Betydningen av identitet for SaaS-applikasjoner
Skytjenester revolusjonerer bedriftene. Organisasjoner overalt, både små og store, flytter fra lokal programvare til skybaserte tjenester. Overgangen til denne hybride konfigurasjonen gjør det stadig viktigere å ha kontroll på hvem som får tilgang til hvilke applikasjoner. Dette presenterer et helt nytt sett med utfordringer knyttet til identitetsadministrasjon for IT-avdelingen. I tillegg må de ansatte holde oversikten over flere brukernavn, passord og nettadresser for å få tilgang til deres applikasjoner.
IT-avdelingens rolle er fundamentalt forandret. Som forvalter av disse nye tjenestene må de kunne gi innsikt og råd om SaaS-produkter for å sikre at selskapet maksimerer forretningsverdien av sine investeringer.
1. Ansatte er lei av alle passordene
Selv om SaaS-modellen i utgangspunktet gjør det enklere for brukerne å få tilgang til sine applikasjoner, øker kompleksiteten raskt med antall applikasjoner. Hver applikasjon har forskjellige passordregler og utløpstider. Mangfoldet av passordregler i kombinasjon med et mangfold av utløpstider, skaper en dårlig brukeropplevelse når de ansatte må bruke tid på å prøve å huske, administrere og tilbakestille disse stadig skiftende passordene og nettadressene i alle sine applikasjoner.
Kanskje en enda større bekymring er sikkerhetsrisikoen forårsaket av at de ansatte blir lei av alle passordene, og bruker av den grunn åpenbare eller gjenbrukte passord gjerne skrevet ned på Post-it, enkelt tilgjengelig på mobil eller lagret i Excel-filer på bærbare datamaskiner.
IAM-tjenester kan redusere disse bekymringene ved å tilby Single Sign-On (SSO) på tvers av alle disse applikasjonene. Dette gir de ansatte ett sentralt sted å gå til for å få tilgang til alle sine applikasjoner med ett enkelt brukernavn og passord. I tillegg vil et slikt identitetsstyringssystem også gjøre det mulig for ulike avdelinger å administrere identiteter for både skybaserte og lokale applikasjoner.
De fleste bedrifter bruker Microsoft Active Directory (AD). Denne autoritative brukerkatalogen styrer tilgangen til grunnleggende IT-tjenester som epost og fildeling. AD er ofte også brukt for å kontrollere tilgangen til et bredere sett av forretningsapplikasjoner og IT-systemer. En god IAM-løsning utnytter Active Directory, og tillater de ansatte å fortsette å bruke deres eksisterende brukerkonto med tilhørende passord for å få tilgang til SaaS-applikasjonene. Dette øker også sannsynligheten for at de ansatte vil ta i bruk SaaS-applikasjonene bedriften tilbyr dem.
2. Ineffektiv onboarding og mangelfull offboarding
Når en ny medarbeider begynner i et selskap er det som regel IT-avdelingen som gir tilgang til bedriftsnettverket, filserver, epostkonto, skriver og lignende. Siden mange SaaS-applikasjoner håndteres på avdelingsnivå, blir tilgang til disse applikasjonene ofte gitt av en som er ansvarlig for applikasjonen istedenfor av IT-avdelingen. Dette fører lett til en fragmentert prosess og dårlig brukeropplevelse hos den nyansatte.
En god tjeneste for identitets- og tilgangshåndtering bør kunne automatisere brukeropprettelsen og distribusjonen av SaaS-applikasjoner som en naturlig forlengelse av en eksisterende onboardingprosess. Når en bruker legges til eksempelvis Active Directory, bør vedkommende automatisk få tilgang til applikasjoner som på forhånd er definert som nødvendige for den gruppen som den ansatte tilhører i organisasjonen.
I de fleste tilfeller er det en større utfordring når en ansatt slutter. IT-avdelingen har gjerne rutiner for å oppheve tilganger til epost og bedriftsnettverk sentralt, men må stole på at administratorene for de ulike applikasjonene utenfor IT-avdelingen fjerner tilgangene som vedkommende har til hver enkelt SaaS-applikasjon. Dette gjør selskapet sårbart. Kritiske applikasjoner og data for bedriften er i hendene på potensielle utilfredse tidligere ansatte. I tillegg ser revisorer etter mangler i hvordan bedriften håndterer slike prosesser.
En IAM-tjeneste skal ikke bare tilrettelegge for at IT-avdelingen enkelt kan legge til nye applikasjoner, men den bør også gi:
- Automatiserte ressursfjerningsprosesser på tvers av alle lokale og skybaserte applikasjoner
- Omfattende integrasjon med Active Directory
- Sentral oversikt over applikasjonsbruken
IAM-tjenesten bør ganske enkelt gi bedriften trygghet i at når ansatte forlater selskapet, så har de ikke lenger tilgang til selskapets data.
3. Manglende compliance
En organisasjon må gjennomføre alle aktiviteter i samsvar med gjeldende lover, forskrifter og andre regler, samt i tråd med interne bestemmelser og retningslinjer. Synlighet rundt compliance gjelder i høyeste grad også for IAM. En organisasjon må forstå hvem som har tilgang til applikasjoner og data, hvem som har gitt tilgangen og hvordan den blir brukt. Skytjenester tilbyr sjeldent slike oversikter.
