Het afgelopen jaar hebben we allemaal met COVID-19 te maken gehad. Werknemers moesten noodgedwongen thuiswerken en bedrijven heroverwogen hun bedrijfsmodellen om ook in de coronacrisis succesvol te blijven.  Inmiddels rollen we langzaam terug naar het ‘oude normaal’. Echter, zelfs wanneer we zijn teruggerold, zullen werkgevers, werknemers en klanten een wat andere kijk hebben op de nieuwe wereld. Zo zullen de meeste werkgevers waarschijnlijk 1 á 2 dagen thuiswerken stimuleren (bron: RTL Z). Waardoor werknemers steeds vaker vanuit huis, via hun eigen netwerk, toegang willen hebben tot de bedrijfsapplicaties in de Cloud. Deze verandering kan veiligheidsrisico’s met zich meebrengen. Daarnaast, aan de klantenkant, heeft COVID-19 tot een stijging geleid in het aantal online bestellingen (bron: CBS). Hierdoor hebben veel bedrijven besloten om de online-ervaring van een klant te verbeteren. Een klant wil namelijk op een veilige en snelle manier toegang verkrijgen tot de juiste gegevens en data rondom zijn bestellingen. Dus wat zorgt ervoor dat de spreekwoordelijke deur opengaat óf gesloten blijft? Identity and access management, ook wel IAM genoemd, speelt een sleutelrol in het beheersen van deze risico’s en is een onmisbaar onderdeel in het moderne IT-landschap.

Maar wat is IAM nou eigenlijk? In het werkveld hoor je verschillende geluiden; “We willen graag de werkdruk op de beheerafdeling verkleinen rondom gebruikersaccounts” of “Single sign-on (SSO) hebben we nodig, dus denk ik eraan om een IAM-oplossing te implementeren” of “Ik wil het klanten gemakkelijker maken om informatie in te zien van hun aankopen”. Alle drie deze wensen zijn legitiem, maar vragen ook om een andere oplossing.  Dit artikel geeft een beknopte introductie over de termen IAM en SSO.

Identity and Access Management – een echte parapluterm

IAM is een echte parapluterm waarmee het beheer van gebruikersaccounts in (informatie)systemen en de bijbehorende toegangsrechten wordt bedoeld. Kort gezegd: Het centraliseren en automatiseren van het aanmaken, beveiligen en verwijderen van gebruikersaccounts. Ook wel genoemd het beheer van de user-life cycle.

Onder een IAM-oplossing vallen de volgende activiteiten:

Onboarden/offboarden van gebruikersaccounts – ook wel provisioning en deprovisioning genoemd

Volledig identiteitsbeheer van de identiteiten binnen de organisatie

Authenticatie (wie ben je) en autorisatie (wat mag je) van gebruikersaccounts profielen

Het is goed om te beseffen dat IAM voor interne medewerkers een ander domein is dan wanneer je op zoek bent naar een IAM-oplossing voor klanten.

EIAM – zorgt voor één identiteit van een werknemer binnen de gehele organisatie

Employee identity access management (EIAM) is ontworpen om het beheerproces van identiteiten voor de verschillende systemen te centraliseren. Het doel hiervan is dat IT-personeel authenticatie en autorisatie niet over het gehele scala aan technische platforms hoeft door te voeren, maar dit op één plek kan beheren. Bij deze oplossing spreken we daarom van één identiteit van een werknemer binnen de gehele organisatie. Een bijkomend voordeel voor de werknemer is dat hij/zij maar één gebruikersaccount nodig heeft met één wachtwoord. De belangrijkste doelstelling van EIAM is om beveiligingsrisico’s te verminderen en operationele efficiëntie te verhogen. Je kunt je namelijk voorstellen dat de kans op menselijke fouten verkleind worden op het moment dat de data rondom gebruikersaccounts zich op één plek bevindt. Bovendien blijft de data eerder up-to-date wanneer het op één plek wordt beheerd. De werkgever bepaalt in dit geval wie (authenticatie) toegang krijgt en wat (autorisatie) deze persoon mag zien in deze systemen. Vaak wordt de autorisatie van een werknemer gebaseerd op óf de rol in de organisatie – denk aan verkoopmedewerker, accountant, bedrijfsmanager – óf op kenmerken beschikbaar op de werknemerskaart (HR-systeem) of identiteit zoals afdeling of.

CIAM – zorgt voor het centraal beheren van de gebruikersaccounts van klanten

Customer identity access management (CIAM) fungeert op dezelfde principes als EIAM, maar heeft een ander doel. Het doel van CIAM voor bedrijven is namelijk om de externe users – gebruikersaccounts van klanten – centraal te beheren. Daarnaast volgt een CIAM-oplossing een klantgerichte benadering, waardoor de online klantervaring, ook wel de customer experience, wordt verhoogd. De klantervaring wordt vergroot, omdat de klant zelf ‘in control’ is welke instellingen en voorkeuren gevolgd worden. Voorbeelden hiervan zijn; wat mag een bedrijf van mij weten?; Wil ik een maandelijkse nieuwsbrief ontvangen?; Het wijzigen van adresgegevens; Het wachtwoord resetten. CIAM levert voordelen voor de organisatie en de klant. Voor organisaties is het voordeel dat door het implementeren van een CIAM-oplossing een klantenservice minder wordt belast met vragen omtrent instellingen en toegangsparameters. Voor een klant resulteert een CIAM-oplossing vaak in een gebruiksvriendelijkere online-ervaring.

Single Sign-On – zorgt voor het vergemakkelijken van het inlogproces van de werknemer

SSO is kan een klein stukje functionaliteit zijn van een IAM-oplossing. SSO zorgt ervoor dat een gebruiker één keer inlogt waarmee hij/zij daarna toegang krijgt tot alle systemen en bronnen die geïntegreerd zijn met het SSO-portaal. Hierdoor hoeven gebruikers niet langer hun verschillende gebruikersnamen en wachtwoorden te onthouden en zal een IT-helpdesk met minder gebruikersvragen te maken hebben. Echter, we spreken in dit geval niet van één identiteit, wat wel het geval is bij een IAM-oplossing. Dit komt omdat bij een SSO-oplossing alle verbonden systemen verschillende combinaties van wachtwoorden en gebruikersnamen kunnen hebben. Een SSO-oplossing neemt dus niet het identiteitsbeheer van je organisatie uit handen, maar moet gezien worden als een wachtwoordbeheeroplossing.

Licht in de jungle – beknopt verschil EIAM, CIAM en SSO

De IAM-wereld is en blijft een jungle wat betreft termen en gebruik. Welke oplossing te kiezen is afhankelijk van de wensen, het beveiligingsbeleid, maar ook van de technische mogelijkheden van andere systemen.

Samengevat kun je zeggen dat EIAM en CIAM zich richten op het beheer van gebruikersaccounts. Beide hebben als doel het aanmaken, beveiligen en het verwijderen van gebruikersaccounts te automatiseren, waarbij EIAM gericht is op de werknemers en CIAM op de klanten van een bedrijf. Deze drie aspecten; aanmaken, beveiligen en verwijderen vind je niet terug in een SSO-oplossing aangezien het hier eerder gaat om het inlogproces te vergemakkelijken rondom het gebruik van meerdere applicaties. SSO heeft als voornaamste doel de helpdesk te verlichten van de vragen rondom wachtwoordbeheer. Het is dus goed om te onthouden dat SSO een onderdeel kan zijn van IAM, maar IAM géén onderdeel is van een SSO-oplossing.

Een traject rondom een IAM-oplossing is meer dan enkel het herzien van je systeemlandschap. Doordat gebruikersaccounts met een centraal systeem worden beheerd kan het zijn dat huidige bedrijfsprocessen, maar ook de mensen anders gestructureerd dienen te worden. Magnus kan helpen bij het in kaart brengen van de eisen en wensen rondom internetbeveiliging en identiteitstoegang, maar ook met een analyse rondom de benodigde veranderingen. 

Meer weten over Identity and Access Management? Neem contact op met Eefke te Grotenhuis.

15 + 4 =