Nu organisaties applicaties van derde partijen koppelen met hun eigen dienstenaanbod, wordt de beveiliging van deze ecosystemen belangrijker. Identiteits- en toegangsbeheer (identity access management – iam) is essentieel om het vertrouwen in de klant en tussen de verschillende partners te verzekeren. Net zoals het snel en veilig kunnen opzetten van deze verbindingen met diensten van derden noodzakelijk is om de concurrentie voor te blijven.
De moderne consument verwacht een onberispelijke kwaliteit, een snelle service, een vlotte gebruikerservaring en vooral gemak. Een merk dat meerdere, klantgerichte diensten kan samenbrengen, zal altijd de voorkeur krijgen boven een specifiek, ‘boutique’ aanbod. Traditionele bedrijven worden in snelheid gepasseerd door Amazon en co en zoeken nu naar manieren om hun productaanbod uit te breiden buiten de traditionele basisdiensten.
Liever dan zelf deze diensten te ontwikkelen, partneren ze met derden. Door gebruik te maken van externe input en expertise kunnen zij bestaande producten en diensten verbeteren en zelfs met geheel nieuwe bedrijfsmodellen komen die voldoen aan de verwachtingen van de klant, of ze zelfs overtreffen.
Ecosystemen
Dit soort ecosystemen vinden we in diverse sectoren terug:
-
Banken: via hun smartphone-app bieden banken hun eigen financiële diensten en verzekeringsproducten aan en voegen ze extra applicaties toe, zoals tickets voor openbaar vervoer, tankkaarten, concerttickets, nutsvoorzieningen en zelfs links naar klusjesmannendiensten. Sommige banken stellen hun applicaties zelfs open voor niet-klanten en trekken ze met deze niet-financiële diensten aan, in de hoop dat ze daarna een klant worden. Het principe van open banking en regelgeving als PSD2 moedigen dergelijke samenwerkingen trouwens aan.
-
Reisindustrie: wanneer u een vlucht rechtstreeks bij een luchtvaartmaatschappij boekt, biedt de luchtvaartmaatschappij u een extra pakketdiensten aan, bijvoorbeeld een bagageverzekering, autoverhuur, hotelreserveringen of registratie voor dagtrips vanaf uw bestemming en concerttickets.
-
Verzekeringen: verzekeringsmaatschappijen vullen hun traditionele dienstenpakket aan via een ecosysteem met experts en klusjesdiensten, maar ze vormen ook allianties met platformen voor tweedehands verkoop en elektriciteit- en gasmaatschappijen die preventief onderhoud aanbieden.
-
Nutsvoorzieningen zetten samenwerkingen op met onderhoudsploegen, installateurs van zonnepanelen en fabrikanten van domotica.
-
Retailers als Amazon of Bol.com ontwikkelden een ecosysteem met andere retailers om hun platform ter verrijken, zonder zelf in voorraad te hoeven investeren.
Het principe van deze ecosystemen is simpel: al wat je hoeft te doen, is diensten verbinden met andermans diensten en je kan zo de markt op. Technisch ligt het echter wat anders, vooral ook omdat de complexiteit van de it-infrastructuur voor de gebruiker verborgen moet blijven. Om de applicaties met elkaar te verbinden en de klant gebruiksgemak te bieden, worden deze diensten als api’s aangeboden. Deze ‘application programming interfaces’ zijn sets van routines, protocollen en tools die worden gebruikt om softwaretoepassingen te bouwen. In essentie specificeert een api hoe softwarecomponenten op elkaar moeten reageren. In tegenstelling tot de traditionele monolithische toepassingen die miljoenen lijnen code bevatten en moeilijk te onderhouden zijn, bevatten api’s en microservices doorgaans maar een paar duizend regels code. Door deze grote applicaties op te splitsen in kleinere microservices, worden ze gemakkelijker aan te passen naarmate de bedrijfsvereisten veranderen. Het herschrijven van microservices die gekoppeld zijn aan slechts één bedrijfsproces of één transactie, is minder complex dan het aanbrengen van wijzigingen in een monolithische applicatie die de bedrijfslogica van een heel bedrijf bevat.
Beveiligen
Het bundelen van al deze api’s in een ecosysteem zorgt ook voor een uitdaging: deze api’s mogen niet onbeschermd aan de buitenwereld worden blootgesteld. Api-beveiliging is tegenwoordig een belangrijk thema, omdat het aantal aanvallen tegen api’s hand over hand toeneemt.
Wanneer applicaties informatie uitwisselen, moet dit op een veilige manier gebeuren: als banken klantinformatie uitwisselen met een derde partij, moeten er regels zijn om te bepalen welke derde partij toegang heeft tot welk niveau van klantinformatie. De mogelijkheid om de api-toegang te controleren is de hoeksteen van effectieve api- en microservice-beveiliging en de sleutel tot vertrouwen in ecosystemen. Klanten zullen hun persoonlijke gegevens niet in een ecosysteem van applicaties willen achterlaten als ze de bedrijven achter de applicaties niet kunnen vertrouwen. In het geval van een bancaire klant wordt de bank de vertrouwensbemiddelaar voor het hele ecosysteem.
Identiteits- en toegangsbeheer ((identity access management – iam) is het middelpunt van de bescherming van een ecosysteem. Iam zal gebruikers identificeren en authenticeren en hen, op basis van hun toegangsrechten, verbinden met de diensten waar ze via ‘single sign-on’ rechten voor hebben. Wanneer extra beveiliging nodig is, zal de iam-engine gebruik maken van step-up-authenticatie, bijvoorbeeld door extra attributen aan te vragen om de identiteit en de daarmee verbonden toegangsrechten van een gebruiker te controleren. Iam zal ook de complexiteit voor de eindgebruiker verbergen: het verplaatsen van de ene applicatie naar de andere in de bankapplicatie moet volledig transparant zijn, zonder de gebruiker te vragen zich voor elke afzonderlijke dienst te authenticeren.
De groei van bedrijven hangt niet alleen af van hun vermogen om concurrerende producten en diensten te ontwikkelen. Met wie ze samenwerken, hoe ze hun respectieve aanbod integreren en hoe ze het resulterende ecosysteem veiligstellen, zijn de criteria die toekomstig succes bepalen. Om het vertrouwen te behouden, is een iam-platform nodig dat een maximum aan standaarden, autorisatiemethoden en identiteitsbronnen ondersteunt. Om snel te kunnen reageren op veranderingen in de markt en het ecosysteem sneller uit te breiden dan de concurrentie, is een iam-systeem dat plug-and-play verbindingen en een maximale gebruikerservaring biedt, een must.