Volgens verschillende onderzoeken zullen veel bedrijven in en na 2014 gebruik gaan maken van meerdere SaaS-oplossingen in een hybride cloud-architectuur. Deze stap zal een groot effect hebben op de efficiëntie, beheersbaarheid en beheerbaarheid van je (ondersteunende) bedrijfsprocessen.
De transformatie van traditionele architectuur naar het hybride cloud model is al een feit. Hoe kunnen ict-managers en cio`s deze niet al bekende hervorming beheerst uitvoeren en ook tegelijkertijd de wens van business realiseren?
Uitdagingen
Een aantal effecten van de invoering van SaaS-oplossingen op het ict landschap en architectuur zijn eerder in een artikel besproken. Leveranciers doen ons geloven dat de invoering van hun SaaS-oplossing niks meer is dan de aanschaf daarvan. Misschien is het ook handig om te weten dat:
- De policies die door verschillende SaaS-leveranciers opgelegd worden zorgen voor een toename van gebruikersnamen en wachtwoorden per gebruiker. Een gebruiker draagt in dat geval een dik sleutelbos voor toegang tot zijn/haar applicatieset bij verschillende cloudleveranciers. Het is al bekend dat de gebruikers in de securityketen de zwakste schakel zijn! Dit is voldoende om ons voor te stellen dat de gele post-it velletjes weer op de bureau`s komen liggen.
- Verspreiding, decentralisatie en toename van tooling (per SaaS-leverancier) en beheeractiviteiten rondom gebruikersaccount. Afhankelijk van de SaaS-leverancier zijn hier verschillende manieren voor de provisioning van accounts. De meest gebruikte manieren zijn losse tools van de SaaS-leverancier die informatie uit Active Directory synchroniseerd of (saml) Just-in-time provisioning doen. Als voorbeeld levert Microsoft de tool dirsync die de complete AD + wachtwoorden naar de cloud synchroniseerd. De uitdaging bij sommige leveranciers echter zit hem in de de-provisioning hiervan!
- In het huidige interne applicatielandschap is het zeer normaal dat verschillende applicaties (indien nodig) met elkaar kunnen communiceren. Dit gedrag is niet meer vanzelfsprekend waanneer je deze applicaties vervangt door verschillende SaaS-oplossingen bij verschillende externe cloudleveranciers. In een hybride architectuur heb je een verbindingsbrug nodig!
- Elke SaaS-leverancier bepaalt zijn authenticatie- en autorisatieprotocol voor zijn diensten. Ondanks dat er een standaardisatieslag op het gebied van authenticatieprotocollen gaande is, zien we ook dat de grote spelers deze positieve ontwikkeling niet altijd volledig omarmen of ondersteunen. Deze situatie zorgt voor een incompatibiliteit en belemmering in interoperabiliteit tussen verschillende SaaS-oplossingen bij verschillende leveranciers.
Identity en Access Management (I AM)
Een oplossing die de hierboven benoemde uitdagingen kan verhelpen is Identity en Access Management (I AM). Het voegt een laag aan de architectuur toe die centraal als katalysator en integrator tussen je interne authenticatiedomein en verschillende SaaS-oplossingen werkt. Met een I AM-product kun je naast toegang tot alle SaaS-oplossingen met een gebruikersnaam en wachtwoord (single sign on) ook de centralisatie van verschillende beheerprocessen rondom audit, beveiliging, authenticatie, autorisatie en toegang realiseren. Een I AM-product kun je verder inzetten als communicatie hub tussen verschillende SaaS-oplossingen. Hierdoor voorkomt je een oerwoud van point to point communicatiekanalen tussen verschillende objecten (intern naar extern, extern naar extern, extern naar intern) in je hybride cloud-architecuur.
Wanneer je van plan bent om je interne dienstverlening te optimaliseren met een self-service-portal voor je gebruikers dan heb je in een hybride omgeving een verbindingsbrug nodig voor de orkestratie van verschillende processen die hieraan gerelateerd en gebonden zijn.