For å kunne svare revisorer om hvilke ansatte som har tilgang til hvilke applikasjoner og data er det nødvendig med sentral synlighet og kontroll på tvers av alle systemene. En IAM-tjeneste bør gjøre det mulig å gi helhetlige tilgangsrettigheter på tvers av tjenester, og gi sentraliserte compliance-rapporter om informasjonsforvaltningen knyttet til tilgangsstyring, on-/offboarding og bruker- og administratoraktivitet.
4. Separate brukerkataloger for hver applikasjon
De fleste bedrifter har gjort en betydelig investering i en bedriftskatalog som eksempelvis Active Directory, for å administrere tilganger til lokale program- og nettverksressurser. Av den grunn ønsker de å utnytte denne investeringen og utvide den til å også gjelde skybaserte tjenester.
En IAM-løsning skal enkelt kunne integreres med bedriftens Active Directory og/eller LDAP-katalog, slik at organisasjonen sømløst kan utnytte eksisterende infrastruktur og forvaltningsprosesser. Etter hvert som brukere legges til eller fjernes fra bedriftens sentrale katalogtjeneste, vil dette også automatisk reflektere tilgangen til skybaserte applikasjoner.
5. Tilgangsforvaltning på ulike enheter
En av de store fordelene med skyapplikasjoner er at de er tilgjengelige fra alle enheter som er koblet til internett. Flere apper betyr dog også flere nettadresser og passord, og oppkoblingen fra mobile enheter introduserer enda et tilgangspunkt å administrere og gi brukerstøtte til. IT-avdelinger må legge til rette for tilgang på flere enheter og plattformer uten å svekke sikkerheten – en krevende oppgave uten de rette verktøyene.
En IAM-løsning med applikasjonsportal vil presentere alle applikasjoner en bruker har tilgang til, og dermed løse utfordringene knyttet til å ha tilgang «hvor som helst, når som helst, fra hvilken som helst enhet.» IAM-applikasjonsportalen vil gi «Single Sign-On»-tilgang til alle brukerprogrammer, noe som også bør fungere fra de ansattes ulike mobile enheter.
6. Tungvint forvaltning av SaaS-integrasjoner
En sentralisering av Single Sign-On og brukeradministrasjon krever å bygge integrasjoner med SaaS-applikasjoner. Forvaltning av slike integrasjoner kan være nokså krevende hvis disse er spesialbygd og eies av IT-avdeling.
I likhet med lokale applikasjoner endrer SaaS-applikasjoner seg over tid. En god IAM-løsning bør følge med på disse endringene og sikre at applikasjonsintegrasjonen og dermed tilgangen, alltid er oppdatert og fungerende. For at dette skal virke i praksis må IAM-leverandøren «eie» integrasjonen, med andre ord ha en stor portefølje av slike integrasjoner tilgjengelig i sin løsning. Etter hvert som de forskjellige integrasjonsgrensesnitt for ulike tjenester endrer og utvider seg, bør IAM-leverandøren oppdatere sine integrasjoner og dermed avlaste IT-avdelingen så de ikke lenger trenger å spore avhengigheter mellom integrasjoner og applikasjonsversjoner.
I tillegg bør det også være like enkelt å legge til et nytt program, som det er å laste ned en app til mobiltelefonen. Med bare minimal bedriftsspesifikk konfigurasjon bør nye SaaS-applikasjoner integreres med SSO og brukeradministrasjon innen minutter.
7. Shadow IT
Siden skyapplikasjoner stadig blir enklere og rimeligere å installere, tar også bedriftene i bruk flere SaaS-løsninger hver dag. Disse løsningene administreres ofte av den avdelingen som bruker dem. Dette kan være til nytte for IT siden det etterlater applikasjonsadministrasjonen til andre og frigjør tid, men det kan også skape et nytt problem fordi det ikke er noe sentralt sted å administrere brukere og applikasjoner, samt få tilgang til rapporter og analyse.
En IAM-løsning lar IT-avdelingen tilrettelegge tilgangsstyringen. Sistnevnte kan godt utføres av andre enn IT i form av delegert tilgangsstyring, men IT må kunne se at dette ansvaret blir ivaretatt. Uten en IAM-løsning vil dette knapt være mulig.
8. Suboptimalisering uten sentral oversikt
En grunn til økningen av skyapplikasjoner er at den månedlige abonnementsmodellen har erstattet den dyre engangskostnaden for lokale programvarelisenser og «skjulte» kostnader i form av serverrom med tilhørende infrastruktur. Økonomiavdelingen foretrekker å betale for tjenestene etter hvert som abonnementet løper. Uten sentralisert innsikt i bruk og kostnader er det imidlertid umulig for både IT- og økonomiavdelingene å ha oversikt over abonnementskjøpene og hvorvidt anvendelsen står i stil med kostnaden.
En skybasert IAM-tjeneste bør gi nøyaktig synlighet av utnyttelsesgraden og hjelpe IT-avdelingen med å optimalisere abonnementsutgifter. Ledere bør ha tilgang til rapporter som viser utnyttelsen av tjenesten i sin del av organisasjonen.
I denne artikkelen har vi sett på åtte hovedutfordringer for identitets- og tilgangsstyring når bedrifter begynner å bruke SaaS-applikasjoner. I Cloudworks sørger vi for at investeringene til kundene våre fungerer sømløst med deres lokale IT-infrastruktur. Våre dyktige konsulenter kan bidra både i kartleggingsfasen og med selve implementeringen.
Ta kontakt i dag for en uforpliktende samtale for å finne ut hvordan vi kan hjelpe din bedrift!
