Vrijwel elke organisatie heeft interne applicaties, maar werkt ook met allerlei clouddiensten. Of het nu Salesforce is, Office 365, Google Apps, Facebook of LinkedIn: het is belangrijk dat alle rechten van gebruikers op een uniforme manier worden bijgehouden. Een bekend fenomeen is dat oud-medewerkers toegang blijven behouden tot omgevingen zonder dat beheerders hier weet van hebben.

Waar de fysieke toegang tot het bedrijf doorgaans wordt afgeschermd door een hek en/of poort, ligt dit in de cloud heel anders. Veel bedrijven hebben weliswaar een centrale plek voor hun gebruikersadministratie, maar deze wordt ondermijnd door clouddiensten. Een ander probleem met de grote aantallen diensten die men tegenwoordig gebruikt, is dat gebruikers overal moeten inloggen met verschillende gebruikersnamen en wachtwoorden. Dit kan leiden tot allerlei soorten ongewenst gedrag.

Een berucht voorbeeld daarvan kwam aan het licht tijdens een interview door de Franse tv-zender TV5. In de uitzending kwam per ongeluk een briefje in beeld waarop een medewerker de inloggegevens van het Facebook-account had gezet. Een saillant detail daarbij was dat de uitzending nota bene ging over een hack op het Twitter-account. Het gevolg: binnen tien minuten was het Facebook-account ook gehackt.

Om te voorkomen dat mensen met wachtwoorden op gele plakkertjes (en andere trucs) gaan werken, is een single sign-on nodig. Daarbij hoeven medewerkers slechts één keer in te loggen om toegang te krijgen tot al hun accounts.

Authenticatie onder controle

Bij Fujitsu hebben wij veel expertise opgebouwd in het veiliger maken van alledaagse zaken op de werkplek. Bijvoorbeeld door middel van Identity as a Service, waarbij de leverancier authenticatie onder beheer neemt, met alle bijbehorende rechten voor medewerkers, en daarmee het risicoprofiel voor klanten verlaagt.

De toename van het aantal diensten waarbij authenticatie buiten het eigen bedrijfsnetwerk ligt, maar ook de komst van nieuwe regelgeving, is voor bedrijven aanleiding om naar deze oplossing te kijken. Neem de General Data Protection Regulation vanuit de EU, maar ook industriespecifieke eisen in onder meer de zorg en de financiële sector, die leiden tot strengere eisen op het gebied van security. Organisaties moeten hierdoor kunnen aantonen ‘in control’ te zijn van wat zij doen.

IDaaS betekent het outsourcen van het beheer van toegang tot informatie. Wat dit in de praktijk oplevert voor klanten is dat organisaties hun security policy efficiënt uitvoeren en dat gebruikers met zo min mogelijk authenticatie zo efficiënt mogelijk kunnen werken.

Stel, een gebruiker meldt zich aan op een laptop of desktop in een Windows-omgeving. Als hij naar bijvoorbeeld Salesforce gaat, wordt hij automatisch aangemeld met inloggegevens die gekoppeld zijn aan zijn account, met alle bijbehorende rechten. Wanneer dezelfde gebruiker bij het bedrijf vertrekt, is het uitschakelen van zijn account het enige wat de werkgever hoeft te doen, waardoor inloggen in alle gekoppelde cloud- en IT-omgevingen onmogelijk wordt voor de gebruiker.

Contracteren van IDaaS

Bij IDaaS is het voor de klant belangrijk om een goede service te contracteren. Deze bestaat niet alleen uit het aantal user-accounts, maar ook uit goede secundaire condities met betrekking tot (informatie)-veiligheid en operationele processen.

Een ervaren partij heeft een ISAE3402-certificering en biedt inzicht aan klanten op het gebied van ISO27001-compliance. Door middel van periodieke rapportages over activiteiten rond identiteiten kan de klant precies zien welke identiteiten en applicaties actief zijn geweest.

Daarnaast is innovatie een aandachtspunt. In periodieke sessies bespreken wij met klanten aanvullende diensten en innovaties op identity-gebied. Hierbij komt de laatste kennis vanuit de markt aan bod en maken we samen plannen om deze toe te passen.

De oplossing die wij gebruiken is dermate betrouwbaar, dat niet alleen corporate klanten maar ook overheden geïnteresseerd zijn. In Finland is het in gebruik genomen als authenticatiesysteem voor burgers die in het land overheidszaken via het internet willen regelen. IDaaS kan omgaan met multifactor-oplossingen en is bovendien flexibel genoeg voor het inregelen van toegang in fysieke omgevingen.

In scenario’s waar door de werkprocessen geen ruimte is om 2-factor-authenticatie toe te passen, bijvoorbeeld voor de spoedeisende hulp in ziekenhuizen of ‘transaction rooms’ in de financiële sector, kan het systeem op een breder niveau nog altijd identificeren wie toegang heeft gehad tot data, wanneer dit nodig is.

Audit-trail

Het toepassen van IDaaS bij een grote verzekeringsmaatschappij leverde een volledige audit-trail op, die inzichtelijk maakte wie toegang heeft gehad tot welke informatie. Logs worden betrouwbaarder doordat deze door een externe auditor worden gecontroleerd volgens het 4-ogenprincipe. Het is slechts een van de verschillende voordelen die organisaties behalen door authenticatie uit te besteden.