08f20209ffd798d8d6acf12e1968f671.png

pas, toegangspas, pasje

Identity Management in de cloud

Identity Management in de cloud? Wat verstaan we daar eigenlijk onder? Een uitgekristaliseerde definitie van Cloud Identity Management is er nog niet. Er is zelfs nog geen Wikipedia pagina! Dat zegt natuurlijk genoeg. Ik ga een poging wagen om een definitie op te stellen.

De inzet van cloud applicaties is voor veel organisaties inmiddels wel gewoongoed geworden. Zeker in het onderwijs wordt al jaren gebruik gemaakt van cloud applicatie, denk bijvoorbeeld aan Office365 en diverse Elektronische Leeromgevingen. Onderwijsinstellingen lopen in het gebruik van cloud applicaties ver vooruit ten opzichte van andere organisaties. Om in termen van Identity Management te blijven, betreft het dan voornamelijk doelsystemen die in de cloud draaien. Even ter verduidelijking: Een Identity Management proces beslaat één of meerdere bronsystemen (vaak het HR-systeem of School Informatie Systeem, waar de identiteit wordt aangemeld, NAW- en contractgegevens worden bijgehouden etc), de identity manager en de doelsystemen. De doelsystemen zijn die systemen waar de identiteit bekend moet zijn en toegang toe moet hebben.



Business applicaties naar de cloud?

Wanneer de doelsystemen vooral cloud-based zijn en de bronsystemen nog niet, kunnen we mijns inziens nog niet spreken van cloud Identity Management. Eigenlijk is hier sprake van een hybride situatie waarbij een aantal applicaties in de cloud staan, maar de meest kritische bedrijfsapplicaties nog steeds on-premises draaien. Waarom gaan de kritische bedrijfsapplicaties nog niet naar de cloud? Simpel, deze zijn echt gewoon te kritisch.

Denk bijvoorbeeld aan het Elektronische Patiëntendossier. Dit staat vol met privacygevoelige informatie en patiënten hebben geen goed gevoel wanneer zij weten dat hun medische gegevens in de cloud staan. Daarnaast beschikken veel organisaties, met name in de zakelijke dienstverlening, over zware legacy business applicaties die jaren geleden voor hen zijn ontwikkeld en te veel (effort) kosten om cloud-based te maken. Daarvoor moeten opnieuw afspraken met leveranciers worden gemaakt en dit is vaak niet prioriteit van die leveranciers.

Wanneer deze doelsystemen zeer waarschijnlijk niet op korte termijn cloud-based worden aangeboden, bestaat voor organisaties ook niet de noodzaak om dan wel hun bronsystemen naar de cloud te brengen. Toch zijn er enkele leveranciers van bronsystemen (HR-systemen) die de stap naar cloud aan het maken zijn. Zij bieden hun applicatie nu zowel cloud als on-premises aan, maar zullen in de toekomst waarschijnlijk alleen nog cloud-based aanbieden.

Naast het bron- en doelsysteem is er nog de Identity Manager, het systeem wat ervoor moet zorgen dat de digitale identiteit bekend wordt gemaakt in de diverse doelsystemen waardoor de authenticatie en autorisatie voor de identiteit eenvoudig en uniform wordt beheerd. Er zijn nog niet veel leveranciers die Identity Management in de cloud bieden. Volledig in de cloud is overigens ook niet helemaal haalbaar. Om de processen uit te kunnen voeren, dient er altijd een kleine agent on-premises te draaien. De business logica draait dan wel centraal en is dus outsourced.

Full cloud IdM

Maar wat is nu volledige Identity Management? Daar hebben we helaas nog geen antwoord op. Ik denk dat volledige Identity Management alleen mogelijk is wanneer naast het bron- en doelsysteem en de Identity Manager ook de primaire login (authenticatie) van en door de gebruiker ook in de cloud wordt gedaan. Dat houdt in dat de bron waartegen de gebruiker zich authentiseert, de Active Directory, in de cloud moet staan. Een Azure Active Directory gaat 00meestal hand in hand met het uitbesteden van de volledige beheerslast van de Active Directory naar een derde outsourced partij. Die partij zou dan ook nog zorg kunnen dragen voor het ‘in-controle’ zijn van de data, dus het beheren van de data en leveren van de benodigde rapportages voor audits. Met zo’n partij moet SLA’s worden afgesproken die betrekking hebben op de logische toegangsbeveiligingsnormen.

Volledige cloud Identity Management, waarbij de bron- en doelsystemen, het Identity Management systeem deels cloud staan en ook de Active Directory, is op dit moment alleen haalbaar voor onderwijsinstellingen en voor het MKB. In die sectoren is het gebruik van Azure Active Directory inmiddels zeer gebruikelijk.

Volledige cloud Identity Management biedt vele mogelijkheden. Zo is het eenvoudiger om Single Sign-On te bieden voor gebruikers. Met een eenmalige aanmelding kunnen zij vanaf ieder apparaat toegang krijgen tot duizenden cloudtoepassingen. Gebruikers kunnen middels WebSSO met hun bedrijfscredentials applicaties starten vanuit een webportal of een mobiele app. Daardoor hoeven gebruikers niet de inloggegevens van alle verschillende cloudapplicaties te onthouden. Volledige cloud Identity Management inclusief cloud Active Directory is helaas nog niet

voor iedere organisatie weggelegd, maar de kansen komen steeds dichterbij.

Arnout van der Vorst is Identity Management Architect bij Tools4ever.

Related Posts

We zien door de wolken het bos niet meer

De IT

Data

‘Disruptie betekent zoeken naar nieuwe partners’

Welke gek betaalt er nou voor privacy?

IBM gaat kopen, kopen, kopen

Comments

Reply comment

Your email address will not be published. Required fields are marked *