Artikel

Identity en Access Management as-a-service

IAM verenigt security en gebruikersgemak

Nu steeds meer bedrijven IT-diensten, zoals bijvoorbeeld werkplekbeheer, uitbesteden bij IT-dienstverleners, is optimale controle op de online toegang tot het datacenter van groot belang. Toch zijn de eerste requirements vaak gericht op het gemak en effectiviteit van de eindgebruiker. Eisen rondom identity management komen vaak niet aan de orde, maar wel stellen klanten hoge eisen op het gebied van security. Het aantal service providers dat Identity en Access Management als service aanbiedt, groeit dan ook. Een voorbeeld uit de praktijk.

Gebruikersbeheer, authenticatie en wachtwoordmanagement zijn procesonderdelen van Identity en Access Management (IAM). IAM omvat de technologie om identiteiten en de rechten die deze identiteiten hebben op resources over meerdere systemen en platformen te beheren. IAM is nog onderbelicht, maar wordt steeds vaker toegepast binnen organisaties die onderkennen dat een vooruitstrevende aanpak van IAM cruciaal is voor het besparen van kosten op security én het realiseren van innovatie en groei voor hun bedrijf.
Technisch gezien zijn de belangrijkste drijfveren voor het toepassen van IAM de steeds complexer wordende IT-infrastructuur met cloudapplicaties, gebruikers die hun eigen devices willen inzetten (BYOD) en virtuele omgevingen. Daarnaast is de strikte wet- en regelgeving (FISMA, HIPAA, SOX, NEN7510, PCI-dss) een belangrijke drijfveer.
Ook een IT-dienstverlener als Fujitsu ziet de toegevoegde waarde van IAM. Niet alleen omdat het een belangrijke component is in de security-keten, maar ook omdat het goed inregelen van identity management ervoor kan zorgen dat user accounts snel en tijdig worden aangemaakt en eindgebruikers bij de klantorganisatie dus direct productief kunnen zijn. De service provider biedt identity management en wachtwoordbeheer nu als extra optie aan binnen haar aanbod van oplossingen en producten voor werkplekbeheer en centrale service desk.

Starten met identity management
Maar IAM is zeker nog geen gemeengoed en voor veel bedrijven is het uitbesteden van IT-diensten een mooi moment om ermee te beginnen. De eerste stap is het kiezen van een bronsysteem als basis voor het beheren van user accounts. Aan de hand van de informatie in dit bronsysteem worden automatisch autorisaties voor gebruikers in het netwerk toegekend of afgenomen. Een bronsysteem kan bijvoorbeeld een Active Directory zijn, maar steeds meer organisaties kiezen ervoor het HR–systeem als bronsysteem te gebruiken voor het beheer van de user accounts in het netwerk en de verstrekte faciliteiten. Indien een medewerker niet is opgenomen in het HR-systeem dan krijgt deze medewerker geen resources in het netwerk (netwerkaccount, e-mail, toegang tot files). En misschien nog belangrijker, ex-medewerkers hebben daardoor ook geen onrechtmatig toegang tot het netwerk.
Voor het beheren van user accounts bij haar klantorganisaties, gebruikt Fujitsu aan de back-end de user provisioning module van UMRA, de identity management software van Tools4ever. Voor alle medewerkers in het HR-systeem van de klantorganisatie wordt automatisch een user account aangemaakt in het netwerk, inclusief mailbox en toegang tot applicaties. De service desk van Fujitsu wordt zodoende niet belast met deze taak en user accounts zijn vrijwel per direct beschikbaar. De service desk wordt nog wel geïnformeerd doordat UMRA automatisch tickets aanmaakt. Hierdoor heeft de provider de garantie dat de doorbelasting naar de eindklant kan worden geregeld. Wanneer de software de aanvraag in het netwerk heeft verwerkt, wordt het ticket weer automatisch afgesloten. Omdat UMRA diverse koppelingen biedt met derde systemen, denk bijvoorbeeld aan verlofaanvraagsystemen en bedrijfsapplicatie systemen kunnen naast het netwerk ook direct accounts worden aangemaakt in systemen en applicaties van derde partijen.

