1. Er målgruppen ansatte, eksterne eller begge deler?
I forkant av en anskaffelse av en IAM-løsning bør bedriften ha tenkt igjennom hvem som er målgruppen. Dersom man har eksterne brukere, slik som B2C- eller B2B-kunder, bør man vurdere en Customer IAM-løsning (CIAM), med funksjoner spesielt egnet for selvbetjent brukerregistrering, innhenting av samtykke og brukervennlige påloggingsfunksjoner.
Trenger man derimot en løsning for ansatte, så er man gjerne mer opptatt av integrasjonsmuligheter mot bedriftens HR-system, produktivitets- og fagsystemer, samt muligheten for selvbetjent bestilling og autorisasjon ved behov for flere tilganger.
En økende trend er at bedrifter ønsker å kombinere tilgangsstyringen for både eksterne og interne brukere i én og samme plattform. Dette er først og fremst kostnadsgunstig – én plattform er tross alt billigere enn to. Det forenkler applikasjonsforvaltningen, og er i grunn en forutsetning hvis begge brukergrupper skal ha tilgang til samme applikasjon.
2. Ren cloud, litt cloud eller on-premise?
Med dette spørsmålet tenker vi på leveransemodellen. IAM-tjenester leveres som offentlige skytjenester basert på en microservices arkitektur (Public cloud/Software as a Service), men også som private tilgjengelige skytjenester (Privat cloud) basert på en monolittisk arkitektur. Begge omtales gjerne som «cloud-tjenester», men det er greit å være klar over forskjellene. En offentlig skytjeneste er gjerne billigere i drift og fornyes hyppigere (uten nedetid), mens en privat skytjeneste kan tilpasses i større grad. Sistnevnte er basert på on-premise-løsninger, som hittil har vært den vanligste leveransemodellen for de mest funksjonsrike og fleksible løsningene.
Det skal sies at etter hvert som container-teknologien har blitt aktuell også for IAM-plattformer, ventes dette å forene fordelene til de nevnte skyvariantene. Hva som til slutt er det beste valget for bedriften, er helt avhengig av kravene til funksjonalitet, behov for tilpasning, samt foretrukket forvaltningsmodell.
3. Sikker pålogging, identitetsforvaltning eller begge deler?
For å kunne velge en egnet løsning bør man kjenne til de ulike funksjonsområdene løsningene dekker. Ønsker man eksempelvis å forenkle og sikre pålogging til skytjenester, så er man ute etter en annen grunnleggende funksjonalitet enn den for å håndtere bestilling, autorisasjon og revisjon av applikasjonstilganger.
Alle produsenter i denne industrien har «Identity» i produktbeskrivelsen. Dette kan oppleves forvirrende, da begrepet dekker et stort fagområde og få av løsningene dekker alt.
Er det ønskelig at løsningen tilbyr Single Sign-On, så er man ute etter en IAM, IAMaaS eller simpelthen en AM-løsning. A’en i disse forkortelsene står for Access som i Access Management, altså tilgangsstyring.
Derimot står A’en i forkortelsen IGA for «Administration» som i Identity Governance and Administration. En IGA-løsning tilbyr dermed ikke funksjoner som Single Sign-On eller multifaktor autentisering, men har sin styrke innen identitetsforvaltning, og spesielt Identity Governance. Det er kanskje forvirrende, men viktig å være klar over, slik at man vet hva man leter etter.
4. Pålogging med BankID, Vipps eller Meta?
Skal kunder, samarbeidspartnere eller leverandører logge seg på bedriftens tjenester, bør dette bli tatt hensyn til i kravspesifikasjonen. Gjennom integrasjon med eksterne identitetstjenester som BankID, Vipps og Meta forenkles påloggingen. Enkelte identitetstjenester egner seg også godt til å verifisere identiteten av nye brukere.
Den siste tiden har vi sett en betydelig økning i etterspørselen etter slike løsninger både innen B2C og B2B, men også rene bedriftsløsninger.
5. Automatisering av manuelle prosesser
Alle IAM-løsninger tilbyr automatisering, dog i varierende grad. I sin enkleste form sørger de for automatisk opprettelse og fjerning av brukerkontoer. Noen ganger er dette imidlertid ikke nok. Kanskje ønsker man at tilgangen først opprettes første arbeidsdag eller 24 timer i forveien, og ikke den samme dagen den ansatte ble registrert i HR-systemet.
