Identity and Access Management (IAM)
IAM controleert identiteit en autorisatie
Identity and Access Management is een parapluterm voor het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk. Het idee is hierbij dat een bedrijf de controle kan houden over wie inlogt en bewerkingen doet in de systemen, applicaties, databases etc. Dit kunnen werknemers zijn, maar ook klanten of leveranciers.
Praktische uitvoering van Identity and Access Management
Identity and Access Management, ook wel identiteits- en toegangsbeheer in het Nederlands, begint bij het vastleggen van de toegangsrechten van gebruikers en het bepalen van welke bewerkingen ze mogen uitvoeren. Om dit alles praktisch uit te voeren zijn er technische oplossingen nodig. IAM-oplossingen zorgen ervoor dat de toegang tot bepaalde informatie en systemen beperkt blijft tot wie geautoriseerd is. IAM is, in beperkte mate, meestal aanwezig als functionaliteit in een ERP-systeem, DMS-oplossing of HRM-pakket. Soms is er echter behoefte aan extra beveiliging. In dit geval kan het interessant zijn om specifieke IAM-software aan de bestaande pakketten of databases te koppelen.
Hoe werkt IAM-software?
Oplossingen voor Identity and Access Management werken tweeledig. Ze verifiëren de identiteit van wie wil inloggen en bepalen welke autorisaties de bewuste persoon heeft. Beide stappen kunnen op verschillende manieren verlopen.
Identiteit bewijzen
De eerste stap bij IAM is weten wie er inlogt in het systeem of de database. De meest eenvoudige manier om de identiteit van een gebruiker na te gaan is door middel van de combinatie van gebruikersnaam en wachtwoord. Een geavanceerdere vorm is multi factor authentication. Hierbij moet een gebruiker naast een gebruikersnaam ook iets fysieks hebben om zijn identiteit te bewijzen. Dit kan gaan om een key card, een mobiele telefoon waarnaar een code gestuurd wordt, een vingerafdruk etc.
Autorisatie nagaan
Zodra de gebruiker geïdentificeerd is, gaat IAM-software over tot het access management. Hierbij krijgt de gebruiker een gepersonaliseerde toegang op basis van een complexe set van autorisatieregels die in het systeem zijn opgeslagen. De instellingen verschillen per bedrijf, maar over het algemeen worden vooral functie, bevoegdheid en competentie van de werknemer in acht genomen. In het geval van (B2B-)klanten die inloggen in bijvoorbeeld een webshop kan de locatie dan weer erg belangrijk zijn. Een Britse klant kan zo bijvoorbeeld de toegang tot de Nederlandse webshop ontzegd worden.
Access Control kan bijvoorbeeld beginnen met de keuze of werknemers(groepen) een licentie krijgen als limited user of full user voor de bedrijfssystemen. Hiermee kan al een verschil gemaakt qua toegangscontrole, zodat sommige werknemers het systeem alleen kunnen raadplegen of ook toestemming hebben om te kunnen bewerken. Een ander voorbeeld van Access Control zijn de restricties tot bepaalde delen binnen het systeem. Zo kunnen alleen de directieleden en de HR-manager in het personeelsdossier komen, terwijl andere gebruikers niet tot dit gedeelte worden toegelaten.
Meteen toegang tot verschillende systemen
In bepaalde gevallen is het handig als werknemers via één login meteen toegang krijgen tot verschillende systemen of toepassingen. Single sign-on of eenmalig inloggen kan dit verwezenlijken. Met één login krijgt een werknemer bijvoorbeeld toegang tot zowel de productieplanning als de Bill of Materials (BOM). Single sign-on wilt echter niet zeggen dat een werknemer bevoegdheid krijgt over álle toepassingen of informatie binnen een bedrijf. De IAM-software geeft nog steeds alleen toegang op basis van individuele identificatie en de vastgelegde autorisatieregels.
Van IAM naar Identity Governance and Administration (IGA)
Identity Governance and Administration is in principe gewoon een nieuwe naam voor Identity and Access Management. Toch zit er een gedachte achter deze nieuwe term. Door de nadruk te leggen op beleid verschuift de focus. De werkwijze wordt als het ware omgedraaid: in de plaats van eerst gebruikers aan te maken en dan autorisaties toe te kennen, wordt bij IGA eerst beleidsmatig gekeken voor wie de informatie of systemen worden opengesteld.
De IGA-aanpak lijkt een kleine aanpassing, maar is voor bedrijven vaak een wereld van verschil. Meer en meer worden organisaties namelijk geacht zich te verantwoorden voor verwerkingsactiviteiten. IGA helpt bedrijven om te voldoen aan toenemende audit- en compliance-eisen. In het bijzonder in het kader van de Algemene Verordening Gegevensbescherming is het essentieel voor bedrijven om te kunnen aantonen wie bepaalde informatie kan inzien en bewerken. Ook de reden van toekenning van die autorisaties moet kunnen worden onderbouwd.
Gerelateerde artikelen:
