Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Waarom IDaaS belangrijk is voor je business

 

Channelweb Expert

Marwin Marcussen
Pre sales, Kaseya. Expert van Channelweb voor het topic Beheer.

It-serviceproviders hebben tegenwoordig te maken met veel uitdagingen. Door de populariteit van cloudtechnologie leveren zij veel diensten voor klanten nu off site, in de cloud. Dit heeft onmiddellijk effect op de omzet en winstgevendheid. IDaaS (identity as a service) biedt je business veel voordelen en je klanten dynamische oplossingen.

Ja, IDaaS is er weer een uit een lange lijst met ‘X as a service’-aanbiedingen, maar toch is het een van de belangrijkste voor it-bedrijven. Identity as a service (IDaaS) geeft je inzicht waarmee jij kunt inspelen op de meest uitdagende pijnpunten voor kleine, middelgrote en grote bedrijven. Namelijk password management en veiligheid.

Voordelen

IDaaS biedt bedrijven veel voordelen, maar een van de belangrijkste is dat je met de dynamische oplossingen die je je klanten biedt ook je omzet kunt verhogen. Nu je klanten steeds vaker op de cloud vertrouwen, stijgt de behoefte naar identiteits- en password management alleen nog maar meer. Denk in dat verband ook aan de opkomst van nieuwe bedreigingen voor bedrijfsdata, en de eis voor stevige controles op dit gebied, die steeds zichtbaarder wordt.

Maar je klanten kunnen dit niet helemaal alleen. Wachtwoordmanagement op zich is al lastig met slechts een of twee platformen. Voeg daar nog eens web-, social media- en crm-platformen en tientallen andere potentiële items aan toe en het wordt een ware nachtmerrie. Bovendien moet je de mindset van de werknemers van je klanten begrijpen.

De realiteit is dat zij zwakke wachtwoorden zullen gebruiken. Zij zullen dezelfde wachtwoorden hergebruiken voor verschillende sites, accounts en platformen. Zij zullen hun wachtwoorden ergens opschrijven om ze te kunnen onthouden, en er is een grote kans dat deze informatie ergens ligt waar iedereen het kan vinden en gebruiken. Zij zullen hun wachtwoorden met collega’s delen en mogelijk het bedrijf in gevaar brengen door de ipaa- of pci-regels niet na te leven. Dit is de realiteit waar je klanten elke dag mee te maken krijgen. En met IDaaS verander je deze realiteit.

Met IDaaS bied je je klanten niet alleen een oplossing voor al deze behoeften. Het doet nog meer dan dat. Het geeft hen kennis over waar hun data is, wie er controle over heeft en wie het gebruikt en hoe.

IDaaS doet nog meer

Er zijn ook andere voordelen voor jouw bedrijf. Zo kun je met het juiste IDaaS-platform bijvoorbeeld de loyaliteit van klanten verhogen, waarmee je de kans verkleint dat ze overlopen naar een concurrent. Het vergroot daarnaast je bereik zonder dat je je kosten of inspanningen drastisch moet verhogen. Als je klanten eenmaal gewend zijn aan de wachtwoordmanagementtools, zullen zij niet meer terug willen naar hun oude manier van werken.

Laten we afsluiten met de drie belangrijkste onderdelen van elke IDaaS-oplossing en hoe ze van toepassing zijn op jouw klanten (en de waarde van je aanbod vergroten).

  • Wachtwoordmanagement automatiseert het proces en beveiligt informatie, en voorkomt dat werknemers zwakke wachtwoorden gebruiken en hergebruiken.
  • Eenmalig aanmelden  zorgt ervoor dat zij slechts één set inloggegevens nodig hebben voor alle platformen.
  • Multifactor-authenticatie biedt je een set van inloggegevens die bijna niet te stelen zijn.
Het dienstenaanbod blijft een lastig onderwerp. Deze drie onderdelen verbeteren het huidige aanbod. Veel geluk met jouw IDaaS-inspanningen.
Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5654724). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

IDaas is in mijn ogen een subset van IAM : Identity Access Management.

In mijn ogen is veruit de krachtigste toepassing van IAM het kunnen provisionen maar vooral ook deprovisionen van gebruikers accounts op diverse SaaS abonnementen.

Ik wil centraal een medewerker toegang geven tot een dienst, maar wil ook dat toegang tot die dienst opgeheven wordt op het moment dat ik centraal de gebruiker blokkeer.

Dat vind ik nog belangrijker dan single sign on, ofwel het hebben van maar 1 gebruikersnaam en wachtwoord om op verschillende diensten aan te sluiten.

