IAM i et nøtteskall
Identitets- og tilgangsstyring (IAM) er en viktig del i mange bedrifters innsats for å spare tid og penger, samtidig som man forsterker IT-sikkerheten og øker effektiviteten. Denne artikkelen forklarer noen av de vanligste uttrykkene som blir brukt når IAM står på agendaen.
Uansett om du nylig har begynt å gjøre deg kjent med IAM eller du ofte må forklare disse prinsippene til andre mennesker i organisasjonen din, er det en strålende idé å bokmerke denne siden til senere 📚😉
Bildet i denne artikkelen har blitt tegnet av DALL-E med følgende prompt: "Draw an illustration with the dimensions 1640 x 924 pixels in webp format that showcases the complexity of digital access control in a modernistic style."
Definisjonen av IAM
IAM står for "Identity and Access Management" og er et rammeverk for å håndtere digitale identiteter og tilgangen som gis til disse identitetene på tvers av applikasjoner, fagsystemer og andre portaler i en bedrift eller annen organisasjon. En IAM-løsning sørger for at rett person har tilgang til rett informasjon og nødvendige digitale verktøy, i rett tid.
Kjernekomponenter
Identiteter
Representerer individuelle brukere eller systemer (tjenestekontohaverprogram eller "service principal application" på engelsk). Dette kan være en ansatt, en konsulent, en kunde eller til og med en applikasjon.
Autentisering
Bekrefter identiteten. Vanlige metoder er passord, tokens, biometri (som fingeravtrykk eller ansiktsgjenkjenning), og multi-faktor autentisering (MFA).
Autorisering
Bestemmer hva en autentisert bruker har rettigheter til å gjøre. Tenk på det som hvilke systemer, applikasjoner og fagsystemer en rolle eller en identitet har tilgang til, og hva de har lov til å utføre i dem.
Hva er forskjellen på IdM, IAM og IGA?
En forenklet kategorisering av forkortelsene er at de øker i kompleksitet og funksjonalitet. Under har vi rangert disse begrepene fra enklest (IdM) til mest kompleks (IGA).
- IdM - Identitetshåndtering (Identity Management)
- IAM - Identitets og tilgangsstyring (Identity and Access Management)
- IGA - Identitetsrevisjon og administrasjon (Identity Governance and Administration)
La oss gå litt dypere for å forstå disse begrepene enda bedre...
Identity management (IdM)
Fokus |
IdM er i all sin enkelhet administrasjon av brukeridentiteter. |
Mål |
Målet med IdM er å sikre at riktig person får tilgang til riktig informasjon og ressurser basert på deres rolle og status i organisasjonen. |
Funksjoner |
Alt fra brukerregistering, profiladministrasjon, passordhåndtering og deaktivering av brukerkontoer. |
Identity and Access Management (IAM)
Fokus |
IAM bygger videre på IdM ved å inkludere tilgangsstyring. En IAM løsning kan håndtere identitetsadministrasjon og provisjonering av brukertilganger til fagsystemer, applikasjoner og data. |
Mål |
I likhet med IdM er målet med IAM at brukere får tildelt riktig brukernivå basert på deres identitet, rolle og policyer. I tillegg sørger et IAM system for at brukere får tilgang til det de skal ha, når de skal ha det. |
Funksjoner |
IAM omfatter autentiseringsmekanismer som for eksempel tofaktorsautentisering (2FA), autorisasjonskontroll og overvåkning av brukertilgang. |
Identity Governance & Administration (IGA)
Fokus |
IGA er IAM pluss styring og overvåkning (Governance). Dette omfatter policyforvaltning, tilgangsrevisjon, risikostyring og kontroll av samsvar med interne og eksterne forskrifter. |
Mål |
IGA er mer strategisk sammenlignet med IAM og handler om å etablere kontrollmekanismer for å overvåke og revidere tilgangspolicyer, brukerrettigheter og tilgangshendelser. |
Funksjoner |
Målet med IGA er å sikre at organisasjonens tilgagnspolicyer og praksiser overholder gjeldende forskrifter, standarder, og beste praksiser for IT-sikkerhet. IAM er verktøyet, IGA er den strategiske overvåkningen som sikrer etterlevelse |
Hva er det som driver IAM evolusjonen framover?
