Unngå feilgrep – dette bør du vurdere før du anskaffer en IAM-løsning

Unngå feilgrep – dette bør du vurdere før du anskaffer en IAM-løsning

Å anskaffe en løsning for identitets- og tilgangsstyring (IAM) er et strategisk valg med konsekvenser langt utover IT-avdelingen. Et feilgrep kan gi sikkerhetshull, frustrerte brukere og unødig kompleksitet. Her er åtte vurderinger som hjelper deg å velge riktig – både nå og fremover.

 

1

Hvem er brukerne – og hva trenger de tilgang til?

Før du velger en IAM-løsning, må du vite hvem den skal støtte. Ansatte, kunder, partnere eller en kombinasjon? Hver brukergruppe har ulike behov – og det påvirker valg av funksjonalitet og plattform. 

B2C-brukere

Felles for B2C-brukere som privatkunder, pasienter eller medlemmer i en forening, er at de registrerer seg selv og ikke er tilknyttet IAM-løsningen via et felles organisasjonsnummer. Da trengs en løsning som støtter selvbetjent registrering, samtykkehåndtering og enkel pålogging – typisk levert gjennom en CIAM-løsning (Customer IAM)

B2B-brukere 

For B2B-brukere, som leverandører og partnere, er det ofte behov for fleksibel tilgangsstyring og god kontroll på brukerlivssyklusen. Det kan innebære federert innlogging, ulike identitetskilder og behov for å kunne gi og fjerne tilganger etter rolle eller tilknytning.

Ansatte

For ansatte er integrasjoner mot HR-systemet og interne fagsystemer viktig, i tillegg til støtte for automatisert onboarding, selvbetjent tilgangsbestilling og autorisasjon. Løsningen bør også støtte rollebasert tilgangsstyring og sikre god kontroll gjennom hele ansettelsesforholdet.

Flere virksomheter samler alle brukere i én plattform. Det gir bedre kostnadskontroll, enklere drift – og er ofte nødvendig hvis ulike grupper skal ha tilgang til de samme applikasjonene.

2

Velg riktig plattform: Cloud, hybrid eller on-prem?

Det finnes ulike tekniske tilnærminger – fra tradisjonelle on-premise løsninger til SaaS-baserte skytjenester med høy skalerbarhet og kontinuerlig forbedring. Valget påvirker både fleksibilitet, kostnader og hvordan løsningen kan forvaltes over tid. 

IAM-løsninger leveres vanligvis som public cloud (SaaS), private cloud eller on-premise. Selv om alle ofte omtales som “cloud”, er forskjellene betydelige.

Public cloud (SaaS)

Gir fordeler som høy oppetid, automatiske oppdateringer og lavere driftskostnader. Du slipper å tenke på infrastruktur – leverandøren sørger for at systemet utvikles og vedlikeholdes løpende.

Private cloud

Gir mer kontroll og fleksibilitet, men krever gjerne mer teknisk kompetanse internt. Dette kan være aktuelt ved særlige krav til datahåndtering, integrasjoner eller sikkerhet.

On-premises

Installeres og driftes lokalt. Passer for virksomheter med strenge krav til intern kontroll og datasikkerhet. Gir maksimal kontroll, men også høyere driftskostnader og mindre fleksibilitet.

Med fremveksten av containere og hybride løsninger blir skillet mellom modellene mindre tydelig. Likevel er det viktig å velge den modellen som best støtter behovene – både nå og fremover.

3

Sikker pålogging, tilgangsstyring – eller begge deler?

IAM omfatter mange funksjonsområder. For å velge riktig løsning, må dere vite hva dere faktisk trenger – og hva som ikke er inkludert i løsningen.  

Identity and Access Management dekker både hvordan brukere logger inn (autentisering), og hvordan tilganger tildeles og forvaltes (autorisasjon). Men ikke alle løsninger håndterer begge deler.

