Identity and access management (iam) is nu sta-in-de-weg voor innovatie van werkplek. Gebruikers worden gek van tokens, complexe loginprocedures en vpn-connecties die retetraag zijn en er om de haverklap uit liggen wanneer ze mobiel werken. Nog voordat ze met hun werk zijn begonnen, weten ze alweer waarom ze de schurft hebben aan de eigen it-afdeling.
Er zijn 1001-redenen te verzinnen waarom it alles bij het oude moet houden en de digitale slotgracht liefst nog verder moet worden uitgediept. Maar anno 2014 kan je fortificatie oude stijl niet meer verkopen aan je gebruikers. Het moet slimmer en vooral simpeler.
Inloggen is nu nog uit een pre wifi-byo-cloud-tijdperk. Identiteitscontrole en toegangsmanagement worden in het jargon identity and access management genoemd, ofwel iam. Voor veel gebruikers is iam oude stijl een blok aan het been. Binnen hun organisatie is de iam-architectuur dan nog gebaseerd op het ‘oude’ wereldbeeld waarin er nog geen apps, sociale media en cloud bestonden. De company-issued desktop was leidend en alle applicaties werden on premise beheerd. In minder dan vijf jaar is dat beeld geheel gekanteld. Tablets en smartphones zijn nu de primaire devices; vaak zijn ze niet eens meer eigendom van het bedrijf (bring your own device) en steeds meer productiviteit, collaboration tools en business applicaties komen uit de cloud. In deze nieuwe wereld zijn zakelijke gebruikers als consument gewend geraakt aan het simpel inloggen op en via sociale media. Gemak dient de mens en snelle toegang is het resultaat. De wereld kantelt niet meer terug en daarom voldoet IAM oude stijl niet meer. Bedrijven kunnen dus niet langer inside-out hun iam-architectuur ontwerpen en regels opleggen, maar moeten zich aan dat nieuwe wereldbeeld aanpassen. Toch gaan veel uitbestedende multinationals er bij marktconsultaties voor werkplekuitbesteding nog steeds van uit dat hun eigen (lees oude) iam-architectuur leidend blijft. Gevolg is dat je ook blijft door etteren met de oude werkplek, waar toegangsbeveiliging vooral lijkt te bestaan uit steeds hogere drempels. Aparte tokens en overcomplexe two-way authenticatie zijn heel gebruikersonvriendelijk; vooral voor toegang tot systemen en data die helemaal niet zo confidentieel of privacygevoelig zijn.
Simple sign-on als requirement. Veel providers van software en sociale media in de consumentenwereld gebruiken Facebook en Google als identity provider. Als consument kan je inloggen met je Facebook-credentials of kan je – wanneer je bent ingelogd op Facebook – automatisch door naar een andere web-applicatie. Het gemak waarmee je daar als consument inlogt staat in schil contrast met de zware toegangscontrole die bedrijven nu hanteren voor hun eigen werknemers. Het kan en moet anders. Simple sign-on graag! Voor gebruikers is single sign-on het zichtbare deel van IAM. Met single sign-on (sso) kan een gebruiker toegang krijgen tot meerdere, onafhankelijk van elkaar opererende, applicaties met dezelfde username en password. Ook het uitloggen (sign-off) gaat met één handeling. In de regel is slechts minder dan 10 procent van de bedrijfsdata confidentieel. Daarom wordt contextual access management straks de norm. Bepaalde klantdata kan dan bijvoorbeeld wel tijdens kantooruren worden benaderd met een beveiligde notebook, maar niet op een zonddagmiddag vanuit een internetcafé met privé tablet. Naast de functie, worden dan ook locatie, device en tijd meegenomen.