De grote SaaS-leveranciers weten al hoe belangrijk de rol van I AM is. Daarom doen ze hun best om de identity provider van de klant te worden door deze mogelijkheid als extra (integrale) dienst aan te bieden. Kijk uit voor een addertje onder het gras! Hierdoor kun je beperkt worden tot SaaS-oplossingen die deze leveranciers ondersteunen (vendor lock-in) en ook de mogelijkheden die hun oplossing ondersteunt. Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service) Naast een aantal beperkingen van IDaaS zijn er een aantal juridische vraagstukken die het afnemen van deze externe dienst minder interessant maken. Je kunt naast de benoemde mogelijkheden ook deze dienst on-premise realiseren. Uiteraard zijn er hier voor- en nadelen aan gebonden die per situatie bekeken moeten worden.
De plek van de Identity Store
Het veranderen van je architectuur in een hybride mode en het gebruiken van verschillende SaaS-oplossingen kunnen niet alleen grote effecten hebben op je bedrijfsprocessen maar ook op de inrichting van je authenticatiedomain en Identity Store. Onderschat dit niet! Identity en Access Management is het vertrek en de landingsbaan van je hybride omgeving. Waar de plek van je identity store komt (on-premise of als IDaaS bij een tussenpartij of bij SaaS leverancier) heeft effect op de flexibiliteit en verdere inrichting van je architectuur in de toekomst.
Een eigen centrale plek voor Identity & Access Management biedt je de mogelijkheid om altijd de regie te blijven behouden over wie er toegang heeft tot wat en dit aantoonbaar te kunnen maken (audit), centralisatie van provisioning van accounts voor applicaties en bedrijfsprocessen , afdwingen/controle over sterk wachtwoordbeleid en authenticatieprotocollen en nog meer.
Het is de taak van cio`s/ict-managers om deze onzichtbare valkuilen en obstakels op weg naar de toekomstige architectuur (hybride cloud) tijdig inzichtelijk te maken om het Identity-oerwoud en desinvestering in de toekomst te voorkomen.
Bespreek de mogelijkheden, de beperkingen, voor- en nadelen en Identity & Access Management productportfolio met een I AM-expert voordat je architectuur veranderd is in een oerwoud!
@Henri:
Dank voor je complimenten en reactie.
– ik heb (indirect)ervaring met 2x IDaaS leveranciers. Deze deel ik graag met je mee als je me belt. Ik wil niet op deze site of een leverancier afkraken of promoten.
– je doet er verstandig aan als je een IAM-product kiest dat modulaire gebouwd is. Sommige functionaliteiten heb je nu niet nodig, die kun je later met uitbreiding krijgen. Alle IAM-oplossingen ondersteunen Microsoft omgeving. Wat wel belangrijk is zijn o.a.:
a)de mogelijkheden die de betreffende oplossing je biedt. Deze heb je nodig voor het inrichten van je SaaS architectuur waar zeker Non-MS oplossingen aan de andere kant van de muur staan. Misschien ga je ooit (of nu) van een SaaS oplossing gebruik maken die bij een opensource leverancier staat! Of een mix bouwen van Google, Microsoft, Afas, eCare etc.
In dit kader kun je denken aan b.v. het aantal en soort van de ingebouwde API`s, koppeling met verschillende interfaces zoals eHerkening, DigiD, koppelingen met SaaS leveranciers in de zorg en ook in de onderwijs etc.
b)flexibiliteit en eenvoud in (1e/2e lijn) beheer. Sommige IAM producten zijn maar niks anders dan een box vol met scripts die verder mooi ingepakt zijn. Implementatie, aanpassingen en zeker verdere ontwikkelingen zijn niet altijd eenvoudig.
Afhankelijk van wat je organisatie/klant van plan is met haar ict inrichting en architectuur, nu en in de toekomst en nog een aantal andere onderwerpen kan ik je verder helpen met een productkeuze en ook eigen vs IDaaS.