Ønsker dere å forenkle og sikre innlogging til skytjenester, er det først og fremst Access Management (AM) som er relevant – med funksjoner som Single Sign-On (SSO) og multifaktorautentisering (MFA).

Trenger dere i tillegg styring og kontroll på hvem som får tilgang til hva – og hvordan dette dokumenteres og attesteres – må dere se på løsninger innen Identity Governance and Administration (IGA). Dette omfatter funksjoner som tilgangsstyring med automatisering, jevnlig attestasjon av tilganger og mulighet for å generere revisjonsrapporter.

Flere leverandører kombinerer nå AM og IGA, men det er fortsatt vanlig å måtte velge én av delene – eller integrere to løsninger. Derfor er det viktig å være bevisst på behovene deres, slik at dere velger riktig IAM-plattform fra start.

4

Hvilke påloggingsmetoder må løsningen støtte?

Skal eksterne brukere som kunder, partnere eller leverandører få tilgang til systemene, må dere vurdere hvordan de skal autentisere seg – og hvilke identitetstjenester som må støttes.  

IAM-løsningen bør støtte integrasjon med identitetstjenester som er relevante for målgruppen. I Norge betyr det ofte BankID, Vipps eller MinID – og internasjonalt tjenester som Google, Apple eller Facebook. Slike integrasjoner gjør pålogging tryggere, enklere og mer kjent for brukeren – og reduserer behovet for manuell brukerstøtte.

Flere identitetstjenester kan også brukes til å verifisere nye brukere ved registrering, noe som er særlig nyttig i B2C-løsninger og offentlige tjenester. Stadig flere virksomheter ønsker å støtte både privat og profesjonell identitet – spesielt i B2B-sammenheng, der brukere forventer å kunne logge inn med enten jobb-e-post eller en personlig løsning. Dette bør være en del av kravspesifikasjonen dersom dere skal nå ulike målgrupper.

Hvordan ser dette ut i praksis?

Les hvordan flyselskapet Norwegian effektiviserte drift og tilgangsstyring →

5

 Hvilke prosesser bør automatiseres?

Automatisering er en nøkkel til både økt sikkerhet og effektivitet – men hva som faktisk bør automatiseres, avhenger av behovene deres.  

Alle IAM-løsninger tilbyr en viss grad av automatisering, men mulighetene og fleksibiliteten varierer stort.

I sin enkleste form handler det om automatisk opprettelse og deaktivering av brukerkontoer, men det er ofte behov for mer. Eksempelvis kan det være ønskelig at tilganger først aktiveres like før oppstart, og ikke når den ansatte blir registrert i HR-systemet. Eller at lisenser i Microsoft 365 fjernes når ansatte har vært inaktive i over 180 dager.

Det kan også være behov for å tilpasse brukerinformasjon – som brukernavn, visningsnavn eller roller basert på stilling. Slike endringer krever mer avanserte logiske operasjoner, som ikke alle plattformer støtter like godt.

Jo flere manuelle oppgaver dere ønsker å eliminere, jo viktigere er det å velge en løsning som lar dere automatisere og styre arbeidsflyten effektivt. 

6

 Hvilke systemer må løsningen integreres med?

For at IAM-løsningen skal fungere i praksis, må den kunne snakke med resten av IT-landskapet – fra HR og AD til fagsystemer og skytjenester.  

IAM-løsningen henter og deler data med andre systemer i virksomheten, og integrasjoner er derfor helt avgjørende for både funksjonalitet og effektivitet. En typisk integrasjon er med HR-systemet, som ofte er kilden til informasjon om hvem brukeren er, hvor de jobber, og hvilken tilgang de trenger. Dette gir et grunnlag for automatisk onboarding og tilgangsstyring.