Når pandemien satte fart på behovet for å kunne jobbe fra hvor som helst oppdaget mange bedrifter at deres IAM løsninger ikke var rustet for effektiv tilgangshåndtering og provisjonering. Viktigheten og behovet for tilgangsrevisjoner og kontroll av etterlevelse rundt hvor godt bedrifter og organisasjoner faktisk håndterte dette gikk fra å være en viktig prioritet til å bli kritisk for en sikker drift. Som tidligere nevnt kan man se på (IGA) kan sees på som et lag av styring og overvåkning over de operative funksjonene til IAM. Det innbefatter ofte økt funksjonalitet på toppen av det som er vanlig for en standard IAM løsninger.
Økende krav og forventninger til å kunne jobbe hjemmefra gjør at bedrifter har måttet tilpasse seg. En viktig del av å oppnå den fleksibiliteten som kreves uten at produktivitet, effektivitet og IT-sikkerhet blir lidende, er for eksempel å kunne sette opp regelsett som trigger forhåndsdefinerte handlinger. Disse handlingene kan ofte automatiseres helt eller delvis (dette blir kalt 'workflows' på engelsk), noe som sørger for at nye ansatte får den tilgangen de trenger i rett tid.
Denne typen automasjon kan også flagge uvanlig bruk til avdelingsledere, gjøre onboarding prosessen langt mer automatisert slik at ingenting faller mellom stolene, samt underlette for rapportering når det kommer til etterlevelse av lovpålagte krav eller egne sikkerhetsrutiner.
Annen IAM terminologi
Administrasjon av Livssyklus (Lifecycle Management)
Når digitale identiteter administreres må det tas høyde for alt fra å skape, vedlikeholde, og eventuellt slette eller arkivere brukerkontoer. Dette inkluderer prosesser for å innlemme nye ansatte i organisasjonen (onboarding), endring av rolle eller tittel, og når ansettelsesforholdet avsluttes (offboarding).
Single Sign-On (SSO)
Tillater brukere å logge inn en gang og få tilgang til flere applikasjoner og systemer uten å måtte logg inn på nytt hver gang. Det er for eksempel vanlig å bruke Google, Microsoft, Facebook eller Apple kontoen sin for å logge på flere ulike portaler i dag.
Multi-Faktor Autentisering (MFA)
Forsterker IT-sikkerheten gjennom å kreve to eller flere metoder for verifisering:
- Noe du VET (passord)
- Noe du HAR (en token eller telefon), eller;
- Noe du ER (biometri som f.eks ansiktsgjenkjenning)
Rollebasert Tilgangskontroll (Role-Based Access Control)
Når du benytter Rollebasert Tilgangskontroll (RBAC) tildeles tilgang til ressurser basert på hvilken rolle man har i en organisasjon. Brukere tildeles roller og roller har forhåndsdefinerte tillatelser og tilgang.
Dette er en sentral del av funksjonaliteten i Identum's skybaserte IAM system, eAdm, som bruker data fra HR-systemet for automatisk kontogenerering og tilgangskontroll.
Tilgangskontroll med Privilegium (Privileged Access Management)
PAM fokuserer på monitorering og kontroll av brukertilgang for roller med privilegium (ofte administrative brukere). Dette er kritisk for å beskytte mot innbrudd i bedriftens systemer og datalekkasje.
Føderasjon og Tillit (Federation and Trust)
Etablerer tillit mellom forskjellige IAM systemer, ofte mellom organisasjoner, og gjør det mulig for brukere i et domene å ha tilgang til ressurser i et annet domene.
Revisjon og Rapportering (Auditing and Reporting)
Revisjon og rapportering er essensielt for å dokumentere etterlevelse og kunne etterforske hendelser som har med IT-sikkerhet å gjøre. Det er revisjon og rapporteringsmodulene som gjør det mulig å se hvem som hvilke systemer som har vært i bruk av hvem, når de har vært og bruk, og muligens også til hvilket formål.
Sikkerhetsutfordringer
Et IAM verktøy må vannes jevnlig, det holder ikke å sette deg opp én gang og la det skure og gå uten at du ofrer det en tanke. I tillegg til å ha en robust (og gjerne skybasert) IAM-løsning, må du være innstilt på kontinuerlig monitorering, oppdateringer, og en forståelse for hvordan trusler mot IT-sikkerheten utvikler seg - Først da har du skapt forutsetningene for å lykkes med IAM.
Denne listen gir et godt overblikk over terminologi som blir brukt i IAM verden, men det finnes mange nyanser og kompleksitet som ikke kommer fram i en kort summering som dette. Dersom du vil liker dette innholdet, eller ønsker å skape deg en enda dypere forståelse for hva som er mulig med hjelp av IAM, anbefaler vi at du abonnerer på nyhetsbrevet vårt.
