Kortgeleden heb de vierde editie van Cloud Architect Alliance bijgewoond. Het thema van deze sessie was identity en access management (iam) in de cloud. De sessie was op een mooie locatie (restaurant Dauphine) en alles was goed verzorgd. De sprekers waren mensen uit het veld, met voldoende kennis en zeer kundig voor het geven van mooie presentaties, die gepaard gingen met voldoende interactie met de aanwezige architecten.
Voor de sessie heb ik met een aantal architecten wat gesprekjes gevoerd. Het viel me op dat iam nog gezien wordt als een single sign on (sso)-oplossing en niet meer. In een sessie hadden we te maken met twee verschillende partijen. Aan de ene kant hadden we een grote partij die afkomstig was van buiten de EU en aan de andere kant stond een klein Nederlandse partij. De Nederlandse leverancier heeft zijn SWOT-analyse goed gedaan. Ze hebben baat bij het feit dat ze niks met regels en wetten buiten Europa te maken hebben. Dit gegeven is voor meer bedrijven belangrijk is. Hun toverkaart beperkte zich niet tot dit onderwerp. De Nederlandse leverancier is een kleine onderneming en levert een iam-product dat als maatwerk kan worden toegepast. Maar heb je wel maatwerk nodig?
Wat ga je met iam doen?
Zoals eerder gezegd, veel architecten beschouwen iam als een oplossing voor sso-zaken, vooral voor toegang tot applicaties in de cloud (SaaS) Wat niet bekend is, is dat iam meer doet dan alleen sso. Zoals in mijn vorige artikel en reacties toegelicht, iam is een component dat aan een kant als regelaar verschillende bedrijfsprocessen en applicaties met elkaar laat communiceren. Dit is de interne kant van iam. Aan andere kant heeft iam de externe functie om de businessprocessen door verschillende triggers vanuit buiten de organisatie te activeren om vervolgens een intern proces of workflow in werking te zetten.
Naast deze interne en externe functies heeft iam nog meer verantwoordelijkheden die je beter van een iam-consultant toegelicht kan krijgen. Let wel dat de geschiktheid van je applicaties voor communicatie met iam een randvoorwaarde is. Als digitalisering van je business hoog op de agenda staat, als je je bedrijfsvoering wilt optimaliseren voor de nieuwe economie (koerst je onderneming af op een ramp?) of als je van nieuwe mogelijkheden als cloud computing gebruik wilt maken, dan kun je niet om iam heen.
Je leverancier: does size matter?
Terug naar de sessie en de kleine Nederlandse leverancier. Een onderwerp dat mij opviel in hun presentatie was hun businessmodel en oplossing. De Nederlandse leverancier biedt een maatwerkoplossing die aangepast kan worden aan behoefte en doelstelling. De oplossing kan verder modulair in verschillende fases van transitie en transformatie, van je oude business naar gedigitaliseerde vorm, in een aantal stappen worden opgebouwd en geïmplementeerd. Deze mogelijkheid en in deze vorm heb ik bij die grote leverancier gemist.
De grote leverancier biedt een pakket dat, afhankelijk van licenties, verschillende en vrij veel opties bevat. Hun oplossing is compatible met veel zaken en die kan ook beperkt worden aangepast, maar verwacht er niet veel van de aanpassingsmogelijkheden. Misschien heb je geen behoefte aan maatwerk. Of dit (maatwerk of geen maatwerk) voor je een voor- of nadeel is, hangt af van wat je wilt doen en welke plannen je hebt. De enterprise-omgeving van bijvoorbeeld grote ministeries of bedrijven als Achmea, Campina, et cetera stellen andere eisen dan een mkb-organisatie.
Waar leg je de sleutel neer?
Een belangrijk onderwerp bij iam-producten en -leveranciers is de plek van de identity store in de oplossing. De identity store is goud waard! Veel (cloud)leveranciers als Facebook, Google, Microsoft en meer willen graag als IDaaS-leverancier je identity store beheren. Tijdens de sessie vroeg ik waar ze de identity store gingen neerzetten. Intern? Extern? Of een combinatie hiervan? Uiteraard zegt een IDaaS leverancier ‘bij ons in de cloud’.
De Nederlandse iam-leverancier is ook een IDaaS-leverancier. Opvallend was de (korte) discussie over disaster recovery en business continuity, maar ook het mogelijke faillissement van een IDaaS-leverancier en wat er verder gaat gebeuren met een identity store en de continuïteit van de bedrijfsvoering. IDaaS-leveranciers hebben uiteraard hierover nagedacht, maar de vraag is of hun oplossing acceptabel voor je is. Dit lijkt me een belangrijk onderwerp dat helaas niet voldoende aandacht kreeg tijdens deze sessie.
Nieuwe iam-spelers
Identity en access management is een onderwerp dat de komende jaren steeds belangrijker wordt. We zien steeds meer nieuwe bedrijven die zich met dit onderwerp gaan bezighouden. VMware bijvoorbeeld heeft kort geleden een product uitgebracht voor zaken rondom wachtwoordenbeheer. Het is zeker nog geen iam-product, maar het is zeker wel het begin van iets dat doorgroeit naar een iam-product. Er zijn genoeg verschillen tussen een iam-product en een enterprise service bus, haal deze niet door elkaar.
Mocht je van plan zijn je business te digitaliseren of heb je een cloud-strategie, laat je dan goed door meer dan één partij informeren over verschillende zaken rondom iam.