Andre viktige integrasjoner kan være med:

  • Active Directory eller Entra ID (tidl. Azure AD) for autentisering og gruppestyring
  • Fagsystemer og skyapplikasjoner der tilganger skal styres
  • ITSM-verktøy som ServiceNow eller Jira for tilgangsbestilling og godkjenning
  • Løsninger for tilgangsrevisjon eller rapportering, som SIEM eller GRC-systemer

Omfanget og modenheten på integrasjonene varierer mellom leverandører – noen tilbyr API-er og ferdige integrasjoner, mens andre krever mer tilpasning. Tenk derfor gjennom hvilke systemer IAM-løsningen må samhandle med for å dekke deres behov i dag – og i morgen.

7

 Hvordan skal roller og tilganger styres?

En gjennomtenkt tilgangsstyring er avgjørende for sikkerhet og skalerbarhet – og bør inngå som en sentral del av identitetsstrategien.  

Tilgangsstyring handler ikke bare om hvem som får tilgang til hva, men om hvilke regler og prinsipper som styrer dette. En strukturert tilnærming gir bedre kontroll og gjør det mulig å automatisere rettigheter på tvers av roller og systemer.

Mange starter med manuell tildeling, men det blir raskt lite skalerbart. Ved å gruppere brukere i roller basert på stilling, avdeling eller funksjon, kan man forenkle prosessen og redusere risiko for feil.

Vanlige modeller:

  • RBAC (Role-Based Access Control): Tilgang basert på definerte roller
  • ABAC (Attribute-Based Access Control): Tilgang basert på brukerens attributter
  • Policy-basert styring: Tilgang via regler og betingelser

Tilgangsstyring bør ikke vurderes isolert, men inngå i en helhetlig identity roadmap. Det gir bedre grunnlag for å velge en modell og løsning som passer både dagens behov og fremtidige ambisjoner.


Hvor mye sparer din bedrift i å investere i en IAM-løsning?
Les mer om Proof of Value →

8

Hvordan skal dere følge opp og sikre etterlevelse?

Revisjon og kontroll bør være en del av løsningen – ikke noe man gjør en gang i året.  

Når tilganger opprettes manuelt og endres over tid, oppstår det ofte en forskjell mellom det som er planlagt tilgang og det som faktisk er tilgjengelig. Dette kan føre til overtilganger, risiko for datalekkasjer, og brudd på interne eller regulatoriske krav.

Derfor er det viktig å ha en løsning som gir innsyn i hvem som har tilgang til hva, hvorfor de har det – og hvem som godkjente det. Dette kalles gjerne Access Governance, og inkluderer funksjoner som:

  • Attestering (periodisk gjennomgang av tilganger)
  • Revisjonsspor og logging
  • Regelbasert tilgangskontroll
  • Varsling og håndtering av avvik

For virksomheter som er underlagt ISO 27001, GDPR, NIS2 eller andre regelverk, er dette ikke bare «nice to have», men et krav. 

Neste steg

Å anskaffe en IAM-løsning handler ikke bare om teknologi – det handler om å ta gode valg for sikkerhet, brukervennlighet og kontroll. Med riktig tilnærming legger dere et solid grunnlag for fremtidens identitetsforvaltning.

Flere artikler

Cloudworks feirer 10 år som nordisk IAM-spesialist

Cloudworks feirer 10 år som nordisk IAM-spesialist

Cloudworks utvider IAM-tjenester til Finland med Henri Talvitie ved roret

Cloudworks utvider IAM-tjenester til Finland med Henri Talvitie ved roret

Slik beskytter du organisasjonen mot identitetsbaserte angrep

Slik beskytter du organisasjonen mot identitetsbaserte angrep

Se opp for disse fallgruvene før implementering av en IAM-løsning

Se opp for disse fallgruvene før implementering av en IAM-løsning

Hva er Single Sign-On (SSO)?

Hva er Single Sign-On (SSO)?

10 trender innen IAM for 2024

10 trender innen IAM for 2024

Cloudworks Group AS

Cloudworks Norge
Cloudworks AS
Org.nr. 927 879 662

Karenslyst allé 2
0278 Oslo
(+47) 22 49 07 30
kontakt@cloudworks.no