Bring your own identity? Met autorisatie worden toegangsrechten om een object (zoals een dataset, een applicatie of straks zelfs een internet-connected meetsensor) te benaderen toegekend door de objecteigenaar. In de regel geldt tegenwoordig dat alleen je functie bepalend is voor het autorisatieniveau. Authenticatie is de identiteitscontrole en de stap voorafgaand aan autorisatie. Net als in de consumentenwereld kunnen gebruikers hun digitale identiteit ook in beheer geven aan partijen die zij vertrouwen zoals Google+, LinkedIn, KPN of zelfs BOL.com; vervolgens acteert deze partij als identity provider richting bedrijven. Deze trend heet bring your own identity (byoid). In Nederland komt Qiy met een bijzonder initiatief. Voor het controleren van een identiteit komen er steeds meer nieuwe mogelijkheden zoals het IP-adres van het device, de locatie van de gebruiker en biometrische gegevens van de gebruiker. Dit zorgt er voor dat er meerdere sloten op de deur komen. Veiliger kan dan ook echt simpeler. Met byoid blijft de uiteindelijke autorisatie in handen van de objecteigenaar. Sign-on kan zo voor niet-bedrijfskritische data en applicaties en niet-risicovolle transacties dezelfde look and feel krijgen als inloggen via sociale media. Is dat onzin en onveilig? Ik ben heel wat post-its tegengekomen in kantoren op bureaus en pc’s met inloggegevens, maar zelden voor iemands Twitter, Facebook of LinkedIn accounts. Gebruikers wijzen op hun eigen verantwoordelijkheden hoort bij simple sign-on.
Toon durf! Het vergt moed om je eigen bouwwerken op de schop te nemen en niet meer vast te houden aan het argument van ‘zo doen we het al jaren’. Wie A zegt door byod toe te staan, kan niet meer met droge ogen de regel proclameren dat werknemers zakelijk niets met hun eigen device mogen doen behalve het bijhouden van hun mail en agenda. Je moet dus ook B zeggen en zoveel mogelijk interne en externe functionaliteit ontsluiten. Wie B zegt en gaat voor een internet-centric workspace met zowel publieke als private clouds, kan het best beginnen bij iam en sso nieuwe stijl. Daar ligt de sleutel tot een harmonieus huwelijk tussen consumerized en corporate it. Belangrijk is om te kijken naar de nieuwe marktstandaarden en op een slimme wijze te sourcen. Je wilt blijven innoveren en adequaat kunnen reageren op security breaches.
Ik heb altijd een dubbel gevoel bij SSO. Aan de ene kant heel makkelijk, 1 wachtwoord voor alles.
Maar aan de andere kant: als iemand je wachtwoord weet te achterhalen, of je vergeet je systeem te locken, dan kan men meteen overal bij. Ik weet niet of ik daar zo blij van wordt …
Wat Marco schrijft is nog redelijk onschuldig vergeleken met de plannen om een Europees InternetID te gaan verplichten.
Als dan niemand zich meer anoniem het internet op kan begeven zal subtiel met censuur begonnen worden en zullen dissidenten nog meer actief gevolgd worden dan nu geïnspireerd door het Chinese stelse.
Bedankt Relou,
Nu weet ik weer waarop ik vroeger een allergie ontwikkelde.
Het best omschreven als een allergie op halve haantjes.
@Henri
Deze Marko vindt zichzelf te goed om te reageren, dat doet hij namelijk nooit, en wat hier geschreven wordt is niet aktueel, nog prikkelend of uitdagend maar in goed nederlands dom, Dee Ooh Em, dom dom dom!
Waarom? Een centrale ID maken met een organisatie die straf aan de leiband van de NSA loopt (Facebook), getuigt van een gebrek aan maatschappelijk inzicht, ik ga zover dit soort mensen als gevaarlijk te betitelen.
Uit het artikel:digitale identiteit ook in beheer geven aan partijen die zij vertrouwen ….
kennelijk weet de auteur niet wat een digitale identiteit is. 🙁
klinkt na doorvoering als:
als ik 1000 euro schuld heb aan de bank is het mijn probleem
heb ik 10 miljoen euro schuld is het hun probleem
Nog eens even op het profiel gekeken. Dat topmanagers in NL zich inlaten met dit soort “experten” verklaart waarom het ICT beleid in NL zo slecht is.
Zouden ze beter Ewout & Henri vragen, het liefst samen.
Dan heb je ten minste een levendige discussie met experten.
@NQ:
de kracht van IAM begint langzamerhand voor veel organisaties bekend te worden. Helaas denken nog steeds veel mensen bij IAM aan alleen SSO. IAM doet veel meer dan alleen SSO. Ik heb vaak gezegd raadpleeg eerst een IAM specialist. Vind je het cool dat je bezoekers of gebruikers met hun Facebook, LinkedIn etc in te kunnen loggen, geen punt. Dat kan een IAM product naast veel andere zaken voor je realiseren. Maar eerst zorg ervoor dat je geïnformeerd wordt en ook door de juiste mensen en niet praatjes makers zoals Marco.