In Nederland is veel ervaring met IDaaS. IDaaS als echt alternatief voor een IAM systeem en dus veel meer dan Single sign-on. Het beste Cloud Security Project Europa, toegekend door KuppingerCole analisten, is twee jaar achter elkaar gewonnen door een Nederlands bedrijf voor hun IDaaS implementaties: NXP in 2014 en PostNL in 2015.

IDaaS is dus niets nieuws. Tal van bedrijven maken in Nederland gebruik van IDaaS: in de zorg, het onderwijs, uitgevers, logistieke dienstverleners, uitzendorganisaties, en zelfs een bank... en, aardig te weten voor de feestdagen:

het nieuwe NPO-ID voor de publieke omroepen is ook IDaaS en wordt als eerste ingezet voor 'Serious Request' en 'Kom in Aktie':
https://kominactie.3fm.nl/registreer

De belangrijkste ontwikkeling is het inzetten van IDaaS voor Consumer IAM (CIAM). Klanten Multichannel bedienen, conversie van website bezoekers naar klanten en gelijkertijd veiligheid en privacy bieden, voldoen aan de Meldplicht Datalekken. Een boeiend thema dat randvoorwaardelijk is voor een goede online strategie richting klanten.

Dag Maarten, je schrijft "IDaaS als echt alternatief voor een IAM" . Kun je die iets verder toelichten? Want doel je nu op het onderscheid dat IDaas als een service wordt aangeboden en je IAM niet iets ziet dat als een service kan worden aangeboden? Of bedoel je ook functioneel? Dat IDaas iets anders doet en kan dan IAM?

Je link leidt overigens tot een niet echt veilige website. Is dat een een aandachtpunt van de website hoster, of is dat een aandacht punt voor de IDaas provider?



In Nederland is veel ervaring met IDaaS. IDaaS als echt alternatief voor een IAM systeem en dus veel meer dan Single sign-on. Het beste Cloud Security Project Europa, toegekend door KuppingerCole analisten, is twee jaar achter elkaar gewonnen door een Nederlands bedrijf voor hun IDaaS implementaties: NXP in 2014 en PostNL in 2015.

IDaaS is dus niets nieuws. Tal van bedrijven maken in Nederland gebruik van IDaaS: in de zorg, het onderwijs, uitgevers, logistieke dienstverleners, uitzendorganisaties, en zelfs een bank... en, aardig te weten voor de feestdagen:

het nieuwe NPO-ID voor de publieke omroepen is ook IDaaS en wordt als eerste ingezet voor 'Serious Request' en 'Kom in Aktie':
https://kominactie.3fm.nl/registreer

De belangrijkste ontwikkeling is het inzetten van IDaaS voor Consumer IAM (CIAM). Klanten Multichannel bedienen, conversie van website bezoekers naar klanten en gelijkertijd veiligheid en privacy bieden, voldoen aan de Meldplicht Datalekken. Een boeiend thema dat randvoorwaardelijk is voor een goede online strategie richting klanten.

PS: Ik ben overigens voorstander van IDaas en/of IAM as a service. Laat ik dat ook gezegd hebben en ik ben me erg van bewust dat IDaas (veel) meer is dan single sign on. Maar in de naam schuilt wel de "beperking" van Identity wat klinkt als authenticatie (zonder autorisatie mogelijkheden).

Dag Henri!

De categorie IDaaS waar ik op doel richt zich op enterprises die inherent complexiteit kennen - en daarmee de logische opvolger zijn voor de on-premise IAM-systemen. Denk hierbij aan verschillende user groepen, privacy vereisten, workflows, activatie processen, API-integraties, multi-channel, protocollen... en inderdaad (de-) provisioning. Daarnaast zijn er zoals jij en Marwin terecht opmerken 'SSOnly' leveranciers binnen IDaaS. Dat is soms wat verwarrend.

En vwb 3FM, daar zit IDaaS achter de login pagina, dat is een best practice in CIAM. 'Marketing' bepaalt de User Experience op Sites & Apps en houdt daar zelf de regie over, IDaaS is de achterliggende motor.

@Marwin:
- Je geeft aan : [...] IDaaS biedt bedrijven veel voordelen [...], ik neem aan dat je de ISP`s bedoelt. Maar welke voordelen? In je artikel kan ik geen voordelen vinden.
- [...] Wachtwoordmanagement automatiseert het proces [...] Ik denk dat je voor automatisweren van je proces (lees digitalisering) meer nodig hebt dan alleen een SSO oplossing. Denk aan de juiste applicatie in de keten en ook een IdM/AM oplossing.
- Zoals Henri opmerkte, IDaaS is een onderdeel van IdM/AM en bevat meer dan alleen SSO.

