IAM i en nøddeskal
Identitets- og adgangsstyring (IAM) er en vigtig del af mange organisationers bestræbelser på at spare tid og penge, samtidig med at it-sikkerheden styrkes og effektiviteten øges. Denne artikel forklarer nogle af de mest almindelige udtryk, der bruges, når IAM er på dagsordenen.
Uanset om du lige er begyndt at sætte dig ind i IAM, eller du ofte skal forklare disse principper til andre i din organisation, er det en god idé at bogmærke denne side til senere 📚😉 .
Billedet i denne artikel er tegnet af DALL-E med følgende opfordring: "Tegn en illustration med målene 1640 x 924 pixels i webp-format, der viser kompleksiteten af digital adgangskontrol i en modernistisk stil."
Definitionen af IAM
IAM står for "Identity and Access Management" og er en ramme for styring af digitale identiteter og den adgang, der gives til disse identiteter på tværs af applikationer, professionelle systemer og andre portaler, i en virksomhed, eller anden organisation. En IAM-løsning sikrer, at den rigtige person har adgang til den rigtige information og de nødvendige digitale værktøjer, på det rigtige tidspunkt.
Kernekomponenter
Identiteter
Repræsenterer individuelle brugere eller systemer (service principal application). Det kan være en medarbejder, en konsulent, en kunde eller endda en applikation.
Autentificering
Bekræftelse af identiteten. Almindelige metoder er passwords, tokens, biometri (f.eks. fingeraftryk eller ansigtsgenkendelse) og multifaktorautentificering (MFA).
Autorisation
Bestemmer, hvad en godkendt bruger har tilladelse til at gøre. Tænk på det som hvilke systemer, applikationer og undersystemer, en rolle eller identitet har adgang til, og hvad de har lov til at gøre i dem.
Hvad er forskellen mellem IdM, IAM og IGA?
En forenklet kategorisering af forkortelserne er, at de stiger i kompleksitet og funktionalitet. Nedenfor har vi rangeret begreberne fra det enkleste (IdM) til det mest komplekse (IGA).
- IdM - Identitetsstyring (Identity Management)
- IAM - Identitets- og adgangsstyring (Identity and Access Management)
- IGA - Identitetsstyring og -administration (Identity Governance and Administration)
Lad os gå lidt dybere for at forstå disse begreber endnu bedre...
Identitetsstyring (IdM)
Fokus |
I sin enkleste form er IdM administrationen af brugeridentiteter. |
Målsætning |
Målet med IdM er at sikre, at den rigtige person har adgang til de rigtige oplysninger og ressourcer, baseret på deres rolle og status i organisationen. |
Funktioner |
Alt fra brugerregistrering, profilstyring, passwordstyring og deaktivering af brugerkonti. |
Identitets- og adgangsstyring (IAM)
Fokus |
IAM bygger videre på IdM ved at inkludere adgangsstyring. En IAM-løsning kan håndtere identitetsstyring og tilvejebringelse af brugeradgang til forretningssystemer, applikationer og data. |
Målsætning |
Ligesom IdM, er målet med IAM, at brugerne tildeles det rigtige brugerniveau baseret på deres identitet, rolle og politikker. Derudover sikrer et IAM-system, at brugerne får adgang til det, de har brug for, når de har brug for det. |
Funktioner |
IAM omfatter autentificeringsmekanismer som to-faktor-autentificering (2FA), autorisationskontrol og overvågning af brugeradgang. |
Styring og administration af identitet (IGA)
Fokus for IGA |
IGA er IAM plus styring og overvågning. Dette omfatter politikstyring, adgangsrevision, risikostyring og kontrol af overholdelse af interne og eksterne regler. |
Målsætninger |
IGA er mere strategisk sammenlignet med IAM, og handler om at etablere kontrolmekanismer til at overvåge og revidere adgangspolitikker, brugerrettigheder og adgangshændelser. |
Funktioner |
Målet med IGA er at sikre, at organisationens adgangspolitikker og -praksisser er i overensstemmelse med gældende regler, standarder og bedste praksis for it-sikkerhed. IAM er værktøjet, IGA er den strategiske overvågning, der sikrer compliance. |
Hvad driver IAM-udviklingen fremad?