Det finnes mange andre eksempler der automatisering sparer tid. For eksempel kan det være hensiktsmessig å automatisere lisenstildelingen i MS Office 365 eller spare lisensutgifter ved å fjerne tilganger til applikasjoner for brukere som ikke har logget på i løpet av de siste 180 dagene.
Behov for logiske operasjoner og manipulasjon av identitetenes attributter, som navn, stilling eller brukernavnet i tilknyttede applikasjoner, er et annet viktig område som lett oversees. En IAM-løsning flytter identitetsinformasjon mellom ulike systemer og da oppstår før eller siden behovet for å tilpasse informasjon på veien.
Støtte for automatiseringen varier stort mellom IAM-løsningene. Noen gir stor frihet, noen tilbyr et «no-code»-grensesnitt, mens andre er begrenset til innebygde automatiseringsfunksjoner.
6. Integrasjoner
En IAM-løsning integreres med bedriftens applikasjoner. Implementering og forvaltning forenkles hvis nødvendige integrasjoner følger med løsningen, men ofte dekker de ikke alle bedriftens systemer. Da er det viktig at løsningen støtter utvidelse med tredjeparts eller egenutviklede integrasjoner.
Et råd i denne sammenhengen er å prioritere applikasjonene som skal integreres, da det sjeldent er hensiktsmessig å koble på absolutt alle applikasjoner. Her bør man avveie gevinsten opp mot innsatsen og vurdere å droppe applikasjoner som kun brukes av få.
Det er også viktig å være klar over behovet for integrasjonsdybde: Skal IAM-plattformen kun opprette brukerkontoer, eller skal den også tildele og avstemme rettigheter i den tilknyttede applikasjonen? Kravspesifikasjonen bør derfor minimum inkludere en oversikt over bedriftens relevante applikasjoner, helst også funksjonaliteten som forventes av integrasjonen.
7. Lag en identitetsstrategi
Identitetsprosjekter vil kunne ha nokså forskjellige ambisjonsnivåer. Innføring av Single Sign-On til et par skyapplikasjoner er et langt enklere initiativ enn et program for innføring av rollebasert tilgangsstyring, selvbetjent applikasjonsbestilling og tilgangsrevisjoner. Initiativene kan spenne fra forholdsvis enkle til mer krevende IT-prosjekter, noen også med innslag av organisatoriske endringsprosjekter.
Mulighetene er mange og derfor er den beste anbefalingen å utarbeide en identitetsstrategi i forkant av anskaffelsen. Strategien utredes med bakgrunn i virksomhetens behov, rammebetingelser og prioriteringer. Den kan også inkludere en «Identity Roadmap» hvis det er behov for å fordele Identity-initiativene over tid. Prosessen hjelper bedriften å definere et realistisk ambisjonsnivå og dermed kravene til IAM-løsningen.
8. Tilgjengelig fagmiljø
Et IAM-produkt er et verktøy, og suksessen i et Identity-initiativ er avhengig av at dette verktøyet anvendes på riktig måte. Alle IAM-løsninger må tilpasses, både til organisasjonen, prosesser og bedriftens øvrige systemer. Det er minst like viktig at dette arbeidet gjøres riktig, som at man velger optimalt verktøy til jobben.
En IAM-løsning vil i mange tilfeller også måtte tilpasses, og sannsynligvis også utvides i løpet av plattformens livssyklus. De fleste bedrifters applikasjonsportefølje er i mer eller mindre konstant forandring, og organisasjonsstruktur og arbeidsoppgaver endres fra tid til annen.
Ved valg av en IAM-løsning bør man derfor vurdere tilgjengeligheten for fag- og produktkompetanse hos ulike integratorer i markedet, siden sannsynligheten er stor at man kommer til å ha behov for den før eller siden. Hvorvidt det er ønskelig at denne kompetansen finnes lokalt eller i prinsipp kan leveres fra hvor som helst, styres av bedriftens preferanser og retningslinjer.
Proof of Value: Hvor mye sparer din bedrift i å investere i en IAM-løsning?
En IAM-løsning effektiviserer og sikrer organisasjonen, men hvor stor er egentlig besparelsen? Hvis dette tallfestes, kan din bedrift ta stilling til hvorvidt en investering er hensiktsmessig og om den skal prioriteres.
