Volgens verschillende onderzoeken zullen veel bedrijven in en na 2014 gebruik gaan maken van meerdere SaaS-oplossingen in een hybride cloud-architectuur. Deze stap zal een groot effect hebben op de efficiëntie, beheersbaarheid en beheerbaarheid van je (ondersteunende) bedrijfsprocessen.
De transformatie van traditionele architectuur naar het hybride cloud model is al een feit. Hoe kunnen ict-managers en cio`s deze niet al bekende hervorming beheerst uitvoeren en ook tegelijkertijd de wens van business realiseren?
Uitdagingen
Een aantal effecten van de invoering van SaaS-oplossingen op het ict landschap en architectuur zijn eerder in een artikel besproken. Leveranciers doen ons geloven dat de invoering van hun SaaS-oplossing niks meer is dan de aanschaf daarvan. Misschien is het ook handig om te weten dat:
- De policies die door verschillende SaaS-leveranciers opgelegd worden zorgen voor een toename van gebruikersnamen en wachtwoorden per gebruiker. Een gebruiker draagt in dat geval een dik sleutelbos voor toegang tot zijn/haar applicatieset bij verschillende cloudleveranciers. Het is al bekend dat de gebruikers in de securityketen de zwakste schakel zijn! Dit is voldoende om ons voor te stellen dat de gele post-it velletjes weer op de bureau`s komen liggen.
- Verspreiding, decentralisatie en toename van tooling (per SaaS-leverancier) en beheeractiviteiten rondom gebruikersaccount. Afhankelijk van de SaaS-leverancier zijn hier verschillende manieren voor de provisioning van accounts. De meest gebruikte manieren zijn losse tools van de SaaS-leverancier die informatie uit Active Directory synchroniseerd of (saml) Just-in-time provisioning doen. Als voorbeeld levert Microsoft de tool dirsync die de complete AD + wachtwoorden naar de cloud synchroniseerd. De uitdaging bij sommige leveranciers echter zit hem in de de-provisioning hiervan!
- In het huidige interne applicatielandschap is het zeer normaal dat verschillende applicaties (indien nodig) met elkaar kunnen communiceren. Dit gedrag is niet meer vanzelfsprekend waanneer je deze applicaties vervangt door verschillende SaaS-oplossingen bij verschillende externe cloudleveranciers. In een hybride architectuur heb je een verbindingsbrug nodig!
- Elke SaaS-leverancier bepaalt zijn authenticatie- en autorisatieprotocol voor zijn diensten. Ondanks dat er een standaardisatieslag op het gebied van authenticatieprotocollen gaande is, zien we ook dat de grote spelers deze positieve ontwikkeling niet altijd volledig omarmen of ondersteunen. Deze situatie zorgt voor een incompatibiliteit en belemmering in interoperabiliteit tussen verschillende SaaS-oplossingen bij verschillende leveranciers.
Identity en Access Management (I AM)
Een oplossing die de hierboven benoemde uitdagingen kan verhelpen is Identity en Access Management (I AM). Het voegt een laag aan de architectuur toe die centraal als katalysator en integrator tussen je interne authenticatiedomein en verschillende SaaS-oplossingen werkt. Met een I AM-product kun je naast toegang tot alle SaaS-oplossingen met een gebruikersnaam en wachtwoord (single sign on) ook de centralisatie van verschillende beheerprocessen rondom audit, beveiliging, authenticatie, autorisatie en toegang realiseren. Een I AM-product kun je verder inzetten als communicatie hub tussen verschillende SaaS-oplossingen. Hierdoor voorkomt je een oerwoud van point to point communicatiekanalen tussen verschillende objecten (intern naar extern, extern naar extern, extern naar intern) in je hybride cloud-architecuur.
Wanneer je van plan bent om je interne dienstverlening te optimaliseren met een self-service-portal voor je gebruikers dan heb je in een hybride omgeving een verbindingsbrug nodig voor de orkestratie van verschillende processen die hieraan gerelateerd en gebonden zijn.
