De populariteit van clouddiensten groeit. Goed nieuws voor it-afdelingen, die met cloud- en webbased diensten hun organisaties in staat stellen kosten te besparen. Er staat nog slechts één serieuze operationele hindernis in de weg: het inloggen op de verschillende diensten. Single sign on (sso) biedt daarbij uitkomst. En dat minimaal kostenneutraal! Het bewijs? Harde cijfers en een rekensom op basis van ervaringen uit de praktijk.
Alle voordelen ten spijt hebben clouddiensten ook een nadeel. Wanneer een gebruiker van de ene naar de andere dienst gaat, moet hij of zij namelijk opnieuw inloggen. It-afdelingen overwegen daarom geregeld de inzet van single sign on (sso). Alleen zetten ze dat in de praktijk niet altijd door. Meestal vanwege vermeende hoge kosten. Zonde, want de inzet van sso is relatief goedkoop, houdt veel eindgebruikers tevreden en levert zowel de it-afdeling als de rest van de organisatie meer op dan het kost. En dat doet sso al vanaftwee2 clouddiensten. Om voor eens en voor altijd af te rekenen met de vooroordelen rond sso heb ik de kosten en opbrengsten naast elkaar gezet in een rekenvoorbeeld.
De rekensom
1. Kostenneutraal voor it. Eindgebruikers vergeten geregeld hun wachtwoorden. Vooral die van de clouddiensten die ze niet dagelijks gebruiken. Een wachtwoord dat vervolgens gereset moet worden, kost zowel de eindgebruiker als it tijd. Zeg vijftien minuten. Vertaald naar de inzet van een it-medewerker komt dat op minimaal vijftien euro voor de it-afdeling per keer. Of een organisatie nu twee clouddiensten of tien afneemt, minimaal komt het zo’n vier keer per jaar voor (na vakanties of na het verplichte wijzigen van een wachtwoord): Zestig euro dus, per eindgebruiker per jaar. Sso kost – zelfs als uitgebreide premium variant – meestal niet meer dan vijf euro per eindgebruiker per maand, zestig euro per jaar. Dat betekent dat de kosten voor de IT-afdeling er al uit zijn.
2. En dan: de bonus voor it. In de meeste sso- en cloud identity management-oplossingen (idm) zit standaard een onderdeel voor provisioning en deprovisioning (het geautomatiseerd aanmaken en verwijderen van gebruikersaccounts). Gemiddeld wijzigt per jaar 10 procent van het totaal aantal accounts in een onderneming. Heeft een it-afdeling duizend accounts in beheer, dan worden er dus jaarlijks al snel honderd accounts aangemaakt of verwijderd. Zonder een integrale sso- of cloud idm-oplossing kost dat ongeveer een half uur per account (want een account moet doorgaans op minimaal drie verschillende plekken worden aangemaakt of verwijderd). Vijftig uur dus, per jaar, voor de it-afdeling – dat keer dertig euro betekent een besparing van vijftienhonderd euro.
3. Plus: voordeel voor de business. Daarnaast is er natuurlijk de winst voor de business. Met een integrale sso-oplossing behoren deze (indirecte) kosten en ergernissen tot het verleden:
– de inproductieve tijd van de eindgebruiker tijdens het resetten van het wachtwoord (uitgaande van dezelfde kosten als een it’er, zestig euro per eindgebruiker per jaar).
– ook als de helpdesk niet geraadpleegd hoeft te worden, gaat het steeds opnieuw inloggen en zoeken naar wachtwoorden ten koste van productiviteit, gemiddeld tien minuten per keer (wederom: even uitgaande van vier keer per jaar, dus veertig minuten per jaar, komt dat op veertig euro per eindgebruiker per jaar).
– mensen verzinnen digitale houtje-touwtje oplossingen (met alle risico’s van dien) wanneer ze hun wachtwoord niet makkelijk terug kunnen vinden.
– medewerkers gaan daarnaast de web- of clouddienst vermijden, waardoor de werkprocessen niet optimaal worden uitgevoerd.
– en kunnen ze veilig doe-het-zelven via een selfserviceportal, dan kan daar ook het wachtwoord van zoek raken.
Toegevoegde waarde van SSO voor:
- Het managementteam (mt), want sso draagt bij aan één van de meest prangende organisatievraagstukken op het moment: hoe vergroot ik de productiviteit?
- It, want het laat zien dat de it-afdeling meedenkt en concrete oplossingen voor organisatievraagstukken aandraagt.
- Hrm, want onvindbare wachtwoorden zijn één van de grootste ergernissen voor medewerkers.
