Hva er egentlig Identity and Access Management (IAM)?

IAM er avgjørende for å sikre at riktige personer har tilgang til riktige systemer og data til rett tid. Hva innebærer det, og hvorfor er det så kritisk?

Tidligere var det vanlig å kun få tilgang til bedriftens data når man var fysisk på arbeidsplassen. Brannmurer og sentralisert infrastruktur med datasenter i kjelleren sørget for at brukerne hadde tilgang så lenge de var på jobb. Alle som var utenfor bygget ble regnet som utenforstående og ble sperret ute fra tjenestene.

Med skyløsninger, mobile enheter og hjemmekontor har kompleksiteten økt, og den digitale identiteten har blitt avgjørende for at brukerne skal ha tilgang til de rette systemene. Dette setter IAM i førersetet, både for å sikre systemene og for å tilby tjenester på en god måte til brukerne som trenger dem.

Hva er IAM?

IAM står for Identity and Access Management, som kan oversettes til identitets- og tilgangsstyring.

Kjernen i IAM handler om at brukere skal kunne logge seg på og benytte ulike IT-tjenester, og at de får tilgang til å gjøre det de trenger og akkurat det de skal ha lov til å gjøre – og ikke noe mer.

Kort oppsummert omfatter dette gjerne å sørge for:

Korrekte og fullstendige brukerdata
God oversikt over aktive brukerkontoer
Rett bruker har rett tilgang
Sikker identifisering av brukeren
Brukervennlig innlogging på applikasjoner og tjenester
Mest mulig automatisering av oppretting, vedlikehold og sletting av brukerdata og tilganger

Hva er Identity Management?

Identity Management, eller identitetsforvaltning, handler om å klare å identifisere og beskrive en bruker. Hva er for- og etternavn? Hva er stillingstittel? Hvordan ser vedkommende ut? Hvilken avdeling jobber vedkommende i? Deretter må man sørge for at informasjonen er riktig og holdes oppdatert, og at den sendes ut til de ulike systemene og applikasjonene som trenger å ha denne innsikten.

Selv om ikke alle bedrifter har dedikerte IAM-systemer, så bedriver alle organisasjoner en eller annen form for identitetsforvaltning. Det vil si rutiner og prosesser for å registrere og opprette brukerkontoer og tilganger for nye ansatte, og – forhåpentligvis – å fjerne de igjen når vedkommende slutter. Og så er det et ganske stort spenn på hvor gode disse prosessene er, hvor godt de tar høyde for ulike situasjoner og scenarier og hvor godt de fungerer i praksis.

Når trenger bedrifter identitetsforvaltning?

Bedrifter bør senest begynne å ha et bevisst forhold til forvaltningen av identiteter og tilganger allerede når de runder 20 ansatte. Da begynner man å miste litt oversikt over hvem som gjør hva, og man bør begynne å tenke på hvordan man løser det. Hvorvidt man bør se på dedikerte IAM-systemer, vil være avhengig av hvor kompliserte bedriftens tjenester er, og hvor store krav man har til sikkerhet.

Bedrifter bør begynne å tenke på forvaltningen av identiteter og tilganger allerede når de runder 20 ansatte.

Hva er Access Management?

Access Management, eller tilgangsforvaltning, handler om hvilke tjenester og applikasjoner brukere skal kunne logge inn på, samt hva vedkommende skal få lov til å gjøre og hvilke data de skal få innsikt i når de er inne i tjenestene.

I noen tjenester skal man kunne logge på og redigere sine egne dokumenter, mens en annen person kanskje skal ha muligheten til å gå inn som en superbruker og ha videre privilegier og rettigheter til å gjøre ting. Med et stadig voksende antall tjenester og applikasjoner, blir dette en mer og mer kompleks logistikk.

Sårbart å bruke ett brukernavn og passord for alle systemer

Før var det gjerne slik at hadde du eksempelvis tilgang til åtte systemer, var det også åtte ulike brukernavn og passord. Det var ikke uvanlig å se buketter av post-it-lapper som hang rundt kontorplassen for at folk skulle klare å huske hvilket brukernavn og passord som gikk til hvilket system.

Etter hvert begynte man å knytte systemene sammen slik at man kun trengte ett brukernavn og passord som så ble distribuert ut til alle systemene. På den måten oppnår man mye bedre brukervennlighet, men sikkerheten synker og man har større sårbarhet. For hvis du mister passordet, har inntrengeren plutselig tilgang til alle de andre systemene også. Sikkerheten er dermed aldri sterkere enn det svakeste systemet.

Akkurat som en kjede aldri er sterkere enn det svakeste leddet, så var sikkerheten aldri sterkere enn det svakeste systemet.

Sentral identitetstjeneste for økt sikkerhet og brukervennlighet

En bedre løsning er en sentral identitetstjeneste (IdP), som gjennomfører identifiseringen på en sikker måte på vegne av de forskjellige systemene. Når den sentrale IdP'en går god for brukeren, sendes beskjed tilbake til systemet. Siden systemet ikke har noe kunnskap om hvordan brukeren har autentisert seg eller hvilket passord brukeren har, risikerer man ikke at informasjonen kan brukes til å logge seg på andre steder ved et eventuelt innbrudd i en av tjenestene. Dermed har vi fått det beste av to verdener: både økt brukervennlighet og økt sikkerhet. CW_illustrasjon_teamwork-1

Frigjøring av ressurser, økt effektivitet og forbedret sikkerhet

Etter hvert som man får kontroll, vil man se at jobben man gjør også frigjør ressurser og gjør ting mer effektivt. For eksempel kan bedriften spare penger fordi lisenser blir frigjort når man ikke betaler for gamle brukere, og fordi brukere og servicedesk ikke trenger å bruke masse tid på passord-reset.

Det er enklere å sette av ressurser til videre utvikling og utrulling av løsninger som understøtter god identitets- og tilgangsforvaltning, når man ser at man sparer ressurser og forbedrer sikkerheten. Spesielt når man får tydeliggjort gevinstene for både forretningen og sluttbrukerne.

Gjort riktig vil IAM være en «force multiplier» for din bedrift. Både i arbeidet med å sørge for solid sikkerhet rundt tjenester og data, samt å effektivt sørge for gode tjenester til dine sluttbrukere!