De grote SaaS-leveranciers weten al hoe belangrijk de rol van I AM is. Daarom doen ze hun best om de identity provider van de klant te worden door deze mogelijkheid als extra (integrale) dienst aan te bieden. Kijk uit voor een addertje onder het gras! Hierdoor kun je beperkt worden tot SaaS-oplossingen die deze leveranciers ondersteunen (vendor lock-in) en ook de mogelijkheden die hun oplossing ondersteunt. Er zijn cloudleveranciers die alleen deze dienst als hun core-product aanbieden (ID as a Service) Naast een aantal beperkingen van IDaaS zijn er een aantal juridische vraagstukken die het afnemen van deze externe dienst minder interessant maken. Je kunt naast de benoemde mogelijkheden ook deze dienst on-premise realiseren. Uiteraard zijn er hier voor- en nadelen aan gebonden die per situatie bekeken moeten worden.
De plek van de Identity Store
Het veranderen van je architectuur in een hybride mode en het gebruiken van verschillende SaaS-oplossingen kunnen niet alleen grote effecten hebben op je bedrijfsprocessen maar ook op de inrichting van je authenticatiedomain en Identity Store. Onderschat dit niet! Identity en Access Management is het vertrek en de landingsbaan van je hybride omgeving. Waar de plek van je identity store komt (on-premise of als IDaaS bij een tussenpartij of bij SaaS leverancier) heeft effect op de flexibiliteit en verdere inrichting van je architectuur in de toekomst.
Een eigen centrale plek voor Identity & Access Management biedt je de mogelijkheid om altijd de regie te blijven behouden over wie er toegang heeft tot wat en dit aantoonbaar te kunnen maken (audit), centralisatie van provisioning van accounts voor applicaties en bedrijfsprocessen , afdwingen/controle over sterk wachtwoordbeleid en authenticatieprotocollen en nog meer.
Het is de taak van cio`s/ict-managers om deze onzichtbare valkuilen en obstakels op weg naar de toekomstige architectuur (hybride cloud) tijdig inzichtelijk te maken om het Identity-oerwoud en desinvestering in de toekomst te voorkomen.
Bespreek de mogelijkheden, de beperkingen, voor- en nadelen en Identity & Access Management productportfolio met een I AM-expert voordat je architectuur veranderd is in een oerwoud!
Beste Reza,
Dank voor je artikel. Helder.
Vandaag besprak een klant met mij dat ze gelet op de complexiteit (koppelingen, autorisaties etc.) en uitdagingen die komen kijken bij het gebruik van de cloud, niet zullen kiezen voor het aankopen van een recordmanagementsysteem (RMS) in de cloud, die nu door een product leverancier wordt aangeboden. Ze zijn er nog niet klaar voor en willen hierdoor een on-premise RMS oplossing. De uitdagingen die jij benoemt zijn o.a. ook besproken.
IAM/IDaaS biedt je aan als mogelijke oplossing. Bij mij rijst dan de vraag: Bij wat voor soort type organisaties (afhankelijk van grootte, kennisniveau?) dit geschikt en rendabel kan zijn, ook gelet op de kosten en complexiteit? Bij wat voor type organisaties heb je het gebruik hiervan al in de praktijk gezien?
Beste Marianne,
Dank voor je reactie.
Een goede IAM oplossing biedt je meer dan alleen IAM. Met deze oplossing kun je b.v. een deel van de functionaliteit van je AD overnemen zodat je AD altijd schoon en overzichtelijk blijft, de rolverdeling en inrichting binnen je Sharepoint zeer flexibel maken, secure interface voor je apps en je mobile devices aanbieden en nog meer, toegang tot je bedrijfsprocessen/applicaties en bronnen gebaseerd op verschillende scenario`s bepalen etc.