– een poc opzetten is zo gebeurd! Wanneer je inzichtelijk hebt gemaakt welke functionaliteiten aangeboden moeten worden en welke in de nabij toekomst erbij komen dan kunnen we snel een IAM Cloud applinace inrichten. Wel is het handig om voor je FO met een IAM-consultant te gaan overleggen.
Ik verneem graag als ik niet voldoende op je vragen in ben gegaan en of je verder vragen hebt.
Hoi Reza, mooi artikel! Complimenten. Korte vraag; wat zijn volgens jou de meest relevante aanbieders van I AM tooling/software?
@Jan:
Het is wel belangrijk dat je eerst duidelijk maakt wat je met je IAM-oplossing wilt doen. De doelstelling en hierna de inrichting van IAM voor de leverancier van webdiensten kunnen anders zijn dan voor een klant die een SaaS architectuur wil opzetten.
Ik kan me voorstellen dat veel zaken hieromtrent voor veel afnemers onbekend zijn. Dat komt doordat IAM vrij onbekend is of alleen gezien word als een ding die alleen SSO voor je regelt. Dat is niet waar!
Misschien is het niet verkeerd om op de site van http://www.IonIT.nl te kijken om wat meer kennis te maken met de mogelijkheden van IAM.
Pfffffff, ik had me voorgenomen om geen leverancier te benoemen 🙁
Het is inderdaad een mooi artikel, en laat een noodzaak zien om een goed identity federation oplossing te gaan gebruiken, daar kun je bij mijn werkgever mee aankomen, wij leveren een identity federation hub.
@Reno van der Looij
Keuze van tooling / aanbieders is sterk afhankelijk van het businessmodel van de klant. In een traditionele omgeving ( onpremise) , zijn in nederland NetIQ en Microsoft FIM/ ILM goed vertenwoordigd. Maar ook CA en Oracle zijn belangrijke spelers op dit gebied.
Als we gaan kijken naar integratie met SAAS ism een onpremisis IAM oplossing, zie ik dat NetIQ een goede ondersteuning bied voor de meest gangbare providers. Maar ook Microsoft ILM in samenwerking met windows Azure zou voor een goede oplossing kunnen zorgen.
Voor een iDaas oplossing, is iWelkom in nederland nog de enige zover mij bekend is . Verder is daar nog Ping identity.
Dus keuze genoeg. Maar nogmaals, de keuze is afhankelijk van het businessmodel en de processen van de organisatie.
Dag Reno,
Dank voor je reactie.
Zoals eerder aangegeven het kiezen van een IAM-product is afhankelijk van een aantal zaken. Je doelstelling op kort en lange termijn, je huidige architectuur en nog meer andere zaken zullen bepalen wat je IAM-product dient te zijn. Maak eerst inzichtelijk wat je behoeftes en plannen zijn en dan pas kijk naar producten en mogelijkheden. In dit kader zal je zien dat b.v. Microsoft FIM beter en minder bij je behoeftes past dan Cisco ISE of Oasis SAML of NetIQ.
Kijk op onze site (www.IonIT.nl) en laat me maar (als je ex-collega) weten of ik je ergens mee kan helpen.
@Ewout,
Je twijfels kunnen terecht zijn! Wanneer je van een IAM oplossing gebruikt om niet alleen aan de ID-gerelateerde zaken te regelen maar ook de orkestratie van je business processen te realiseren dan loop je tegen allerlei beperkingen/ showstoppers aan als je van een IDaaS gebruik gaat maken. sterker nog in vele gevallen zijn federatie en orkestratie niet mogelijk.
Identity & Access Management -tools hebben twee kanten:
A) buitenkant voor realisatie van allerlei zaken buiten de muren van je bedrijf (zoals SaaS ontwikkelingen)
B) binnenkant voor realisatie van interne zaken zoals Streamline business processen, automatiseren van automatisering (self service portal), audit etc.