Je IAM oplossing betekent je Identity Store waar je zuinig op moet zijn. Waarom zou je IDaaS gebruiken? Omdat je ontzorg bent? Er zijn veel bedrijven die hun (lokale)FireWall/DMZ door een externe partij laten beheren. Dit kun je ook met je On-Premises IAM oplossing (appliance) doen. Je houdt je Identity Store in je eigen beheer en je kunt dit verder uitbereiden met andere opties voor eventueel je proces-digitalisering.
De plek van je Identity Store is afhankelijk van een aantal zaken ( wetgeving en je business / architectuur / toekomstige plannen etc) Dit onderwerp zou je uitgebreider moeten bekijken en bespreken dan alleen roepen [...] IDaaS biedt bedrijven veel voordelen [...]

Een jaar geleden heb ik hierover een artikel geschreven. Veel interessante reacties die dit verschijnsel verder toelichten. Misschien handig voor je om met andere aspecten kennis te maken:

IAM in de Cloud
https://www.computable.nl/artikel/opinie/infrastructuur/5029849/1509029/i-am-in-de-cloud.html


Oh ja......en nog een vraagje Marwin!
Waarom is IDaaS belangrijk voor je business?

Ik zie het managen van IDs en van toegang als twee separate functies. I&AM; systemen combineren dit on-premise, maar het schaalt niet naar de cloud. Daar zit de toegevoegde waarde van IDaas: het is onderdeel van een opzet die wel schaalt.
Verder kan Single Sign-on juist gebruikt worden om van (alleen) wachtwoorden af te komen. De inzet van tokens is veel makkelijker, gebruik OTPs - soft tokens.
Toegang regelen heeft provisioning nodig, en dat drukken we nog steeds uit in IDs en rollen (RBAC). Ook dit schaalt niet naar de cloud. Een IDaaS opent de keten om een ID te vertalen naar attributen, op basis waarvan op een locatie toegang verkregen kan worden (ABAC). I&AM; schalen doe je door de I en de A helemaal uit elkaar te trekken en ze apart te managen.

Lex, ik snap je reactie wel, maar wel hem toch iets nuanceren.
Identity Access management en access management zijn wel twee verschillende functies, maar ik zie er geen principieel bezwaar tegen om deze uit 1 product te halen.

Klein detail maar het moet on-premises zijn. On-premise zonder s slaat nergens op (op basis van premisse?)

Gebruik van tokens is feitelijk de standaard (veelal in de vorm van OAuth2), maar om aan een set tokens te komen heb je een wachtwoord nodig, een OTP is dan zeker niet genoeg. Stel mijn collega gaat naar toilet, ik probeer ergens in te loggen met OTP voor die collega. Bericht komt binnen op telefoon, de meeste mensen kunnen sms lezen in notificaties zonder dat telefoon ontsloten is. Tadaa, Misbruik gemaakt.

"Toegang regelen heeft provisioning nodig, en dat drukken we nog steeds uit in IDs en rollen (RBAC). Ook dit schaalt niet naar de cloud." Wat schaalt er niet naar de cloud? Het principe van rollen? Of specifieke producten die je in gedachten hebt? Wat bedoel je precies? Dat iedere software anders omgaat met rollen en dat rollen dus niet op alle SaaS producten aansluiten? Bedoel je dan dat je bijv. een beschrijvende taal zoals SAML2 nodig hebt?

En natuurlijk, je zou gewoon je access management kunnen regelen en als ID provider DIGID kunnen gebruiken, of Google, of Facebook. Maar je begrijpt dat hier wel een glijdende schaal in zit.

Het onderscheid tussen extern en intern vervaagt. Dat geldt voor users, devices en applicaties. Daarmee veranderen de IAM principes waar we 15 jaar op gebouwd hebben.

De tijd van RBAC is voorbij, net als de tijd van least privileges.
ABAC + Context is het nieuwe paradigma voor het beheren van toegang.

Identity Providers (zoals Facebook, DigiD en de eigen AD) bieden attributen van verschillende betrouwbaarheidsniveaus aan. In de toekomst zullen we nog eerder spreken over Attribute Providers dan Identity Providers.
De Authenticatie Service evalueert de attributen in combinatie met de context, bepaalt het risicoprofiel en besluit of er toegang wordt verleend.
Binnen de applicatie wordt bepaald wat iemand mag. Hier lag de rol van enterprise-RBAC, maar die is uitgespeeld. Gebleken is dat dit te complex is om te beheren. Het schaalt inderdaad niet... ondanks 10jr BHOLD :).