- Security en compliance, want medewerkers zijn veel minder snel geneigd zich te wenden tot risicovolle digitale houtje-touwtje oplossingen.
Incasseer die winst
De introductie van sso zorgt dus voor een besparing – hoe hoog die besparing is hangt van de organisatie en de gebruikte applicaties af. Naast alle genoemde voordelen, biedt sso bovendien nog meer winst. Het verlaagt namelijk de drempel om meer clouddiensten in te zetten. En dat zorgt voor verdere besparingen, want doorgaans geldt: hoe meer clouddiensten, hoe groter de besparing. Denk alleen al aan het pay-per-use-principe. Over de besparingsmogelijkheden die clouddiensten bieden is natuurlijk al veel geschreven. In een van mijn volgende artikelen maak ik daar ook graag een concrete rekensom voor.
@Jeroen,
IDaas mag wat kosten, je krijgt er immers ook wat voor terug. Trajecten zijn echter pittig en ik ben benieuwd wat jouw ervaring is met concrete producten of bedoel je hier vooral de MS variant? (Microsoft Active Directory) en dat in combinatie met veelal MS c.q. Windows producten?
Een ander aspect wat listig is, en waar ook onderzoek voor nodig is (zijn ook kosten en dus investeringen) is de veiligheid en de onderliggende werking. Sommige diensten hebben ineens lange sessies die niet “dood” gaan als je in de SAML een user op non-actief hebt gezet. Of dit aan de implementatie van de leverancier ligt zal ik in het midden laten. Een voorbeeld is dat in Google Apps een user zijn wachtwoord is veranderd (user is uit dienst, maar omdat processen nogal wat tijd kosten is alleen de user zijn wachtwoord gewijzigd zodat hij er niet meer bij kan), alleen zie ik de user nog steeds online op de Google Hangout via een mobiel device en dan praten we nog over twee producten van dezelfde leverancier: Google.
Een ander ding wat ik bij veel diensten zie (bijvoorbeeld Jira van atlassian) is dat de gebruiker na de koppeling met SSO, toch een Username+Wachtwoord aan kan maken en hiermee kan inloggen wat ook weer een backdoor is op de SAML.
Dus ja SSO mooi, maar je moet echt weten wat je doet en iemand hebben die governance uitvoert en het *echt* snapt want anders zou je nog wel eens bedrogen uit kunnen komen.
Dit zijn slechts een paar voorbeelden maar zeker als je de Active Directory induikt (met alle smaken!) dan zit daar nog een heel feest aan valkuilen en onvolwassenheden in. De SSO voor clouddiensten is verre van perfect en zelfs als je bij de MS suites blijft komt er nogal eens een aap uit de mouw.
Niettemin +1 voor je enthousiasme.
Jeroen,
Aan IDaaS kleven veel zaken waardoor het concept niet altijd interessant is voor veel bedrijven. Ik heb het in dit kader niet alleen over technische zaken maar ook juridische aspecten.
Na inventarisatie kun je voor een IDM/AM oplossing kiezen die modulair gebouwd kan worden. In dit geval begin je misschien met 1,2 applicaties in de cloud en deze daarna verder uitbreiden.
IDM/AM hebben ook nog meer interessante voordelen behalve die voor cloud. Daar heb ik kort in mijn artikel iets over gezegd. Ik denk dat ik toch dat artikel eerder publiceren moet 🙂
@Henri:
In je reactie zie ik dat we het over een belangrijk punt een zijn: “Onderschat het niet, maak gebruik van kennis en ervaring van een IDM/AM consultant”
Afhankelijk van welk product je voor IDM/AM gebruikt en wat je doelstelling is kun je nog meer met deze dienst doen dan alleen cloud-zaken!
@Jeroen
Ik denk dat je bekende en onbekende kosten door elkaar haalt, de sommen die je maakt gaan uit van redelijk bekende en eenvoudige handelingen in het reguliere gebruikersbeheer wat meestal door de servicedesk gedaan wordt welke je ook bij IDaaS nog steeds nodig hebt. Gezien de reacties is het incasseren van de winst dus al zeer bedenkelijk geworden, je enthousiasme wordt helaas door experts dus wat getemperd.
Henri stelt dat SSO wat mag kosten, het is tenslotte een luxe naar gebruikers en dus kan ik me daar wel enigzins in vinden. Nu voegt hij volgens mij nog stilletjes wat anders toe, sterke authenticatie want één aanlog voor vele diensten vraagt inderdaad wat meer dan een (zwak) wachtwoord. Daarmee komen direct de integratie problemen zoals hij al aangeeft met voorbeelden omdat dit soort oplossingen vaak een extra laagje toevoegen, het idee dat services uit één stal allemaal goed op elkaar afgestemd zijn is helaas dan weer wat naief van hem.