Ik kijk uit naar de volgende sessie van Cloud Architect Alliance.
Mogen we weten wie de leveranciers zijn waar naar wordt gerefereerd in het artikel?
Beste Guus,
Ik schrijf mijn artikelen leverancier-onafhankelijk, ik ben geen verlengsnoer van leveranciers en hun producten en ik wil het zo houden.
Vandaar dat ik geen naam genoemd heb.
Met informatie uit dit artikel kun je zelf die namen op het internet vinden. Mocht het je niet lukken of heb je er geen tijd voor dan kun je me via mijn profiel op deze site een bericht sturen, dan ga ik je die bekend maken.
Mijn excuses dat ik je niet direct kan helpen.
Guus: De lokale speler is iWelcome. De grote speler is Okta.
Ik ben ook op de avond geweest en heb me wederom prima vermaakt en heb ook nog wat opgestoken. Uiteraard draait de avond niet alleen om de presentaties maar ook de interactie tussen de aanwezigen zelf.
Overigens wederom mijn dank aan Bart Veldhuis, Freek Beemster en de sponsoren voor de avond. Er dient ook opgemerkt te worden dat het geen reclame avond is. Het ging niet om de merken, maar om de inhoud.
Terug on-topic. Slaat de titel op het feit dat zowel een grote speler als een kleiner speler bestaansrecht heeft?
Wat betreft iWelcome en Okta : Ze doen IAM, maar wat ze doen en hoe ze het doen is in mijn ogen behoorlijk verschillend, ook geloof ik niet dat ze direct elkaars concurrenten zijn.
Ik ben het volledig eens met Reza dat als je dingen naar de cloud brengt (en dat doet iedere organisatie al in meer of mindere mate) dan heb je domweg te maken met IAM. De tijd van een monolytisch systeem voor je medewerkers met een stukje portal voor je klanten en leveranciers is voorbij.
Als je als organisatie SaaS gebruikt dan is IAM gewoon een logisch gevolg waarvan je niet zonder moet willen kunnen.
Wat voor je organisatie het beste past kan verschillen, zelf geloof ik dat IAM in de basis simpel moet zijn en de complexiteit onder de motorkap moet zitten. Standaardisatie is van cruciaal belang en als je nu de veiligheid ziet van OAuth 2.0 (Google vertrouwt erop) en de kracht van SAML (2) zijn hier goede ontwikkelingen in waar te nemen.
Zelf ken ik iWelcome inhoudelijk niet (logisch, ik ben van de selfservice) en vind ik Okta een sterk product (hen ken ik wel en heb vlieguren mee) maar zijn er ook steeds sterker wordende proposities in Azure en AWS (daar heet de dienst IAM icm Directory Services). Bij AWS zie je dat IAM echt in het DNA verbonden is alleen is het geen dienst waarin je makkelijk externe producten als eindgebruiker kunt afnemen, je zult alles zelf nog moeten bouwen en regelen.
Iedere organisatie zou zich echter met IAM bezig moeten houden en een strategie / visie moeten ontwikkelen waarin intern en extern veilig aan elkaar verbonden zijn.
Over de inhoud van deze opinie heb ik een beetje gemengde gevoelens. Er staan zinvolle dingen in, maar het had wel iets tastbaarder gemogen en wat mij betreft noemen we gewoon man en paard. Waarom niet?
Henri,
– In je reactie merk ik dat je sterk naar Cloud kijkt (zo lees ik het) Een IdM/AM product wat we IAM noemen kent twee kanten:
A) Het is verantwoordelijk voor automatiseren van je bedrijfsprocessen/applicaties en workflows en ook beveiliging.
B) De oplossing kun je gebruiken voor je Cloud en SaaS zaken.
Een IAM product betekent niet gelijk geschikt te zijn voor interne IdM/AM zaken. Er zijn producten die als appliance alleen je Cloud en Saas zaken doen en niks met je interne processen en applicaties.
– Denk na over de plek van je Identity Store de inrichting van je bedrijfsprocessen. Hierna moet je de architectuur van je IdM/AM bedenken. Daarna kun je beter naar een juist product zoeken.
– De gezondheid en stabiliteit van je IAM leverancier zijn naast hun product, techniek en ontwikkelingen zeer belangrijk. Dus denk ook na over wie, met je Identity Store mag spelen, je Exit plan, DR/BC plan en nog andere zaken in het geval dat je leverancier een externe provider is (IDaaS).
Size Doesn`t Matter? Geen idee! De grootte van het bedrijf (je leverancier) zegt niks en geeft geen garantie voor de continuïteit van hun bedrijfsvoering.
Je kijk direct naar een IDaaS (AWS/MS etc) terwijl ik eerder heb voorgesteld om goed na te denken over de plek van je Identity Store en de inrichting van je bedrijfsprocessen. Naar mijn mening een hybrid model (lokaal plus IDaaS) een goede optie is maar dat is ook afhankelijk van veel andere zaken.
Het feit dat dit artikel niet genoeg tastbaar is komt doordat het toepassen van IdM/AM vrij verschillend is bij elke organisatie. Dat heeft naar mijn mening weinig nut om dingen te benomen die misschien niet voor veel lezers/klanten van toepassing zijn. Daarom heb ik gezegd “laat je je informeren door een IAM consultant”