Cloud provisioning
Maar wat als organisaties ervoor kiezen om cloud applicaties toe te voegen aan hun ICT-omgeving? Controle hebben over wie toegang heeft tot welke applicaties en data wordt met de cloud nog complexer. En leveranciers van cloudoplossingen zijn volop bezig met het ontwikkelen van nieuwe (business gerichte) functionaliteit en geven het ontwikkelen van beter beheer van user accounts en toegangsrechten vooralsnog een lagere prioriteit. Het werken met cloudapplicaties levert daardoor een aantal uitdagingen ten aanzien van user- en toegangsbeheer. Een voorbeeld van zo’n uitdaging is dat cloudapplicaties vaak niet overweg kunnen met de organisatiestructuur. En deze organisatiestructuur (opgeslagen in het HR-systeem) wordt juist gebruikt om autorisaties toe te kennen aan medewerkers op basis van hun rol en functie. Natuurlijk is het mogelijk om de gehele organisatiestructuur over te zetten naar de cloudapplicatie, maar dat levert een grote hoeveelheid beheerwerkzaamheden op in de cloudapplicatie wanneer er iets wijzigt in de hiërarchie. Fujitsu heeft dit ondervangen door met behulp van UMRA een groot aantal applicatiekoppelingen te maken met cloud applicaties, waaronder Office 365. Daardoor is ook user provisioning naar cloudapplicaties mogelijk.

Self-service
Naast dat user accounts automatisch worden aangemaakt op basis van de informatie uit het HR-systeem biedt de provider een self service portal waarin eindgebruikers bij de klantorganisatie nog extra resources kunnen aanvragen, denk aan extra ruimte in de mailbox, toegang tot andere applicaties en netwerkshares of een nieuwe laptop. Alleen zogenaamde mandated users (vaak leidinggevenden) kunnen ook een user accounts voor nieuwe medewerkers aanvragen. Voor de standaard aangeboden extra resources geldt dat deze direct terecht komen bij de service desk en worden uitgevoerd. Voor niet standaard aanvragen, bijvoorbeeld een nieuwe laptop, geldt een vastgesteld goedkeuringsproces. De aanvraag komt via een notificatie e-mail binnen bij een leidinggevende die de aanvraag moet goedkeuren. En na de goedkeuring binnen de klantorganisatie, komt de aanvraag terecht bij de service desk die vervolgens de aanvraag verder afhandelt.

Wachtwoordbeheer
Een andere vorm van self service biedt Fujitsu in de vorm van wachtwoord reset. Om de service desk verder te ontlasten en het eenvoudiger te maken voor de eindgebruiker, kunnen deze zelf hun Active Directory wachtwoord unlocken of resetten wanneer ze die vergeten zijn. Op het Windows login scherm van de eindgebruiker is hiervoor een nieuwe knop toegevoegd. Deze functionaliteit wordt aan de back-end verzorgt door SSRPM van Tools4ever. Om het wachtwoord te kunnen resetten, klikt de gebruiker op deze knop en dient hij zich te identificeren door het beantwoorden van een aantal persoonlijke vragen. Deze vragen hebben zij tijdens eerder de enrollmentfase beantwoord. Na het juist beantwoorden van de persoonlijke vragen, kunnen eindgebruikers kunnen gebruikers hun wachtwoord resetten. Dit kan 24/7 en zonder tussenkomst van de service desk.

Het geautomatiseerd beheren van user accounts heeft voor de IT-dienstverlener vele voordelen. Middels het systeem worden alle aanvragen geregistreerd, waardoor het altijd traceerbaar is wie wat heeft aangevraagd, wie de goedkeuring heeft gegeven en wie de aanvraag in het netwerk heeft doorgevoerd. Dit is niet alleen voor de provider zelf van belang, maar ook voor klanten waarbij security een belangrijke rol speelt. Er is borging dat aan alle security en compliance- eisen wordt voldaan en zij kunnen bij interne audits eenvoudig de benodigde informatie verschaffen. Bovendien worden eindgebruikers bij de klantorganisaties sneller geholpen en wordt werkplekbeheer voor organisaties goedkoper.
Afhankelijk van de specifieke situatie adviseert Fujitsu haar klanten om Identity Management serieus in overweging te nemen. Het IAM-mes snijdt aan twee kanten: het verhoogt de veiligheid én de klanttevredenheid.

Categorie:   
Auteur(s)
afbeelding van tseinen
Tjeerd Seinen
Tools4ever - Technisch Account Manager

Tjeerd Seinen als account manager werkzaam bij Tools4ever in Nederland. Hij beschikt over zowel een technische als commerciële achtergrond en hij is daardoor in staat om kansen in de markt om te zetten in functionaliteiten voor producten en consultancy diensten. Tjeerd heeft meer dan 20 jaar ervaring op het gebied van sales en softwareontwikkeling. Hij studeerde technische informatica aan de Hogeschool van Amsterdam. Daarnaast rondde hij de MBA-opleiding van het NIMBAS in Utrecht met succes af.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.