Gezien reacties kan ik denk ik wel stellen dat beveiliging gewoon geld kost, shortcuts die soms genomen worden zorgen meestal voor meer schade dan er bespaard wordt. Om dus nog even op de verborgen kosten terug te komen, deze lasten worden nog te vaak uit de businesscase gelaten.
Jeroen,
heb je voorbeelden van kleine cases en aansluitingen op bestaande systemen? Met een leuke rekensom erbij
Ewout,
Juist met SSO kun je wel zwakke wachtwoorden voorkomen. En in mijn voorbeelden geef ik aan dat zelfs binnen 1 stal, SSO verschillende implementaties kent en niet vlekkeloos is.
Maar SSO klinkt leuk, maar kent veel gezichten. Stel je gebruikt SSO, hoe ga je samenwerken met leveranciers, externen, klanten. Ga je die ook allemaal een SSO account geven omdat je in bepaalde tools moet kunnen samenwerken? En als ze dan geen SSO account hebben, hoe ga je dit instellen en onderbrengen in je beleid ;denk aan je governance!
Een ander voorbeeld waarom de materie niet gemakkelijk is: Stel ik heb een (saas) applicatie, maar ik heb meerdere accounts, bijvoorbeeld een gebruikers account, een test account en aan admin account. Nu moet die applicatie ook weer hiermee om kunnen gaan.
Het is geen gemakkelijke materie en ik denk ook dat we er nog lang niet zijn.
@Henri:
Het antwoord op je vragen is al opgenomen in een zin:
I`AM in Cloud!
Of Identity & Access Management in Cloud.
Je zou een onderscheiding moeten maken tussen Identity Management en Access Management. De zaken die je boven benoemd hebt hebben deels te maken met Identity Management en deels met Access Management.
Je vragen hebben verder te maken met drie onderwerpen: Federatie, Enterprise en Cloud. Connectie tussen Cloud OnPremise en Inter-Clouds worden in deze drie onderwerpen verder behandeld. Zaken zoals de plek van API`s hebben ook in deze onderwerpen een plekje. Nu begin ik de helft van mijn artikel al te vertellen 🙁
Hier ben ik in mijn artikel ff globaal op ingegaan. Dat wordt binnenkort gepubliceerd 🙂
Nou Reza, Genoeg cliffhangers 🙂 Ik wacht geduldig af.
Ik ben ook erg benieuwd Reza. Enig idee wanneer we het kunnen verwachten?
@Henri
Volgens mij was ik het een keer met je eens, tenminste met één van je reacties want laatste is weer gewoon onzin.
SSO is bedoeld voor gebruikers – dat endpoint dat geen wachtwoorden kan onthouden enzo – en niet voor ontwikkelaars of beheerders. Les één stelt namelijk dat je NIET met een beheeraccount (god-mode) je dagelijkse werkzaamheden moet doen. Beheerders en misschien ontwikkelaars zijn meestal wel zo slim om wachtwoorden en dergelijke te onthouden dus toegevoegde waarde van SSO lijkt me hier minimaal.
Heren,
Dank voor jullie reactie. Jullie verwachting en interesse leggen extra druk op mijn schouders 🙂
We zijn druk bezig met het ontwerp en bouwen van een nieuwe site die de landingsbaan gaat vormen voor onze IDM/AM activiteiten (een dienst van ons die tot op heden voor onze klanten onbekend was) We hebben een aantal artikelen opgesteld waar verschillende aspecten van IDM/AM in besproken worden. De eerste versies van deze artikelen waren vrij technisch waar we inmiddels afstand van hebben genomen. IDM/AM zijn onderwerpen die bij veel organisaties onbekend zijn. Daarom hebben we besloten om onze publicaties in “Jip & Janneke”-taal op te stellen. Na deze toegankelijke artikelen (die alleen voor Computable geschreven zijn) gaan we wat technische artikelen publiceren. Ik verwacht dat deze artikelen minder reacties krijgen want IDM/AM zijn vrij droog, ingewikkeld en onbekende zaken.
Ik verwacht dat we over twee weken verder zijn met onze website. Rond deze tijd zullen we beginnen met onze publicaties.
Strategisch gezien moet ik beter niet zo veel vertellen want Jeroen kan eerder publiceren dan wij 🙂 / 🙁
Zoals eerder opgemerkt, “I`AM in Cloud” is gebaseerd op I(dentity) & A(ccess)M(anagement)