Je zult zien dat IDaaS op veel punten vast gaat lopen (zoals orkestratie van je interne processen)
@Maarten:
Dank voor je reactie. Met de komst van BYOD zal IAM nog verder belangrijker worden. Het is niet alleen de plek van applicatie (intern of extern als SaaS) maar ook de device van gebruiker, de locatie van gebruiker, beveiliging icm flexibiliteit en nog veel andere zaken die zullen ons duidelijk maken hoe belangrijk IAM voor de toekomst is.
Nog een andere aspect van IAM is, federatie tussen verschillende zelfstandige organisaties in de keten die samenwerken maar niet bij elkaar horen. In dit kader kunnen we de overheidsinstellingen, ministeries, partners in de zorgketen en onderwijs benoemen.
Hier kom ik in mijn volgende artikel op terug.
@Redactie
Dank voor de correctie.
@Reza
Enige tijd geleden was er een soorgelijke discussie rond IAM en IdM waarbij idee van ESB naar voren gebracht werd, zeg maar de hub waarover Jaap het heeft voor de federatie en ik al enige overdenkingen plaatste:
https://www.computable.nl/artikel/opinie/security/4901903/1276896/identity-management-met-esb-is-utopie.html
Ewout,
Dank voor reactie en de link, dat heb ik niet eerder gezien.
Het bouwen van federatie is een ander onderwerp waar ik op mijn volgende artikel op terug kom. Ik heb me in dit artikel bezig gehouden met het effect van SaaS op je architectuur, investering, beheer, beveiliging etc.
Ik zal aan een collega vragen om mijn volgende artikel van wat meer technische informatie te voorzien.
Wat ik wel nu over Federatie kan zeggen is dat:
1- je IDM/AM oplossing moet dit goed kunnen ondersteunen. Je product dient goed ontwikkeld te zijn om een antwoord te hebben op de uitdagingen van dit verschijnsel (Federatie)
In de reactie aan Henri heb ik indirect hiernaar verwezen
“Sommige IAM producten zijn maar niks anders dan een box vol met scripts die verder mooi ingepakt zijn”
De geschiktheid van je IDM/AM product, modulaire opbouw, flexibiliteit en nog wat andere dingen zijn zeer belangrijk voor het succesvol afronden van je traject.
Het automatiseren van alleen ict processen is anders dan het automatiseren van werkprocessen (in de keten) Leveranciers die met hun product een it store aanbieden zijn beperkt tot een aantal zaken, dit is heel anders dan wat een IDM/AM in de federatie doet.
2) je moet voor federatie niet alleen naar IDM/AM oplossing kijken maar ook naar je applicaties, koppelingen en werkprocessen. Deze moeten ook geschikt zijn voor dit concept en ook met de regels van federatie en de beoogde IDM/AM oplossing om kunnen gaan.
Mijn collega`s zijn bezig met een federatie-traject bij een ministerie. We gaan binnenkort hier een verslag van maken en publiceren.
Terug naar dit artikel, zoals eerder aangegeven ik heb me hier in dit artikel bezig gehouden met IAM en SaaS. In het volgende artikel kom ik terug op IDM/AM en orkestratie/ federatie.
@Reza
de website heb ik bekeken. Wat opviel is, gemaakt met Joomla en niet in “de cloud” maar een stinknormale hoster.
Voorts de inhoud bekeken, en Oasis SAML gevonden, dat kende ik al en bood me het kader waarin ik het artikel kon plaatsen.
Zeg ik het simpel dan zie ik dat verschillende webapplikaties gekoppeld worden met een single sign on, plus id-check. Een weinig desktop/server virtualisatie o.a van MS. Aangeboden met wat projektmanagement.
Veel meer haal ik niet uit de marketing-speak.
Blijft voor mij de vraag waar en wanneer kun je dit zinnig en beheersbaar inzetten, per slot worden weer extra koppelvlakken gemaakt die allemaal hun problemen hebben.
Het KISS-principe lijkt hier moeilijk toepasbaar. Hoe groot moet de chaos zijn om dit als oplossing te zien?