Da pandemien skabte behov for at kunne arbejde hvor som helst, opdagede mange virksomheder, at deres IAM-løsninger ikke var udstyret til effektiv adgangsstyring og provisionering. Vigtigheden og behovet for adgangsrevisioner og compliance-tjek af, hvor godt virksomheder og organisationer rent faktisk håndterede dette, gik fra at være en vigtig prioritet, til at blive afgørende for sikker drift. Som tidligere nævnt kan (IGA) ses som et lag af styring og overvågning over de operationelle funktioner i IAM. Det omfatter ofte øget funktionalitet ud over, hvad der er normalt for en standard IAM-løsning.
Stigende krav og forventninger om at kunne arbejde hjemmefra betyder, at virksomhederne har været nødt til at tilpasse sig. En vigtig del af at opnå den nødvendige fleksibilitet uden at gå på kompromis med produktivitet, effektivitet og it-sikkerhed er f.eks. at kunne opsætte regelsæt, der udløser foruddefinerede handlinger. Disse handlinger kan ofte være helt eller delvist automatiserede (kendt som 'workflows'), hvilket sikrer, at nye medarbejdere får den adgang, de har brug for, på det rigtige tidspunkt.
Denne type automatisering kan også give afdelingsledere besked om usædvanlig brug, gøre onboarding-processen langt mere automatiseret, så intet falder mellem to stole, og lette rapporteringen, når det gælder overholdelse af lovkrav eller dine egne sikkerhedsprocedurer.
Anden IAM-terminologi
Livscyklusstyring (Lifecycle Management)
Når man administrerer digitale identiteter, skal der tages højde for alt fra oprettelse, vedligeholdelse og eventuel sletning eller arkivering af brugerkonti. Dette omfatter processer for at indlemme nye medarbejdere i organisationen (onboarding), ændre roller eller titler, og når ansættelsesforholdet ophører (offboarding).
Enkelt sign-on (SSO)
Giver brugerne mulighed for at logge ind én gang og få adgang til flere applikationer og systemer, uden at skulle logge ind igen hver gang. Det er f.eks. almindeligt at bruge sin Google-, Microsoft-, Facebook- eller Apple-konto til at logge ind på flere forskellige portaler i dag.
Multifaktor-autentificering (MFA)
Styrker it-sikkerheden ved at kræve to eller flere verifikationsmetoder:
- Noget du VED (adgangskode)
- Noget du HAR (et token eller en telefon), eller;
- Noget du ER (biometri som f.eks. ansigtsgenkendelse)
Rollebaseret adgangskontrol (Role-Based Access Control)
Når du bruger rollebaseret adgangskontrol (RBAC), gives der adgang til ressourcer baseret på den rolle, du har i en organisation. Brugere tildeles roller, og roller har foruddefinerede tilladelser og adgang.
Dette er en vigtig del af funktionaliteten i Identums cloud-baserede IAM-system, eAdm, som bruger data fra HR-systemet til automatisk kontogenerering og adgangskontrol.
Adgangskontrol med Privilegier (Privileged Access Management)
PAM fokuserer på at overvåge og kontrollere brugeradgang for roller med privilegier (ofte administrative brugere). Dette er afgørende for at beskytte mod indtrængen i virksomhedssystemer, samt datalækage.
Føderation og tillid (Federation and Trust)
Etablerer tillid mellem forskellige IAM-systemer, ofte mellem organisationer, og gør det muligt for brugere i ét domæne at få adgang til ressourcer i et andet domæne.
Revision og rapportering (Auditing and Reporting)
Auditering og rapportering er afgørende for at kunne dokumentere compliance og undersøge IT-sikkerhedshændelser. Det er auditerings- og rapporteringsmodulerne, der gør det muligt at se, hvilke systemer der er blevet brugt af hvem, hvornår de er blevet brugt og eventuelt også til hvilket formål.
Sikkerhedsmæssige udfordringer
Et IAM-værktøj skal vandes regelmæssigt, det er ikke nok at sætte det op én gang og lade det løbe løbsk uden at skænke det en tanke. Ud over at have en robust (og helst cloud-baseret) IAM-løsning, skal du være forberedt på løbende overvågning, opdateringer og en forståelse af, hvordan truslerne mod it-sikkerheden udvikler sig - først da har du skabt forudsætningerne for at få succes med IAM.
Denne liste giver et godt overblik over den terminologi, der bruges i IAM-verdenen, men der er mange nuancer og kompleksiteter, som ikke kommer med i en kort opsummering som denne. Hvis du synes om dette indhold eller ønsker at få en endnu dybere forståelse af, hvad der er muligt ved hjælp af IAM, anbefaler vi, at du abonnerer på vores nyhedsbrev.
