Identity and Access Management (IAM) is voor veel bedrijven gewoon te complex geworden. “Dat hoeft niet het geval te zijn”, zegt Andreas Martin van FirstAttribute.
ITB: Wat onderscheidt voor u een intelligente IAM-oplossing?
Martin: Die laat bewust functies weg die weinig nut hebben, evenals ingewikkelde connectoren en workflowprocessen met foutgevoelige synchronisaties. Het is ontworpen als een portaal voor identiteitsbeheer (IdM) met geïntegreerd autorisatiebeheer, waarin zelfbediening door de gebruiker een centrale rol speelt. En het overtuigt in design en taal met een eenvoudige gebruikersinterface waarin technische details voor de gebruikers op de achtergrond blijven en zij alleen zien wat zij geacht worden te zien.
ITB: Maar hoe kunnen bedrijven er zeker van zijn dat hun IdM-portal functies zonder toegevoegde waarde voor de gebruikers van meet af aan weglaat?
Martin: Bij FirstAttribute hebben we consequent vooruit gewerkt. In vele workshops met klanten, softwareontwikkelaars en consultants hebben wij ons kritisch afgevraagd wat de gebruikers eigenlijk nodig hebben en welke functies voor het bedrijf winstgevend kunnen worden gebruikt. Wij hebben alle andere functies opgeschoond of in het geheel niet ontwikkeld. Op die manier hebben we de complexiteit op functioneel niveau al teruggebracht.
ITB: Het gebruik van ingewikkelde connectoren en workflowprocessen lijkt me onvermijdelijk binnen een IAM-systeem. Maar u zegt dat zelfs dit in de meeste gevallen achterwege kan blijven. Hoe is dat mogelijk?
Martin: Door Active Directory te gebruiken als centrale directory service binnen het IdM-portaal naar keuze, door gebruik te maken van het gebruikersbeheer van Active Directory en door gebruik te maken van een zogenaamde Power Shell service. Via Active Directory als de centrale directorydienst is elk AD-object toegankelijk. Dit betekent dat de administratie niet alleen beperkt is tot identiteiten en hun autorisaties, maar ook andere objecten omvat, zoals clients en printers. Niet-Microsoft objecten kunnen worden geïntegreerd in de AD directory via Power Shell Extensions. Veel fabrikanten van deze systemen bieden dergelijke Power Shell Extensions aan. Met het gebruikersbeheer van Active Directory kunnen autorisaties eenvoudig en veilig worden beheerd door middel van rollen. Dit maakt onder meer een rolgebaseerde delegatie van administratieve taken mogelijk, die in vergelijking met autorisatieworkflows met ingewikkelde synchronisatie veel eenvoudiger en ook foutloos kan worden beheerd. De Power Shell service vertaalt de acties en de taal van de interface in de structuren, de logica en de formaten van de betrokken doelsystemen. Dit bespaart het gebruik van complexe connectoren met foutgevoelige synchronisaties. De powershell-service is ook de uitvoerende instantie op de achtergrond voor de rolgebaseerde delegatie van administratieve taken.
ITB: U hebt een consistente oriëntatie als IdM-portaal benadrukt, waarin een gebruikerszelfbediening een centrale rol speelt. Is dat niet ook de huidige stand van de techniek voor de klassieke IAM-suites die in de loop der tijd zijn gegroeid?
Martin: Nee. Op het eerste gezicht hebben ze allemaal een selfserviceportaal. Deze portalen zijn echter slechts in beperkte mate geschikt voor zelfbediening omdat zij later zijn opgezet. Voor de bedrijven betekent dit dat wijzigingen door de gebruikers vaak pas na uren worden gesynchroniseerd in de doelsystemen, die via connectoren met elkaar verbonden zijn. Dit is anders wanneer de Power Shell service direct in actie komt. Vervolgens worden de wijzigingen ad hoc naar de betrokken doelsystemen geschreven. De veranderingen zijn dus onmiddellijk actief. Deze snelle implementatie motiveert het personeel natuurlijk ook om het selfserviceportaal met inzet te gebruiken.
Een IdM-portaal met autorisatiebeheer en Active Directory heeft veel voordelen. Via LDAP kunnen systemen worden geïntegreerd zonder een Power Shell Extension. Met SAML en Kerberos is single sign-on eenvoudiger en veiliger te implementeren dan met de on-board tools van klassieke IAM suites. Autorisatie kan worden gecentraliseerd via Radius. OAuth beperkt de toegang tot bepaalde toepassingen en Azure AD maakt eenvoudige tweefactorauthenticatie tegen Microsoft-clouds mogelijk.
Andreas Martin is Raad van Bestuur en CEO van het consultancybedrijf FirstAttribute AG. Hij slaat op de reclametrommel voor het eigen IdM-portaal FirstWare: volgens Martin kunnen bedrijven met deze oplossing hun licentiekosten met minstens 50 procent verlagen ten opzichte van klassieke IAM-suites.
ITB: In hoeverre moet de fabrikant van het IdM-portaal voorwerk hebben gedaan voor een eenvoudige gebruikersinterface?
Martin: De consequente vermindering van de technische complexiteit komt ook een goed zichtbare gebruikersinterface ten goede. Er is meer ruimte voor een eigentijdse interface qua vormgeving en taalgebruik, die gebruikers dicht bij hun organisatie en taken oppakt. Met Active Directory blijven de structuren van de centrale directorydienst hoe dan ook op de achtergrond voor gebruikers en beheerders. Daarnaast kan gebruik worden gemaakt van rolgebaseerd beheer en delegatie om te controleren of gebruikers alleen datgene zien wat zij op de gebruikersinterface moeten zien om hun taken te vervullen. De technische uitvoering van de beheers- en delegatieactiviteiten wordt uitgevoerd in de onderliggende Active Directory-interface. Zij kunnen dus niet worden beïnvloed of gemanipuleerd vanuit de gebruikersinterface. Voor het bedrijf is dit een extra beveiliging.