikers vergeten geregeld hun wachtwoorden. Vooral die van de clouddiensten die ze niet dagelijks gebruiken. Een wachtwoord dat vervolgens gereset moet worden, kost zowel de eindgebruiker als it tijd. Zeg vijftien minuten. Vertaald naar de inzet van een it-medewerker komt dat op minimaal vijftien euro voor de it-afdeling per keer. Of een organisatie nu twee clouddiensten of tien afneemt, minimaal komt het zo’n vier keer per jaar voor (na vakanties of na het verplichte wijzigen van een wachtwoord): Zestig euro dus, per eindgebruiker per jaar. Sso kost – zelfs als uitgebreide premium variant – meestal niet meer dan vijf euro per eindgebruiker per maand, zestig euro per jaar. Dat betekent dat de kosten voor de IT-afdeling er al uit zijn.  

2. En dan: de bonus voor it. In de meeste sso- en cloud identity management-oplossingen (idm) zit standaard een onderdeel voor provisioning en deprovisioning (het geautomatiseerd aanmaken en verwijderen van gebruikersaccounts). Gemiddeld wijzigt per jaar 10 procent van het totaal aantal accounts in een onderneming. Heeft een it-afdeling duizend accounts in beheer, dan worden er dus jaarlijks al snel honderd accounts aangemaakt of verwijderd. Zonder een integrale sso- of cloud idm-oplossing kost dat ongeveer een half uur per account (want een account moet doorgaans op minimaal drie verschillende plekken worden aangemaakt of verwijderd). Vijftig uur dus, per jaar, voor de it-afdeling - dat keer dertig euro betekent een besparing van vijftienhonderd euro. 

3. Plus: voordeel voor de business. Daarnaast is er natuurlijk de winst voor de business. Met een integrale sso-oplossing behoren deze (indirecte) kosten en ergernissen tot het verleden:
- de inproductieve tijd van de eindgebruiker tijdens het resetten van het wachtwoord (uitgaande van dezelfde kosten als een it’er, zestig euro per eindgebruiker per jaar).
- ook als de helpdesk niet geraadpleegd hoeft te worden, gaat het steeds opnieuw inloggen en zoeken naar wachtwoorden ten koste van productiviteit, gemiddeld tien minuten per keer (wederom: even uitgaande van vier keer per jaar, dus veertig minuten per jaar, komt dat op veertig euro per eindgebruiker per jaar).
- mensen verzinnen digitale houtje-touwtje oplossingen (met alle risico’s van dien) wanneer ze hun wachtwoord niet makkelijk terug kunnen vinden.
- medewerkers gaan daarnaast de web- of clouddienst vermijden, waardoor de werkprocessen niet optimaal worden uitgevoerd.
- en kunnen ze veilig doe-het-zelven via een selfserviceportal, dan kan daar ook het wachtwoord van zoek raken.

Toegevoegde waarde van SSO voor:

  • Het managementteam (mt), want sso draagt bij aan één van de meest prangende organisatievraagstukken op het moment: hoe vergroot ik de productiviteit?
  • It, want het laat zien dat de it-afdeling meedenkt en concrete oplossingen voor organisatievraagstukken aandraagt.
  • Hrm, want onvindbare wachtwoorden zijn één van de grootste ergernissen voor medewerkers.
  • Security en compliance, want medewerkers zijn veel minder snel geneigd zich te wenden tot risicovolle digitale houtje-touwtje oplossingen.

Incasseer die winst

De introductie van sso zorgt dus voor een besparing - hoe hoog die besparing is hangt van de organisatie en de gebruikte applicaties af. Naast alle genoemde voordelen, biedt sso bovendien nog meer winst. Het verlaagt namelijk de drempel om meer clouddiensten in te zetten. En dat zorgt voor verdere besparingen, want doorgaans geldt: hoe meer clouddiensten, hoe groter de besparing. Denk alleen al aan het pay-per-use-principe. Over de besparingsmogelijkheden die clouddiensten bieden is natuurlijk al veel geschreven. In een van mijn volgende artikelen maak ik daar ook graag een concrete rekensom voor.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4988437). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Jeroen,
Je was me voor! Ik had al een tijd een artikel over SSO liggen dat vanwege een bedrijfsontwikkeling moest wachten om te publiceren.

Maar goed, sso heeft veel toegevoegde waarde die we op verschillende plekjes binnen ict-architectuur terug zien. In mijn artikel(en) heb ik hier wat verder aandacht aan besteed.