De reactie van Lex voor het uit elkaar halen van IM en AM sluit hier helemaal op aan.
Met deze constatering is ook de rol van de enterprise identity suites uitgespeeld en biedt IDaaS een platform dat wel geschikt is voor deze nieuwe ontwikkelingen.
Of OTP een grote toekomst heeft betwijfel ik. Biometrische authenticatie zal komende jaren op grote schaal worden ingevoerd.

Het onderscheid tussen extern en intern vervaagt. Dat geldt voor users, devices en applicaties. Daarmee veranderen de IAM principes waar we 15 jaar op gebouwd hebben.

De tijd van RBAC is voorbij, net als de tijd van least privileges.
ABAC + Context is het nieuwe paradigma voor het beheren van toegang.

Identity Providers (zoals Facebook, DigiD en de eigen AD) bieden attributen van verschillende betrouwbaarheidsniveaus aan. In de toekomst zullen we nog eerder spreken over Attribute Providers dan Identity Providers.
De Authenticatie Service evalueert de attributen in combinatie met de context, bepaalt het risicoprofiel en besluit of er toegang wordt verleend.
Binnen de applicatie wordt bepaald wat iemand mag. Hier lag de rol van enterprise-RBAC, maar die is uitgespeeld. Gebleken is dat dit te complex is om te beheren. Het schaalt inderdaad niet... ondanks 10jr BHOLD :).

De reactie van Lex voor het uit elkaar halen van IM en AM sluit hier helemaal op aan.
Met deze constatering is ook de rol van de enterprise identity suites uitgespeeld en biedt IDaaS een platform dat wel geschikt is voor deze nieuwe ontwikkelingen.
Of OTP een grote toekomst heeft betwijfel ik. Biometrische authenticatie zal komende jaren op grote schaal worden ingevoerd.

Interessante ontwikkeling die IM/AM en ABAC. Bij ABAC kent de AM ontwerper blijkbaar attributen toe aan entiteiten zoals bijv users en objecten waar die toegang op zouden kunnen hebben en de combinatie van die attribuutwaarden bepaalt de toegang. Die combinatie van waarden en toegagsresultaat worden de rules. Dat scheelt inderdaad een hoop rol gedefinieer bekend vanuit RBAC en je bent meteen van conflicting rollen af.

Nog meer interesting stuf op http://altmode.org/2014/03/24/identity-and-attribute-providers/ :

"In the broader context of NSTIC, there are several reasons why identity providers and attribute providers can’t be one and the same:

Different attribute providers are authoritative for different attribute classes – In an enterprise, the enterprise itself is authoritative for nearly all attributes of interest. But in the broader NSTIC use case, there isn’t a common point that all parties trust. Users typically will have different providers for different types of attributes: proof that you’re a full-time student might come from your school district or university, an assertion that you’re an adult might come from your motor vehicle department, and your credit-worthiness might come from one of the major credit bureaus. Requiring these all to be asserted by the identity provider requires it to be trusted by basically everyone, and that’s hard to achieve."

@Henri 'maar ik zie er geen principieel bezwaar tegen om deze uit 1 product te halen' --> Ik ook niet, maar doe dat on-premises (dank voor de taalverbetering :-) bij je eigen bedrijf of bij de cloud provider.

OATH OTPs kun je met of zonder PIN/wachtwoord gebruiken - het is helemaal 2FA/risk-based in te richten. Hoeft niet een SMSje of alert te zijn, kan gewoon ook een time-based teller zijn in een app. Flexibiliteit zat.

Rollen schalen niet naar de cloud. Ze vertellen slechts een deel van de toegangsvraag. Databereik is een belangrijk aspect, dat leidt je af uit b.v. de afdeling, regio of een klantnummer. In de cloud werk je steeds meer met partners en (potentiele) klanten die je niet kent. Daar zelf een IAM enrolment voor doen en vervolgens een provisioning naar je provider is niet handig en ook niet eenvoudig veilig in te regelen. Denk hierbij vooral aan het gebruik van meerdere providers, die ieder hun diensten in multi-tenancy aanbieden. Het wordt een n:m landschap.

Facebook de klant laten authenticeren en je provider de klantkoppeling laten maken is dan handiger. Evt. de klant toegang zelf laten beheren met Oauth kan ook, zoals je noemde.
IAM suites verdwijnen niet, maar worden wel een niche-product, tenzij ze in dit landschap ook mee gaan spelen.

@Maarten 'Of OTP een grote toekomst heeft betwijfel ik. Biometrische authenticatie zal komende jaren op grote schaal worden ingevoerd' --> Ik heb jaren gewacht op de doorbraak van biometrie. Vooral vanwege de privacyproblemen zie ik die niet komen. Als biometrie toegepast wordt, wordt het op het endpoint afgevangen. Gebruiker self-service dus, buiten de enterprise om.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×