Volgens verschillende onderzoeken zullen veel bedrijven in en na 2014 gebruik gaan maken van meerdere SaaS-oplossingen in een hybride cloud-architectuur. Deze stap zal een groot effect hebben op de efficiëntie, beheersbaarheid en beheerbaarheid van je (ondersteunende) bedrijfsprocessen.
De transformatie van traditionele architectuur naar het hybride cloud model is al een feit. Hoe kunnen ict-managers en cio`s deze niet al bekende hervorming beheerst uitvoeren en ook tegelijkertijd de wens van business realiseren?
Uitdagingen
Een aantal effecten van de invoering van SaaS-oplossingen op het ict landschap en architectuur zijn eerder in een artikel besproken. Leveranciers doen ons geloven dat de invoering van hun SaaS-oplossing niks meer is dan de aanschaf daarvan. Misschien is het ook handig om te weten dat:
- De policies die door verschillende SaaS-leveranciers opgelegd worden zorgen voor een toename van gebruikersnamen en wachtwoorden per gebruiker. Een gebruiker draagt in dat geval een dik sleutelbos voor toegang tot zijn/haar applicatieset bij verschillende cloudleveranciers. Het is al bekend dat de gebruikers in de securityketen de zwakste schakel zijn! Dit is voldoende om ons voor te stellen dat de gele post-it velletjes weer op de bureau`s komen liggen.
- Verspreiding, decentralisatie en toename van tooling (per SaaS-leverancier) en beheeractiviteiten rondom gebruikersaccount. Afhankelijk van de SaaS-leverancier zijn hier verschillende manieren voor de provisioning van accounts. De meest gebruikte manieren zijn losse tools van de SaaS-leverancier die informatie uit Active Directory synchroniseerd of (saml) Just-in-time provisioning doen. Als voorbeeld levert Microsoft de tool dirsync die de complete AD + wachtwoorden naar de cloud synchroniseerd. De uitdaging bij sommige leveranciers echter zit hem in de de-provisioning hiervan!
- In het huidige interne applicatielandschap is het zeer normaal dat verschillende applicaties (indien nodig) met elkaar kunnen communiceren. Dit gedrag is niet meer vanzelfsprekend waanneer je deze applicaties vervangt door verschillende SaaS-oplossingen bij verschillende externe cloudleveranciers. In een hybride architectuur heb je een verbindingsbrug nodig!
- Elke SaaS-leverancier bepaalt zijn authenticatie- en autorisatieprotocol voor zijn diensten. Ondanks dat er een standaardisatieslag op het gebied van authenticatieprotocollen gaande is, zien we ook dat de grote spelers deze positieve ontwikkeling niet altijd volledig omarmen of ondersteunen. Deze situatie zorgt voor een incompatibiliteit en belemmering in interoperabiliteit tussen verschillende SaaS-oplossingen bij verschillende leveranciers.
Identity en Access Management (I AM)
Een oplossing die de hierboven benoemde uitdagingen kan verhelpen is Identity en Access Management (I AM). Het voegt een laag aan de architectuur toe die centraal als katalysator en integrator tussen je interne authenticatiedomein en verschillende SaaS-oplossingen werkt. Met een I AM-product kun je naast toegang tot alle SaaS-oplossingen met een gebruikersnaam en wachtwoord (single sign on) ook de centralisatie van verschillende beheerprocessen rondom audit, beveiliging, authenticatie, autorisatie en toegang realiseren. Een I AM-product kun je verder inzetten als communicatie hub tussen verschillende SaaS-oplossingen. Hierdoor voorkomt je een oerwoud van point to point communicatiekanalen tussen verschillende objecten (intern naar extern, extern naar extern, extern naar intern) in je hybride cloud-architecuur.
Wanneer je van plan bent om je interne dienstverlening te optimaliseren met een self-service-portal voor je gebruikers dan heb je in een hybride omgeving een verbindingsbrug nodig voor de orkestratie van verschillende processen die hieraan gerelateerd en gebonden zijn.
De grote SaaS-leveranciers weten al hoe belangrijk de rol van I AM is. Daarom doen ze hun best om de identity provider van de klant te worden door deze mogelijkheid als extra (integrale) dienst aan te bieden. Kijk uit voor een addertje onder het gras! Hierdoor kun je beperkt worden tot SaaS-oplossingen die deze leveranciers ondersteunen (vendor lock-in) en ook de mogelijkheden die hun oplossing ondersteunt. Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service) Naast een aantal beperkingen van IDaaS zijn er een aantal juridische vraagstukken die het afnemen van deze externe dienst minder interessant maken. Je kunt naast de benoemde mogelijkheden ook deze dienst on-premise realiseren. Uiteraard zijn er hier voor- en nadelen aan gebonden die per situatie bekeken moeten worden.
De plek van de Identity Store
Het veranderen van je architectuur in een hybride mode en het gebruiken van verschillende SaaS-oplossingen kunnen niet alleen grote effecten hebben op je bedrijfsprocessen maar ook op de inrichting van je authenticatiedomain en Identity Store. Onderschat dit niet! Identity en Access Management is het vertrek en de landingsbaan van je hybride omgeving. Waar de plek van je identity store komt (on-premise of als IDaaS bij een tussenpartij of bij SaaS leverancier) heeft effect op de flexibiliteit en verdere inrichting van je architectuur in de toekomst.
Een eigen centrale plek voor Identity & Access Management biedt je de mogelijkheid om altijd de regie te blijven behouden over wie er toegang heeft tot wat en dit aantoonbaar te kunnen maken (audit), centralisatie van provisioning van accounts voor applicaties en bedrijfsprocessen , afdwingen/controle over sterk wachtwoordbeleid en authenticatieprotocollen en nog meer.
Het is de taak van cio`s/ict-managers om deze onzichtbare valkuilen en obstakels op weg naar de toekomstige architectuur (hybride cloud) tijdig inzichtelijk te maken om het Identity-oerwoud en desinvestering in de toekomst te voorkomen.
Bespreek de mogelijkheden, de beperkingen, voor- en nadelen en Identity & Access Management productportfolio met een I AM-expert voordat je architectuur veranderd is in een oerwoud!
Reza,
Dank voor je artikel. Het zijn hier en daar wel wat open deurtjes die hier al vaker aan de orde zijn geweest. Maar al met al haal je wel enkele valide punten punten aan en is dit best een handige samenvatting.
Ik heb nog wel wat vragen/opmerkingen over onderstaande zaken:
” Een eigen centrale plek voor Identity & Access Management biedt je de mogelijkheid om altijd de regie te blijven behouden over wie er toegang heeft tot wat en dit aantoonbaar te kunnen maken (audit), centralisatie van provisioning van accounts voor applicaties en bedrijfsprocessen , afdwingen/controle over sterk wachtwoordbeleid en authenticatieprotocollen en nog meer”
Op zich heb je helemaal gelijk. Maar veel bedrijven willen juist volledig ontzorgd worden als men de transitie naar de Cloud maakt. Echter is dit zoals je aangeeft niet altijd even verstandig. En zal dit gefaseerd moeten gebeuren. Zijn er scenario’s mogelijk dat je het toch uitbesteedt aan de Cloud-leverancier en lokaal of bij een andere leverancier een spiegel laat draaien?
“Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service) Naast een aantal beperkingen van IDaaS zijn er een aantal juridische vraagstukken die het afnemen van deze externe dienst minder interessant maken. Je kunt naast de benoemde mogelijkheden ook deze dienst on-premise realiseren. Uiteraard zijn er hier voor- en nadelen aan gebonden die per situatie bekeken moeten worden”
Wat zijn deze beperkingen? Over welke juridische vraagstukken heb je het? En wat zijn voor- en nadelen? Ik ben benieuwd naar je ervaringen op dat gebied.
Reza, het moet gezegd worden. Top artikel en *zeer* relevant, I AM wordt soms zelfs als heilige graal gezien.
“Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service)”
– Met welke heb je ervaring / raad je aan?
– Welke past bij een Microsoft georiënteerd bedrijf?
– Hoeveel tijd kost het om een POC hiervoor op te zetten?
Dank voor het artikel en goede introductie tot de problematiek.
IDaaS is zeker een opkomende trend waar organisaties de complexiteit van IAM buiten de deur kunnen beleggen.
Belangrijkste vraagstukken zijn hierbij hoe er gekoppeld kan worden met de on-premisesystemen. Veel IDaaS leveranciers bieden mogelijkheden om met een Active Directory te koppelen maar de overige systemen die on-premise staan en geen standaard protocollen als SAML 2 spreken vallen buiten de scope van de iDaaS dienst.
Voor de regie, inclusief provisioning van gebruikers en autorisaties van on-prem applicaties blijft iDaaS beperkt.
Daarnaast is de IAM link met activity monitoring (wat doet een gebruiker) op dit moment een stuk flexibeler in een on-prem vorm.
Centraal de regie blijven houden is een belangrijk aspect en de vraag is
hoe eenvoudig dat is met de huidige iDaaS leveranciers die een deel van het probleem kunnen adresseren.
Vraag:
ik lees in 2 artikelen vandaag “cloud” in 1 adem genoemd met SAAS.
Hoe zie je het gebruik van het woord cloud in de context van webapplicaties versus het gebruik van schaalbare virtual servers in een IAAS.
Als leverancier van webdiensten wens ik me met niet met de I uit IAAS bezig te houden, voor mij is de webapplicatie die de diensten bereid stelt voldoende. Hier (computable) wordt dat ook cloud genoemd waar ik een webapplikatie zie.