Goed artikel Jeroen! Duidelijk uiteengezet voor de manager en eindgebruiker! Laat die reacties maar komen!

Jeroen en Reza,

let wel, er komt een hoop voorwerk aan te pas:

risico analyse voor gehele enterprise
SSO-manangement igv errors, foutieve SSO-authenticatie
SSO icm authorisatie
SSO icm al bestaande systemen (legacy)
etc.

Geen peulenschil wat ik ook al in diverse organisaties gezien heb.
Voorbereiding en implementatie zal zeker tijd (en geld!) kosten om een goede enterprise SSO te bouwen.
Eerst denken, dan doen!

Cordny,
Terechte reactie!
SSO, Identity Management (IDM) en Access Management(AM) zijn zaken die een goede voorbereiding, proces en organisatorische kennis behoeven. Deze diensten moet je in z`n geheel en als een laag over je architectuur heen bekijken.
Voor implementatie van deze dienst(en) moet je goed nagedacht hebben over sommige aspecten van je ict-architectuur (cloud/intercloud, federatie, Enterprise), beleid en ontwikkelingen in de komende tijd. Hierna ga je naar productkeuze. Moet je voor on-premise kiezen of as-a-service (IDaaS)? Deze en nog meer andere zaken moet je beter met een IDAM/AM consultant bespreken. Een IDM/AM adviseur is zeker geen overbodige luxe!

Deze diensten hebben nog wat andere voordelen die ik in een van mijn artikelen benoemd heb (komt nog!)

Spijtig dat ik deze nu niet kan publiceren :-(

Ik dacht even dat redactie een reclamefolder onder de verkeerde categorie gepubliseerd had omdat alleen de voordelen genoemd worden maar niet de nadelen. En stellen dat SSO kosten neutraal is terwijl je €60 per jaar voor iedere gebruiker extra kwijt bent lijkt me nogal......

Maar goed, er is inderdaad behoefte aan IDaaS nu we steeds meer last krijgen van een 'service sprawl' door alle diensten in de cloud. Hierbij wil ik wel de kanttekening maken dat meeste experts wijzen op de noodzaak van audits in geval van uitbesteding van IdM, iets wat niet helemaal goed ging bij de SSO oplossing van overheid.

And last but not least is er natuurlijk ook nog altijd dat stukje autorisatie, Cordny maakt hier een terechte opmerking omdat praktijk laat zien dat gedurende lifecycle van een account meestal meer rechten verkregen worden. Hierdoor hebben gebruikers misschien niet de organisatorische rol maar wel de digitale mogelijkheid om dingen te doen die eigenlijk niet mogen. En dat levert weer leuke governance problemen op, want 'Shadow IT' probleem wordt namelijk mede veroorzaakt door dit soort verkooppraatjes.

Sorry Jeroen, maar bepaalde financiele adviseurs hadden ongeveer dezelfde rekensommetjes om hun klanten allerlei polissen aan te smeren.

Geld besparen, dat zou ik nog wel eens willen meemaken en echt voorgerekend willen zien.

SSO zegt niets over resetten van wachtwoorden, met SSO heb je 1 wachtwoord dat kan en soms moet worden gewijzigd. Veel applicaties, je vraagt je het af in 2013 zijn niet uitgevoerd met Windows Integrated Authenticatie en dan praat je over maatwerk dat kostbaar is en veelal meer beheer vraagt bij bij changes en andere zaken.

Ik mis nog even een praktisch en realistisch rekenvoorbeeld met aanschaf, afschrijving, beheer van de SSO oplossing versus de kosten die je opnoemt.

Willem,
Jeroen had het niet alleen over het reseten van wachtwoorden.
Je zou dit nog breder moeten bekijken, we hebben het over Identity & Access Management (I'AM).
Voor I`AM heb je producten nodig die aan verschillende eisen moeten kunnen voldoen. MS product is niet compleet en heeft niet altijd de benodigde flexibiliteit en die je voor je hele keten nodig hebt.

En of je dat zelf gaat doen (on-premise) of via cloud (IDaaS) hangt af van veel zaken! Een IDM/AM consultant kan je nog verder vertellen.

"I'AM in Cloud" begint met Identity & AccessManagement!

Willem,
Nog iets wat ik vergeten was aan mijn reactie hierboven toe te voegen: afhankelijk van het product dat je afneemt kun je ook met je SSO-oplossing en via een self-service-portal je wachtwoord resetten. I`AM oplossingen en producten bieden je mogelijkheden waarmee je businessprocessen in de keten kan automatiseren.