Na het opstellen van een PvE, inzichtelijk maken van de behoeftes, beleid, toekomstige plannen etc kun je naar het product en de features die je nodig hebt kijken. Pas hierna kun je de investering inzichtelijk krijgen.
IAM was altijd interessant voor Enterprise omgeving en grote overheidsinstellingen. We zien steeds meer adoptie en toepassing van IAM bij kleine organisaties/scholen/zorginstellingen/verzekeraars etc. Dit komt mede door de komst van cloud (SaaS oplossingen), voordelen van samenwerking in de keten (bij de zorg/ziekenhuizen/partners, overheid & gemeenten), automatiseren van processen (web winkels van bestelling tot bezorging) en nog meer andere zaken.
En aan de andere kant IAM producten zijn tegenwoordig verder ontwikkeld. Ze doen meer dan alleen wat IAM vroeger deed.
Bij afsluiting van mijn artikel heb ik aangegeven :
“Bespreek de mogelijkheden, de beperkingen, voor- en nadelen en Identity & Access Management productportfolio met een I AM-expert voordat je architectuur veranderd is in een oerwoud!”
Ik kan helaas hier niet alle aspecten van deze oplossing benoemen/bespreken. Mijn collega`s kunnen jou meer vertellen, laat me maar aub weten als ik iets voor je kan regelen.
@Reza
Je roept dat Henri met lange reacties komt maar zelf kun je er ook wat van, ik vroeg in eerste reactie of het handig is om SSO op basis van gebruikersnaam en wachtwoord in te vullen?
Mijn tweede reactie wees op een soortgelijke discussie, waar schreeuw (J)aap niet aan deel nam aangaande federatie en de verschillende verantwoordelijkheden in de keten. Het begint tenslotte met de controle van de identiteit, ben ik wie ik zeg dat ik ben.
Begin dus nu eens eerst met het proces en zoek dan de passende technologie erbij want een IAM oplossing die gebaseerd is op enkel een gebruikersnaam en wachtwoord lijkt me weinig zekerheden te bieden, de onweerlegbaarheid is discutabel en daarmee ook je governance.
Vat me niet verkeerd op maar ervaring leert dat als ketens langer worden, personen een nummer de controle van digitale identiteiten zwakker. Misschien kent iedereen de baas maar kent iedereen ook de secretaresse?
@Ewout,
Zoals eerder aangegeven federatie is een ander onderwerp dan dit artikel. Hier kom ik in mijn volgende artikel op terug.
Welke record je gaat gebruik om SSO in de keten door te laten lopen wordt tijdens het initiële onderzoek/bespreking en (functioneel) ontwerp behandeld. Mee eens dat de gebruikersnaam + wachtwoord “niet altijd” handig zijn. Daarom hadden we in een traject gekozen om een record in de gebruikers-ID bij elke AD account binnen 4 organisaties aan te maken (met een script)en dat combineren met wat functionaliteiten en inrichting van IdM oplossing.
Verder ben ik het zeer met je eens als je aangeeft “begin dus eerst met proces……” Sterker nog, dat heb ik bijna in alle reacties hierboven gezegd.
Beveiliging in de keten is ook een onderwerp dat tijdens de initiële bespreking en ontwerpfase behandeld wordt. Wat je daarover aangeeft kan terecht zijn. Daarom kijken we vanaf het begin hoe we hier mee om moeten gaan. Aan de andere kant het is mooi dat je met een IAM oplossing snel kan traceren wie tot wat toegang heeft, wanneer, hoe etc etc, los van de lengte van je keten.
@Jan,
Ik denk dat ik je eea moet verder toelichten, communicatie via deze site is niet altijd handig. Hierna komen we samen op je vraag terug. Mail me aub je nummer dan bel ik je.
Beste Reza,
Dank voor je toelichting. Nu is het mij duidelijker. Hier kan ik zeker iets mee. Vooral ook de uitleg dat het een deel van de functionaliteiten van de AD overneemt lijkt mij meer toegevoegde waarde te geven.
Een zeer gedegen artikel en zeer professionele reacties. Wat mij zorgen baart, gewoon het geheel bekijkend, is de toename van hiaten is systemen, processen en procedures. Daar waar je juist met automatiseren wil bereiken dat je minder ‘steps’ bereikt, en daarmee besparingen, zie ik daar juist een toename van.
Niet alleen een toename maar ook de toename op kansen van omissie, het niet aansluiten van systemen op elkaar en niet altijd de toevoegende waarde die je wil bereiken met IT.
Misschien dat deze visie steeds wat vaker een ‘ondergeschoven kindje’ blijkt in de praktijk.
@NumoQuest:
Dank voor je reactie. IT managers zijn de afgelopen jaren bezig geweest met het up & running houden van de tent terwijl ze minder tot geen budget hebben gehad voor het verbeteren van hun bedrijfs- en ict-processen. Dat is juist de wijze waarop legacy tot stand komt.
Investeren in alignment en streamlining processen (automatiseren van automatisering) zal zich terug betalen door hoge efficiëntie in de keten. Daar kom ik in mijn volgende artikel op terug.
Puik inhoudelijk artikel met leerzame reacties. Naar aanleiding van wat ik om me heen zie vraag ik me af welk deel van de Nederlandse organisaties de voorliggende uitdagingen state-of-the-art gaat aanpakken. Bijv. door zaken vanaf de start onafhankelijk van gekozen cloudplatforms in te gaan richten. Dat vereist behoorlijk wat investeringen en (ook interne) kennis. Het is natuurlijk situatieafhankelijk, maar ik denk dat het voor veel (kleinere en middelgrote) organisaties best verstandig kan zijn om zich de komende jaren te focussen op 1 (dominant) platform. Ik ben wel benieuwd hoe jij hier tegenaan kijkt.
Beste Reza,
Mooi helder artikel dat goed verwoordt wat het belang is van Identity & Access Management in de Cloud. Tegelijkertijd waarschuwt het artikel bedrijven voor het in zee gaan met grote SaaS-leveranciers, die misschien gebruik maken van de adder ‘vendor lock-in’. Een goede IAM-oplossing bevat standaard alle koppelingen met de meest gebruikte systemen van de klant, dat geldt zowel aan de bronzijde als aan de afnemende kant. De basis van Identity & Access Management is dat het vendor onafhankelijk is. Het moet tenslotte werken met de applicaties die de klant al heeft, en moet de klant geen systemen voor gaan schrijven. Daarnaast zal je als CIO of ict-manager ook moeten kijken of de Identity & Access Management -oplossing zich al bewezen heeft, en in welke sector. Want hoewel de motors onder de IAM-kappen wellicht hetzelfde doel hebben, zijn de oplossingen pas echt geslaagd als zij werken met de specifieke situaties en behoeftes van de unieke klant.
@Ad:
Dank voor je reactie. Ik ben ervan overtuigd dat je de investering die je maakt in een IAM product en (her)inrichting van je werkprocessen snel terug krijgt. We zijn gewend om de werkprocessen als klein of grote blokjes neer te zetten zonder intelligentielaag er tussen. De uitvoering van het proces in de hele keten moeten we als een domino effect zien. Wanneer er geen verbindingsbrug tussen twee blokjes is dan stopt de werking en verlaagt de efficiëntie.
Ik ben het met je eens dat je hier een misschien dominant product voor moet neerzetten. Ik zal eerder zeggen kijk maar of het product modulaire gebouwd is. Dit is zeer belangrijk voor opbouw en wijzigingen gedurende dit traject en ook later in de toekomst.
Terug naar cloud, laten we eerst de touwtjes die naar verschillende leveranciers gaan in de handen zien krijgen. Daar hebben we IAM voor nodig.
Voorkom desinvestering, bespreek deze oplossing met een expert want dit product (IAM) heb je voor verdere interne wijzigingen/ontwikkelingen nodig.