Verder een goed punt met IAM, dat probleem ervaar ik, als je een hint hebt voor een goede eenvoudige oplossing naar het KISS-principe dan houdt ik me aanbevolen.
Een zeer relevant artikel Reza. In aanvulling daar op.
Vorige week is de Europese GARTNER IAM conferentie geweest in Londen. Hier ben ik aanwezig geweest. Een paar voorspellingen voor 2020 uit de key note (meer info op persoonlijk verzoek):
– 80% van de toegang komt van non-PC’s
– 60% van de gebruikers komt van buiten de eigen organisatie
– 70% van de toegang zal geregeld worden door attributen ipv obv rollen
– IAM prijzen gaan in de komende jaren met 40% dalen
Deze ontwikkelingen drijven de adoptie van IDaaS. In 2015 zal het aandeel van IDaaS in de markt al groter zijn dan traditionele Suites. Diverse NL organisaties hebben al ervaring.
En toch even voor eigen parochie…. iWelcome werd door Gartner plenair als enige Europese (Nederlandse!) leverancier genoemd en wordt opgenomen in het Magic Quadrant!
@ Jan,
SAAS is een leveringsmodel wat gebruik maakt van de Cloud.
De rest mag Reza beantwoorden.
Reza,
Ik heb enige twijfels aangaande dit soort oplossingen in de cloud, zeker als single sign-on op basis van gebruikersnaam en wachtwoord gebruikt wordt. Hetzelfde aangaande orchestratie als (de)provisioning van gebruikers niet aangesloten wordt op personele systemen. De theorie van wie(Identiteit), waar (Access) en wat (Autorisatie) blijkt vaak moeilijk in te vullen met als gevolg dat de waarom (Audit) vaak achterwege blijft.
Een zeer relevant artikel Reza. In aanvulling daar op.
Vorige week is de Europese GARTNER IAM conferentie geweest in Londen. Hier ben ik aanwezig geweest. Een paar voorspellingen voor 2020 uit de key note (meer info op persoonlijk verzoek):
– 80% van de toegang komt van non-PC’s
– 60% van de gebruikers komt van buiten de eigen organisatie (federatie)
– 70% van de toegang zal geregeld worden door attributen ipv obv rollen
– IAM prijzen gaan in de komende jaren met 40% dalen
– Grote adoptie van standaarden maakt technologie onafhankelijk: SAML, OAuth, SCIM
Deze ontwikkelingen drijven de adoptie van IDaaS. In 2015 zal het aandeel van IDaaS in de markt al groter zijn dan traditionele Suites. Diverse NL organisaties hebben al ervaring.
En toch even voor eigen parochie…. iWelcome werd door Gartner plenair als enige Europese (Nederlandse!) leverancier genoemd en wordt opgenomen in het Magic Quadrant!
@Ruud:
Dank voor je reactie en terechte vragen.
Ik probeer hier kort op te reageren anders moet ik een reactie schrijven die langer is dan het artikel zelf 🙂
1- Je Identity Store is heel belangrijk. In het kader van “ontzorgd worden” mag je hem niet weggeven. Wat je wel kunt doen is je hybride omgeving gebaseerd op een IAM-appliance realiseren die op afstand door je IAM-leverancier beheerd wordt. Deze constructie zien we vaak bij het beheren van FireWall bij veel bedrijven.
Houd je Identity Store vast, die heb je voor verschillende ict-ontwikkelingen(intern / extern) van je omgeving nodig.
2- Afhankelijk van je business en de regels waar je je aan moet houden en nog wat andere zaken kan ik pas aangeven welke beperkingen een IDaaS voor je heeft.
a) wanneer je je identity store gebruik om je werkprocessen in te richten (mijn volgende publicatie) dan zou het onhandig zijn dat je eerst naar buiten moet gaan om je te identificeren/autoriseren en daarna naar binnen te komen om je werkprocessen te kunnen activeren.
b)veel organisaties die met privacy gegevens te maken hebben mogen van wet niet hun identity store buiten de deur zetten.
Wat als de vertrouwelijke gegevens (bv wachtwoorden) van je organisatie op straat komen te liggen! Neemt iDaaS 100% de verantwoordelijkheid hiervoor? Accepteert de policy van je bedrijf dit risico? Wat staat in het contract van je IDaaS leverancier?
c)zal je IDaaS leverancier de opkomende SaaS leveranciers ondersteunen of doen ze alleen wat ze ooit in hun pakket opgenomen hebben? Je hebt zelf meer controle over je eigen IAM oplossing (upgrade, vervangen, aanpassen etc)
Zoals in het artikel aangegeven het is een onderwerp dat per case en klant besproken moet worden, ik kan er helaas geen vaste antwoord op geven.
Dank Reza voor je heldere en snelle toelichting.