@Cordny/Reza
Eens dat als je het grootschalig wilt aanpakken in combinatie met bredere facetten dus geheel IDM/IAM dat dit vaak zware trajecten worden.
Echter, in de praktijk hebben we goede ervaringen met juist ook kleine cases. Beginnen met bijvoorbeeld een of twee applicaties Single Sign On maken en het mooiste is als het kan greenfield starten. Dus een nieuwe (cloud) applicatie die nog vers ingericht wordt zonder historie. Vanuit daar kan dan geleidelijk aan doorgebouwd worden.

Ook aansluiten op bestaande IAM/IDM systemen komt vaak voor. Dus puur de focus op (nieuwe) cloud diensten en koppelen op een bestaande Active Directory/LDAP/IDM tool. Dit is praktisch in situaties waar een bestaande goed functionerende IDM tool is toegepast maar die niet 123 en simpel klaar is voor cloud / SAML based diensten.

@Ewout
Inderdaad heb ik het vooral over de voordelen vanwege mijn enthousiasme over hoe SSO kan werken. Vooral als je klein start. En bij 1 applicatie hoeft ook zeker niet een oplossing van 60 euro per user per maand te staan.

De noot over de link met financieel adviseurs snap ik wel omdat de businesscase vooral uitgaat van indirecte kosten / hidden costs die worden bespaard. Uiteraard is het altijd de discussie of die tijd niet gewoon in het niets opgaat omdat medewerkers, altijd wel een invulling geven.

@Willem/Reza: Ik heb het inderdaad primair over IDaas, de cloudvariant.

@Jeroen,
IDaas mag wat kosten, je krijgt er immers ook wat voor terug. Trajecten zijn echter pittig en ik ben benieuwd wat jouw ervaring is met concrete producten of bedoel je hier vooral de MS variant? (Microsoft Active Directory) en dat in combinatie met veelal MS c.q. Windows producten?

Een ander aspect wat listig is, en waar ook onderzoek voor nodig is (zijn ook kosten en dus investeringen) is de veiligheid en de onderliggende werking. Sommige diensten hebben ineens lange sessies die niet "dood" gaan als je in de SAML een user op non-actief hebt gezet. Of dit aan de implementatie van de leverancier ligt zal ik in het midden laten. Een voorbeeld is dat in Google Apps een user zijn wachtwoord is veranderd (user is uit dienst, maar omdat processen nogal wat tijd kosten is alleen de user zijn wachtwoord gewijzigd zodat hij er niet meer bij kan), alleen zie ik de user nog steeds online op de Google Hangout via een mobiel device en dan praten we nog over twee producten van dezelfde leverancier: Google.

Een ander ding wat ik bij veel diensten zie (bijvoorbeeld Jira van atlassian) is dat de gebruiker na de koppeling met SSO, toch een Username+Wachtwoord aan kan maken en hiermee kan inloggen wat ook weer een backdoor is op de SAML.

Dus ja SSO mooi, maar je moet echt weten wat je doet en iemand hebben die governance uitvoert en het *echt* snapt want anders zou je nog wel eens bedrogen uit kunnen komen.

Dit zijn slechts een paar voorbeelden maar zeker als je de Active Directory induikt (met alle smaken!) dan zit daar nog een heel feest aan valkuilen en onvolwassenheden in. De SSO voor clouddiensten is verre van perfect en zelfs als je bij de MS suites blijft komt er nogal eens een aap uit de mouw.

Niettemin +1 voor je enthousiasme.



Jeroen,
Aan IDaaS kleven veel zaken waardoor het concept niet altijd interessant is voor veel bedrijven. Ik heb het in dit kader niet alleen over technische zaken maar ook juridische aspecten.
Na inventarisatie kun je voor een IDM/AM oplossing kiezen die modulair gebouwd kan worden. In dit geval begin je misschien met 1,2 applicaties in de cloud en deze daarna verder uitbreiden.
IDM/AM hebben ook nog meer interessante voordelen behalve die voor cloud. Daar heb ik kort in mijn artikel iets over gezegd. Ik denk dat ik toch dat artikel eerder publiceren moet :-)

@Henri:
In je reactie zie ik dat we het over een belangrijk punt een zijn: "Onderschat het niet, maak gebruik van kennis en ervaring van een IDM/AM consultant"

Afhankelijk van welk product je voor IDM/AM gebruikt en wat je doelstelling is kun je nog meer met deze dienst doen dan alleen cloud-zaken!

@Jeroen
Ik denk dat je bekende en onbekende kosten door elkaar haalt, de sommen die je maakt gaan uit van redelijk bekende en eenvoudige handelingen in het reguliere gebruikersbeheer wat meestal door de servicedesk gedaan wordt welke je ook bij IDaaS nog steeds nodig hebt. Gezien de reacties is het incasseren van de winst dus al zeer bedenkelijk geworden, je enthousiasme wordt helaas door experts dus wat getemperd.

Henri stelt dat SSO wat mag kosten, het is tenslotte een luxe naar gebruikers en dus kan ik me daar wel enigzins in vinden. Nu voegt hij volgens mij nog stilletjes wat anders toe, sterke authenticatie want één aanlog voor vele diensten vraagt inderdaad wat meer dan een (zwak) wachtwoord. Daarmee komen direct de integratie problemen zoals hij al aangeeft met voorbeelden omdat dit soort oplossingen vaak een extra laagje toevoegen, het idee dat services uit één stal allemaal goed op elkaar afgestemd zijn is helaas dan weer wat naief van hem.

Gezien reacties kan ik denk ik wel stellen dat beveiliging gewoon geld kost, shortcuts die soms genomen worden zorgen meestal voor meer schade dan er bespaard wordt. Om dus nog even op de verborgen kosten terug te komen, deze lasten worden nog te vaak uit de businesscase gelaten.

Jeroen,

heb je voorbeelden van kleine cases en aansluitingen op bestaande systemen? Met een leuke rekensom erbij

Ewout,

Juist met SSO kun je wel zwakke wachtwoorden voorkomen. En in mijn voorbeelden geef ik aan dat zelfs binnen 1 stal, SSO verschillende implementaties kent en niet vlekkeloos is.

Maar SSO klinkt leuk, maar kent veel gezichten. Stel je gebruikt SSO, hoe ga je samenwerken met leveranciers, externen, klanten. Ga je die ook allemaal een SSO account geven omdat je in bepaalde tools moet kunnen samenwerken? En als ze dan geen SSO account hebben, hoe ga je dit instellen en onderbrengen in je beleid ;denk aan je governance!

Een ander voorbeeld waarom de materie niet gemakkelijk is: Stel ik heb een (saas) applicatie, maar ik heb meerdere accounts, bijvoorbeeld een gebruikers account, een test account en aan admin account. Nu moet die applicatie ook weer hiermee om kunnen gaan.

Het is geen gemakkelijke materie en ik denk ook dat we er nog lang niet zijn.

@Henri:

Het antwoord op je vragen is al opgenomen in een zin:

I`AM in Cloud!
Of Identity & Access Management in Cloud.

Je zou een onderscheiding moeten maken tussen Identity Management en Access Management. De zaken die je boven benoemd hebt hebben deels te maken met Identity Management en deels met Access Management.

Je vragen hebben verder te maken met drie onderwerpen: Federatie, Enterprise en Cloud. Connectie tussen Cloud OnPremise en Inter-Clouds worden in deze drie onderwerpen verder behandeld. Zaken zoals de plek van API`s hebben ook in deze onderwerpen een plekje. Nu begin ik de helft van mijn artikel al te vertellen :-(

Hier ben ik in mijn artikel ff globaal op ingegaan. Dat wordt binnenkort gepubliceerd :-)

Nou Reza, Genoeg cliffhangers :-) Ik wacht geduldig af.

Ik ben ook erg benieuwd Reza. Enig idee wanneer we het kunnen verwachten?

Heren,
Dank voor jullie reactie. Jullie verwachting en interesse leggen extra druk op mijn schouders :-)

We zijn druk bezig met het ontwerp en bouwen van een nieuwe site die de landingsbaan gaat vormen voor onze IDM/AM activiteiten (een dienst van ons die tot op heden voor onze klanten onbekend was) We hebben een aantal artikelen opgesteld waar verschillende aspecten van IDM/AM in besproken worden. De eerste versies van deze artikelen waren vrij technisch waar we inmiddels afstand van hebben genomen. IDM/AM zijn onderwerpen die bij veel organisaties onbekend zijn. Daarom hebben we besloten om onze publicaties in "Jip & Janneke"-taal op te stellen. Na deze toegankelijke artikelen (die alleen voor Computable geschreven zijn) gaan we wat technische artikelen publiceren. Ik verwacht dat deze artikelen minder reacties krijgen want IDM/AM zijn vrij droog, ingewikkeld en onbekende zaken.
Ik verwacht dat we over twee weken verder zijn met onze website. Rond deze tijd zullen we beginnen met onze publicaties.

Strategisch gezien moet ik beter niet zo veel vertellen want Jeroen kan eerder publiceren dan wij :-) / :-(

Zoals eerder opgemerkt, "I`AM in Cloud" is gebaseerd op I(dentity) & A(ccess)M(anagement)

@Henri
Volgens mij was ik het een keer met je eens, tenminste met één van je reacties want laatste is weer gewoon onzin.

SSO is bedoeld voor gebruikers - dat endpoint dat geen wachtwoorden kan onthouden enzo - en niet voor ontwikkelaars of beheerders. Les één stelt namelijk dat je NIET met een beheeraccount (god-mode) je dagelijkse werkzaamheden moet doen. Beheerders en misschien ontwikkelaars zijn meestal wel zo slim om wachtwoorden en dergelijke te onthouden dus toegevoegde waarde van SSO lijkt me hier minimaal.

@REZA, ik ben toch ook wel erg benieuwd hoor... geef een seintje als als je publicatie geplaatst is.

@Cordny, Ja deze bijvoorbeeld:

De uitbesteede facilitaire dienstverlening van mijn werkgever regelt niet alleen de catering, maar ook via een webdienst de reservering van vergaderzalen, lunches en melden van storingen. Hiervoor biedt het facilitybedrijf een webportal. Niet al mijn collegas boeken dagelijks een vergaderzaal – zeg dat het voor sommige gemiddeld 10 keer per jaar gebeurt. Door die lage frequentie is dit typisch zo’n webdienst waarvan het wachtwoord wordt vergeten. En dat leverde ons jaarlijks een flink aantal verzoeken om resets. Er zijn zelfs collegas die daardoor het online boeken van vergaderzalen vermijden en zelf maar op zoek gaan naar een vrije ruimte. Waar ze soms na 30 minuten alweer uit worden gezet of erger met klanten gaan dwalen door het pand op zoek naar.... Tel uit je verlies: veel indirecte productiviteitskosten en frustratie

Door het facilityportal Single Sign On te maken voorkomen we nu deze kosten.

Ik kan met wat aannames deze wel weer financieel proberen te maken maar volgens mij is het een herkenbaar scenario van een kleine toepassing.

vergelijkbare kleine toepassing is de service management tooling die we gebruiken binnen onze organisatie... we bieden klanten een self service portaal en dat koppelen we bij voorbaad met de LDAP van de klant voorzien van SAML SSO. Door de drempel voor gebruik van de dienst laag te maken (dus geen vreemd wachtwoord), wat attentie en communicatie , stimuleren we het gebruik en gaan de totale kosten voor klant en leverancier van de servicedesk ingang significant omlaag.

Nu is het al weer even geleden dat ik met zo'n SSO tool heb gewerkt, maar destijds was het één grote ramp.

Het idee erachter is goed, maar in een omgeving met een mix van applicaties, die soms elk een eigen user management omgeving hebben, met elk verschillende geldigheids-duren van de wachtwoorden, verschillende wachtwoord-restricties en verschillende user interfaces (command line, web, java enz) werkte het uiteindelijk voor minder dan 75% van de omgeving.

Ik vraag me dan ook af hoe e.e.a. gaat werken in een mixed-cloud omgeving. Zoals in één van de reacties al wordt geschetst: bij 2 producten van dezelfde leverancier werkt het eigenlijk al niet eens goed.

@Jeroen klinkt bekend, alleen weet ik uit eigen ervaring dat selfservice portaal en LDAP/SAML SSO niet altijd gemakkelijk is in beheersgemak en vooral specialistisch en ook ondoorzichtig kan zijn.
Hierbij sluit ik me aan bij Pa Va Ke.
Try to keep it simple.
Een goede systeemintegratietest is hier geen overbodige luxe, om een ramp tijdens productie te voorkomen. Anders is de helpdesk weer overbelast, wat je juist had willen voorkomen.

PaVaKe,
AM (Access Management) producten zijn inmiddels flink verbeterd. Ik weet nog toen ik circa 8 jaar geleden een Passwoord Manager van Citrix moest implementeren........RAMP!
Het is zeer belangrijk om van tevoren na te denken over de inrichting en de plek van je Identity Store.
Ik kom kort op Identity Store en ook Cloud in mijn artikel terug :-)

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×