@Henri:
Ik zie wat Marco geschreven heeft niet als prikkelen en uitdagen. Dat is maar een domme marketing waar ze niet goed over nagedacht hebben.
Bij het lezen van de reacties krijg ik het gevoel dat men het verschil tussen SSO en IAM niet goed kent. Van deze onwetendheid maakt juist Marco misbruik om zijn doel te bereiken.
@Flex:
Ene van aspecten waar Marco in zijn verhaal niks over zegt is de juridische aspecten rondom zijn voorstel. Ik heb nog meer andere punten maar eerst kijken of hij voor zijn verhaal durft uit te komen 🙂
@PaVaKe:
Dit is een technische aspect. De nieuwe IAM producten (waar SSO een onderdeel van is) kunnen dit ook voor je oplossen. Afhankelijk van sommige zaken kun je policies op je authenticatie en autorisatie-paden opzetten.
@Jan:
Een centrale Identity Store maken is geen punt zolang je dat zelf in beheer hebt! Je kunt daarna verschillende ID stores als LinkedIn, Facebook etc erop aansluiten en beheer(s)en. Maar je punt is wat mij betreft correct.
Leuk als Computable een keer een sessie organiseert met een aantal experts inclusief Marco 🙂
Jan, dank voor je compliment, maar je kent met teveel eer toe 🙂
Marco heeft er eerder voor gekozen niet te mengen in discussie. Praktisch alle reageerders hebben eerder gereageerd op een artikel van Marco, dus als je reageert, weet je dat je niet veel van de schrijver moet verwachten op dit punt.
Ik heb het artikel nogmaals gelezen, maar ik blijf erbij dat het een relevant artikel is en dat hij handvatten geeft om over na te denken. Wat je vind van de persoon, daar kan ik me wat bij voorstellen, of hij inhoudelijk echt iets kan toevoegen durf ik me niet over uit te laten, maar wat hij schrijft is niet gek, best goed eigenlijk.
Ik ben het ook wel eens met Henri, ook nog een keer gelezen en vind het ook helemaal zo een slecht artikel niet. En met het artikel van Reza nog een keer erbij word me al wat meer duidelijk. Maar ik denk ook, houd de authenticatie voor externe diensten voor het bedrijf maar in eigen hand als dat kan en dat te koppelen aan het eigen SSO.
Het helpt niet dat de schrijver weigert te reageren (behalve als het om gesuggereerde voorkennis gaat…) en er een behagen in schept de IT-afdeling te schofferen. Zal hem ook niet helpen als je een keer Ja wilt horen in plaats van Nee. Dat is niet slim.
@Reza
Dat Marco vaak alleen maar de klok heeft horen luiden en niet weet waar de klepel hangt is al eerder gegeconstateerd, zou me daar niet meer druk om maken. Nu heeft hij het volgens mij over de NIET bedrijfskritische en de NIET risicovolle transacties waarbij je kunt afvragen of het optuigen van IAM hier nog wel enig nut heeft. Innoveren en adequaat in spelen op beveiligingsproblemen blijkt hierdoor GEEN harmonieus geheel met SSO. Nu meen ik me ook te herinneren dat jij op ‘I AM in de cloud’ een vervolg beloofd had waar je in zou gaan op mijn vragen: Wie, wat, waar en waarom. Bij IAM gaat het nammelijk niet zo zeer om de techniek maar juridische vraag wie er nu precies voor wat verantwoordelijk is.
@Henri
Zou je aan kunnen geven waar hij precies handvatten geeft, eerder constateerde jij al dat RBAC en cloud nog niet echt standaard is.
@Reza
Voltreffer:
“Een centrale Identity Store maken is geen punt zolang je dat zelf in beheer hebt”
Natuurlijk in eigen beheer.
Je kunt ook keepass gebruiken, tegenwoordig loopt toch alles via een PC en je kunt iedereen leren met zo’n programma om te gaan, dat kost waarschijnlijk minder moeite als andere oplossingen en geeft de gebruiker ook wat eigen verantwoording om op te passen met inlog gegevens. Het moet niet altijd centraal zijn.