Published by: 0

Identiteetin- ja pääsynhallinnan (IAM) tehtävänä on varmistaa, että vain tunnistetuilla käyttäjillä on pääsy organisaation IT-resursseihin siinä laajuudessa kuin heille on organisaation politiikan ja periaatteiden mukaisesti hyväksytty. IAM on hyvän hallintotavan kulmakiviä ja samalla sen kehittäminen mahdollistaa toiminnan tehostamisen sekä riskien hallinnan.

IAM-ratkaisut eivät ole enää lastenkengissä, vaan ne ovat vakiintuneita tuotteita ja useat ratkaisut tukevat IAM:n laajamittaista kehittämistä. IAM-ratkaisuiden hinnat ovat tuotepohjaisuuden ja kilpailun myötä laskeneet ja ratkaisut ovat yhä laajemmin saatavilla. Samalla kuitenkin organisaatioiden IT-ympäristöjen siirtyminen pilveen asettaa IAM-visioille ja -ratkaisuille ja näiden toteuttajille uusia haasteita.

Tämä kirjoitus pyrkii muistuttamaan lukijoita IAM-hankkeiden vanhoista lainalaisuuksista, jotka ovat yhä ajankohtaisia sekä samalla esittämään ajatuksiamme IAM:n pitkäjänteisestä kehittämisestä.

Vanhat lainalaisuudet pätevät

Vaikka kehitys on mennyt IAM-ratkaisuiden osalta eteenpäin ja ne vaativat huomattavasti vähemmän räätälöintiä kuin esim. 2010-luvun alkupuolella, useat vanhat opit pätevät IAM-projekteissa.

  1. Kehittämisen lähteminen toiminnan tarpeista ja hyvästä hallintotavasta: IAM tulee ymmärtää hyvän hallintotavan työkaluna sekä toiminnan kehittämisen mahdollistajana. Näin IAM-ratkaisun tulee tukea valittua organisaatiomallia, prosesseja sekä toiminnan valvontaa. IAM-kehittämistä ei tule aloittaa valitsemalla ratkaisu, vaan muodostamalla periaatteet ja politiikka, jotka ohjaavat IAM-kehittämistä. Näillä periaatteilla määritetään mm. käyttövaltuuksien peruste (esim. työsuhde tai sopimussuhde) sekä prosessit kullekin käyttäjäryhmälle sekä sovitaan vastuut IAM:n asianmukaisesta toteuttamisesta ja valvonnasta. Tältä pohjalta voidaan siirtyä muodostamaan IAM-visio.
  2. Organisaation osallistaminen laajasti: Vaikka IAM identifioituu usein tietohallintoon johtuen teknologian suuresta roolista sen toteuttajana, on huomioitava, että se on koko organisaation läpäisevä prosessi. Kehittämistä ei voida tehdä ilman koko organisaation johdon tukea sekä henkilöstöhallinnon ja (liike)toiminnan osallistumista. Henkilöstöhallinnolla on usein avainrooli heti kehittämisen alkumetreillä HR-datan ja HR-prosessien kautta. Kun IAM-kehittämisessä päästään pidemmälle, (liike)toiminnan rooli kasvaa yhä suuremmaksi. Esimerkiksi roolipohjaista käyttövaltuushallintaa on mahdoton toteuttaa ilman (liike)toiminnan kanssa tehtävää määrittelytyötä ja jatkuvaa ylläpitoa.
  3. Kehittämisen tekeminen pienissä paloissa: IAM-projektit ovat tunnetusti riskialttiita niin budjetin kuin aikataulun ylityksille. Näiden syiden takia, IAM-kehittäminen tulee jakaa hyvin hallittuihin ja pieniin kokonaisuuksiin. IAM-projekteissa ei kannata yrittää juosta ennen kuin on opeteltu kävelemään. Näin ollen odotusten hallinta ja maltti ovat keskeinen osa IAM-projekteja.
IAM:n kehittäminen viiden vuoden vision kautta

Vielä kymmenen vuotta sitten IAM-projekteissa tuote integroitiin lukuisiin on-premise -järjestelmiin sekä käyttäjähakemistoihin (esim. LDAP-hakemistot). Tämä maailma on kuitenkin jäämässä historiaan. Samalla uusien pilvipohjaisten käyttäjähakemistojen merkitys kasvaa. Näistä keskeisin on MS Azure AD.

IAM-kehittämisessä tulisi lähteä liikkeelle tulevaisuuden tarpeista. Kannustamme asiakkaitamme muodostamaan viiden vuoden IAM-vision, joka toteutetaan välivaiheiden kautta. Tämä visio toteutuu tietenkin harvoin sellaisenaan, mutta pitämällä katseen kauempana horisontissa vältämme lyhytnäköistä kehittämistä ripeästi muuttuvassa maailmassa.

Organisaatioiden tulisikin miettiä mm. seuraavia kysymyksiä:

  • Mitkä ovat heidän IT-ympäristönsä kulmakivet tulevaisuudessa?
  • Mitkä ovat ne toiminnallisuudet, jotka IAM-ratkaisulta vaaditaan tulevaisuudessa?
  • Miltä osin identiteetin- ja pääsynhallinta hoidetaan toisia teknologioita hyödyntäen?

Esimerkiksi, yhä suuremmassa osassa sovelluksista identiteettien ja käyttövaltuuksien hallinta hoidetaan käyttäen muita käyttäjähakemistoja (erityisesti AD ja Azure AD), jolloin IAM-ratkaisua ei ole enää tarve integroida suoraan lukuisiin järjestelmiin. Tämän kaltaisessa ympäristössä ei ole mielekästä hankkia ratkaisua pohjaten laajaan konnektorivalikoimaan. Samalla muut IT-ympäristön osat eivät usein tarjoa loppukäyttäjäportaalia käyttövaltuuksien hallintaan, työkaluja käyttövaltuuksien seurantaan ja valvontaan tai roolipohjaisuuden asianmukaiseen toteuttamiseen. Silloin näistä toiminnallisista kokonaisuuksista tulee IAM-hankinnassa keskeisiä tekijöitä.

Kaiken kaikkiaan IAM-hankinnat on hyvä valmistella huolella huomioiden niin toiminnallinen kuin tekninen näkökulma sekä ennen kaikkia tulevaisuus.

Mikäli haluat kuulla lisää näkemyksistämme IAM-kehittämisessä, niin ole toki yhteydessä.

Olli-Matti Nevalainen, perustaja
olli-matti.nevalainen@omnconsulting.com
+358 50 566 6504

Leave a Reply

Your email address will not be published. Required fields are marked *