Identity and access management (iam) is nu sta-in-de-weg voor innovatie van werkplek. Gebruikers worden gek van tokens, complexe loginprocedures en vpn-connecties die retetraag zijn en er om de haverklap uit liggen wanneer ze mobiel werken. Nog voordat ze met hun werk zijn begonnen, weten ze alweer waarom ze de schurft hebben aan de eigen it-afdeling.
Er zijn 1001-redenen te verzinnen waarom it alles bij het oude moet houden en de digitale slotgracht liefst nog verder moet worden uitgediept. Maar anno 2014 kan je fortificatie oude stijl niet meer verkopen aan je gebruikers. Het moet slimmer en vooral simpeler.
Inloggen is nu nog uit een pre wifi-byo-cloud-tijdperk. Identiteitscontrole en toegangsmanagement worden in het jargon identity and access management genoemd, ofwel iam. Voor veel gebruikers is iam oude stijl een blok aan het been. Binnen hun organisatie is de iam-architectuur dan nog gebaseerd op het ‘oude’ wereldbeeld waarin er nog geen apps, sociale media en cloud bestonden. De company-issued desktop was leidend en alle applicaties werden on premise beheerd. In minder dan vijf jaar is dat beeld geheel gekanteld. Tablets en smartphones zijn nu de primaire devices; vaak zijn ze niet eens meer eigendom van het bedrijf (bring your own device) en steeds meer productiviteit, collaboration tools en business applicaties komen uit de cloud. In deze nieuwe wereld zijn zakelijke gebruikers als consument gewend geraakt aan het simpel inloggen op en via sociale media. Gemak dient de mens en snelle toegang is het resultaat. De wereld kantelt niet meer terug en daarom voldoet IAM oude stijl niet meer. Bedrijven kunnen dus niet langer inside-out hun iam-architectuur ontwerpen en regels opleggen, maar moeten zich aan dat nieuwe wereldbeeld aanpassen. Toch gaan veel uitbestedende multinationals er bij marktconsultaties voor werkplekuitbesteding nog steeds van uit dat hun eigen (lees oude) iam-architectuur leidend blijft. Gevolg is dat je ook blijft door etteren met de oude werkplek, waar toegangsbeveiliging vooral lijkt te bestaan uit steeds hogere drempels. Aparte tokens en overcomplexe two-way authenticatie zijn heel gebruikersonvriendelijk; vooral voor toegang tot systemen en data die helemaal niet zo confidentieel of privacygevoelig zijn.
Simple sign-on als requirement. Veel providers van software en sociale media in de consumentenwereld gebruiken Facebook en Google als identity provider. Als consument kan je inloggen met je Facebook-credentials of kan je – wanneer je bent ingelogd op Facebook – automatisch door naar een andere web-applicatie. Het gemak waarmee je daar als consument inlogt staat in schil contrast met de zware toegangscontrole die bedrijven nu hanteren voor hun eigen werknemers. Het kan en moet anders. Simple sign-on graag! Voor gebruikers is single sign-on het zichtbare deel van IAM. Met single sign-on (sso) kan een gebruiker toegang krijgen tot meerdere, onafhankelijk van elkaar opererende, applicaties met dezelfde username en password. Ook het uitloggen (sign-off) gaat met één handeling. In de regel is slechts minder dan 10 procent van de bedrijfsdata confidentieel. Daarom wordt contextual access management straks de norm. Bepaalde klantdata kan dan bijvoorbeeld wel tijdens kantooruren worden benaderd met een beveiligde notebook, maar niet op een zonddagmiddag vanuit een internetcafé met privé tablet. Naast de functie, worden dan ook locatie, device en tijd meegenomen.
Bring your own identity? Met autorisatie worden toegangsrechten om een object (zoals een dataset, een applicatie of straks zelfs een internet-connected meetsensor) te benaderen toegekend door de objecteigenaar. In de regel geldt tegenwoordig dat alleen je functie bepalend is voor het autorisatieniveau. Authenticatie is de identiteitscontrole en de stap voorafgaand aan autorisatie. Net als in de consumentenwereld kunnen gebruikers hun digitale identiteit ook in beheer geven aan partijen die zij vertrouwen zoals Google+, LinkedIn, KPN of zelfs BOL.com; vervolgens acteert deze partij als identity provider richting bedrijven. Deze trend heet bring your own identity (byoid). In Nederland komt Qiy met een bijzonder initiatief. Voor het controleren van een identiteit komen er steeds meer nieuwe mogelijkheden zoals het IP-adres van het device, de locatie van de gebruiker en biometrische gegevens van de gebruiker. Dit zorgt er voor dat er meerdere sloten op de deur komen. Veiliger kan dan ook echt simpeler. Met byoid blijft de uiteindelijke autorisatie in handen van de objecteigenaar. Sign-on kan zo voor niet-bedrijfskritische data en applicaties en niet-risicovolle transacties dezelfde look and feel krijgen als inloggen via sociale media. Is dat onzin en onveilig? Ik ben heel wat post-its tegengekomen in kantoren op bureaus en pc’s met inloggegevens, maar zelden voor iemands Twitter, Facebook of LinkedIn accounts. Gebruikers wijzen op hun eigen verantwoordelijkheden hoort bij simple sign-on.
Toon durf! Het vergt moed om je eigen bouwwerken op de schop te nemen en niet meer vast te houden aan het argument van ‘zo doen we het al jaren’. Wie A zegt door byod toe te staan, kan niet meer met droge ogen de regel proclameren dat werknemers zakelijk niets met hun eigen device mogen doen behalve het bijhouden van hun mail en agenda. Je moet dus ook B zeggen en zoveel mogelijk interne en externe functionaliteit ontsluiten. Wie B zegt en gaat voor een internet-centric workspace met zowel publieke als private clouds, kan het best beginnen bij iam en sso nieuwe stijl. Daar ligt de sleutel tot een harmonieus huwelijk tussen consumerized en corporate it. Belangrijk is om te kijken naar de nieuwe marktstandaarden en op een slimme wijze te sourcen. Je wilt blijven innoveren en adequaat kunnen reageren op security breaches.
Een oude (iam)-wijsheid is:
Als er niet geklaagd wordt, dan is het systeem inherent onveilig.
En als je je identiteit durft uit te besteden dan zou ik je bij deze om je reserve autosleutels willen vragen met de plechtige belofte dat ik er goed op zal passen en niet door zal verkopen aan de eerste de beste Pool die een goed bod doet.
Wat een bijzonder tendentieus en onverstandig stukje.
Het blijft me verbazen dat mensen in een zakelijke omgeving de ‘gebruiker’ als de ‘klant’ omschrijven. Natuurlijk proberen it-afdelingen en helpdesks ‘klant’vriendelijk te zijn, maar dat gaat alleen op in de dagelijkse omgang met de gebruikers. Uiteindelijk geldt altijd nog de stokoude uitspraak dat wie betaalt, die bepaalt. Ofwel: het bedrijfsbelang gaat boven de wens van al die gebruikers en hun byo-opinies. Als ik een auto van de zaak krijg dan zal de garage beleefd tegen me zijn. Maar heeft die zaak een VW-bus voor me gekocht, dan heb ik als eigenwijze medewerker niks te zoeken bij een Mercedes-dealer.
In de ict is het niet anders: de data en de middelen blijven de beslissing van het bedrijf. Om dan de schurft te hebben aan die conservatieve en onwillige IT-afdeling is kortzichtig. Het wachten is op de eerste grote schadeclaim na dataroof via een byo-datalek. Bestuurders, check uw aansprakelijkheidsverzekeringen alvast. Het komt.
Ik vind het helemaal niet tendentieus en onverstandig. Het geeft goed aan dat de wereld verandert en dat daar uitdagingen bij horen voor IT-ondersteuners. Bedrijfs- en gebruikersbelang liggen vaak in elkaars verlengde; blijf je de de boel traditioneel dichttimmeren dan gaan gebruikers zelf creatief oplossingen bedenken (‘het Dropbox effect’).
Een essentieel zinnetje in het stuk is mijns inziens: “Gebruikers wijzen op hun eigen verantwoordelijkheden hoort bij simple sign-on”. Ik denk dat je er domweg niet meer omheen kunt om als bedrijf niet meer voor mensen te denken, maar ze meer zelf verantwoordelijk te maken voor wat ze doen. En ja, dat vraag nogal wat. Zowel van medewerkers als van (onder andere) de beheerafdeling. IT ondersteuners houden dus wel degelijk werk, maar voor een deel verandert het karakter ervan.
byoid ? Zodirect weer een reactie van Henri die vast vindt dat je juist zoiets specialistisch als Identity Management inderdaad beter niet zelf kan doen. En een voorbeeld van een succesvol bedrijf dat dat ook doet en nog steeds niet gehackt is.
Wel ekker makkeljk, eerst wat werken, dan wat internetbankieren met je facebook account. En gelijk advertenties krijgen omdat Google in de bedrijfsagenda heeft gezien dat je binnenkort een paar weekjes vrij hebt en je vakantie geld net binnen is 🙂
Marco,
Het spijt me dat ik zo onaardig ben maar ik vind je artikel zeer onkundig met beweringen waar je blijkbaar of geen kennis van hebt of verkeerd geïnformeerd bent.
Laat je aub (door IAM specialisten) beter informeren over IAM en de mogelijkheden van (nieuwe on-premise)IAM producten. Je zult als voorbeeld zien dat IAM juist de zaken zoals BYOD ondersteunt en vereenvoudig maakt. Ja gaat zien hoe IAM met haar federatiemogelijkheden veel andere zaken voor je kan automatiseren. Je komt erachter dat (on-premise)IAM meer doet dan wat je ingefluisterd kreeg.
De keuze rondom de plek van je Identity Store of je Identity Provider is afhankelijk van veel zaken waar je geen weet van hebt. wat jij in je artikel hierover voorstelt is maar zeer onkundig en oppervlakkig. Misleid aub de lezers die hier geen kennis van hebben niet!
Lees aub mijn artikel hierover en de kundige reacties, misschien helpt dit je tot een juist beeld te komen:
https://www.computable.nl/artikel/opinie/infrastructuur/5029849/2379248/i-am-in-de-cloud.html
Wie met facebook zijn ID’s regelt heeft niet veel begrepen van ICT of minimaal het afgelopen jaar geslapen.
Geef mij je huissleutels maar . . . ik pas er goed op!
Ik ben het inhoudelijk wel met je retoriek eens alleen je oplossingsrichting niet. Ik heb me namelijk altijd al afgevraagd waarom men niet na heeft gedacht over oude bestaande methodes die gewoon geïmplementeerd kunnen worden waardoor het signon gebeuren sterk kan worden vereenvoudigd.
Het kan veel centraler worden geregeld, even los van wat men het dan wil plegen te nomen. Overigens, het hele byod verhaal is wat mij betreft gewoon een NON. zo eenvoudig is dat.
Felix, ik geniet vaak van je reacties. Je weet sarcasme met humor te combineren maar daarin ook nog een kern van waarheid weten te stoppen.
Marco schrijft artikelen om te prikkelen en uit te dagen en ook dit stukje is relevant en actueel, maar ik heb er wat wisselende gedachten over.
Ik heb bij meerdere bedrijven ervoor gezorgd dat zij Google Apps / Office 365 zijn gaan gebruiken. De onderliggende IAM (AD / Microsoft Accounts) kan makkelijk gekoppeld worden aan andere diensten en dat geldt ook voor de Google IAM. Zeggen dat IAM adopteren van een cloud provider slecht is zou dan tegen mijn advies indruisen. Toch is het evident dat als je IAM buiten de deur gebruikt er mogelijkheden zijn dat overheden zich al dan niet via een gerechtelijke weg zich toegang kunnen verschaffen aan alles wat aan die IAM verbonden is. Dan heb je nog de hackers en als laatste je IAM aanbieder die zich mogelijk toegang verschaffen tot je systemen. Een risico analyse kan helpen met het maken van een beslissing.
Dan SSO. SSO in de mainstream is redelijk toepasbaar maar daarbuiten wordt het snel lastig. SSO leidt ook tot phising. Een dienst kan heel makkelijk roepen “Log in met je Office 365 account” en je zou ze de kost moeten geven hoeveel gebruikers geen idee hebben of ze het goed of fout doen. Daarnaast is Single Sign Off een uitdaging en hebben veel diensten een “backdoor” waarbij je ook nog een username wachtwoord kunt aanmaken naast de gebruikte IAM. Stel dat de IAM jou als user deprovisioned (je gaat uit dienst), hoe zeker ben je ervan dat inloggen met die username en wachtwoord ook niet meer gaat?
Kortom, ondanks dat je het voor gebruikers makkelijk wilt maken is dit veel lastiger dan zoals het verkocht word. Daarnaast mag je in mijn ogen gebruikers best vermoeien met procedures en in bepaalde gevallen zelfs multifactor authentication. Al moet je de grens vinden met het moment waarop gebruikers buiten je systeem om gaan werken.
Cruciaal lijkt mij in ieder geval continu voorlichting, net als dat EHBO en BHV verplichtingen kent zou er ook een certificaat “veilig werken” moeten zijn wat zich op techniek richt.
Shitty sign on is een uitdaging en er zal nog veel water naar de zee stromen voordat het en makkelijk en veilig is.
PS: maar zelf IAM of uit de cloud, wat het beste is moet uit een risico analyse blijken. IAM is in mijn ogen in ieder geval een cruciaal stukje bij de adoptie van cloud computing.
Felix is inderdaad erg grappig en hij slaat de spijker op de kop. Jammer dat je hier nu geen duim omhoog kan geven. Het meest handige voor de al die logins en zeker de pret logins lijkt me om zoveel mogelijk hetzelfde wachtwoord gebruiken. Niet te moeilijk, de naam van de hond of de vrouw met een paar cijfers erbij. Zodat je altijd winkelt in het zelfde hoekje, ik denk dat volksstammen dat zo doen. Alleen oppassen met bank en belasting. Binnen een bedrijf moet SSO makkelijk te regelen zijn en tsja als er zo nodig bedrijfsdiensten extern van het web afgenomen moeten worden dan is dat even lastiger al begrijp ik dus dat er oplossingen zijn. Vooral in het onthouden van die wachtwoorden.
Deze keizer heeft geen kleding aan. Wat een vertoning: http://youtu.be/zXvdpun97MU