Identity and Access Management (IAM)

IAM controleert identiteit en autorisatie

Identity and Access Management is een parapluterm voor het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk. Het idee is hierbij dat een bedrijf de controle kan houden over wie inlogt en bewerkingen doet in de systemen, applicaties, databasesIn een database, ook wel gegevensbank of databank genoemd, worden gegevens verzameld, georganiseerd en gelinkt aan elkaar. Vanaf gekoppelde computers kunnen er zo snel data worden opgevraagd. Via het databasemodel zijn tegenwoordig ook uitgebreide analyses mogelijk. De meest moderne databases zijn tot slot ook in staat om gespecialiseerde rapportages te maken van complexe gegevens. etc. Dit kunnen werknemers zijn, maar ook klanten of leveranciers.

Praktische uitvoering van Identity and Access Management

Identity and Access Management, ook wel identiteits- en toegangsbeheer in het Nederlands, begint bij het vastleggen van de toegangsrechten van gebruikers en het bepalen van welke bewerkingen ze mogen uitvoeren. Om dit alles praktisch uit te voeren zijn er technische oplossingen nodig. IAM-oplossingen zorgen ervoor dat de toegang tot bepaalde informatie en systemen beperkt blijft tot wie geautoriseerd is. IAM is, in beperkte mate, meestal aanwezig als functionaliteit in een ERP-systeemEen ERP-systeem brengt belangrijke informatie van verschillende bedrijfsafdelingen samen. Actuele gegevens over de productie, in- en verkoop, logistiek en administratie worden gekoppeld. Automatische werkprocessen verhogen de productiviteit, en verlagen de kosten., DMS-oplossingVeel bedrijven hebben moeite om documenten terug te vinden, erin samen te werken, of ze correct te archiveren. Een Document Management Systeem kan zorgen voor meer orde en efficiëntie in het beheer van documenten en documentstromen. Maar hoe doet deze software dat precies? of HRM-pakketHRM staat voor Human Resources Management. Software voor HRM stroomlijnt en automatiseert personeelszaken. Meestal hebben organisaties met veel personeel een speciale personeelsafdeling, oftewel een HR-afdeling. Bij Human Resource Management ligt de focus op de aandacht voor het personeel, het registreren van verzuim en van gewerkte uren, salaris en verlofaanvragen. Er zijn softwaresystemen op de markt waardoor deze HRM-zaken sneller en vloeiender kunnen verlopen. Vraag kosteloos de HRM Wijzer aan voor een vergelijking tussen verschillende soorten HRM-systemen.. Soms is er echter behoefte aan extra beveiliging. In dit geval kan het interessant zijn om specifieke IAM-software aan de bestaande pakketten of databases te koppelen.

Hoe werkt IAM-software?

Oplossingen voor Identity and Access Management werken tweeledig. Ze verifiëren de identiteit van wie wil inloggen en bepalen welke autorisaties de bewuste persoon heeft. Beide stappen kunnen op verschillende manieren verlopen.

Identiteit bewijzen

De eerste stap bij IAM is weten wie er inlogt in het systeem of de database. De meest eenvoudige manier om de identiteit van een gebruiker na te gaan is door middel van de combinatie van gebruikersnaam en wachtwoord. Een geavanceerdere vorm is multi factor authentication. Hierbij moet een gebruiker naast een gebruikersnaam ook iets fysieks hebben om zijn identiteit te bewijzen. Dit kan gaan om een key card, een mobiele telefoon waarnaar een code gestuurd wordt, een vingerafdruk etc.

Autorisatie nagaan

Zodra de gebruiker geïdentificeerd is, gaat IAM-software over tot het access management. Hierbij krijgt de gebruiker een gepersonaliseerde toegang op basis van een complexe set van autorisatieregels die in het systeem zijn opgeslagen. De instellingen verschillen per bedrijf, maar over het algemeen worden vooral functie, bevoegdheid en competentie van de werknemer in acht genomen. In het geval van (B2B-)klanten die inloggen in bijvoorbeeld een webshopE-commerce, ook wel e-business genoemd, omvat alle vormen van online handelen. De meeste mensen denken direct aan een webshop voor consumenten, maar de term wordt ook gebruikt voor bijvoorbeeld de financiële transacties die tussen banken plaatsvinden. In die laatste betekenis gaat de benaming terug tot in de jaren 70. kan de locatie dan weer erg belangrijk zijn. Een Britse klant kan zo bijvoorbeeld de toegang tot de Nederlandse webshop ontzegd worden.

Access Control kan bijvoorbeeld beginnen met de keuze of werknemers(groepen) een licentie krijgen als limited userOver het algemeen wordt met limited user gerefereerd aan gebruikers die software kunnen raadplegen, maar geen (grote) wijzigingen kunnen doorvoeren. Zo kunnen werknemers op de productieafdeling bijvoorbeeld in de module voor Shop Floor Control van het ERP-systeem de productieplanning raadplegen. Soms kan hen ook de mogelijkheid geboden worden om bij het voltooien van bepaalde werkzaamheden hun taak af te vinken. Een full user heeft daarentegen meer rechten en (vaak volledige) bevoegdheden. of full userVaak wordt er met full user gerefereerd aan gebruikers die bevoegd zijn om gegevens uit een softwaresysteem te raadplegen en wijzigingen door te voeren. De term staat tegenover de benaming limited user: een gebruiker die het systeem wel kan raadplegen, maar beperkt is in de verwerkingsmogelijkheden. Een strakke afbakening van de twee termen bestaat echter niet. De invulling verschilt per soort software, pakket en leverancier. voor de bedrijfssystemen. Hiermee kan al een verschil gemaakt qua toegangscontroleToegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access Management. Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan., zodat sommige werknemers het systeem alleen kunnen raadplegen of ook toestemming hebben om te kunnen bewerken. Een ander voorbeeld van Access Control zijn de restricties tot bepaalde delen binnen het systeem. Zo kunnen alleen de directieleden en de HR-manager in het personeelsdossier komen, terwijl andere gebruikers niet tot dit gedeelte worden toegelaten.

Meteen toegang tot verschillende systemen

In bepaalde gevallen is het handig als werknemers via één login meteen toegang krijgen tot verschillende systemen of toepassingen. Single sign-onSingle Sign-On is een werkwijze waarbij werknemers via één aanmeldprocedure meteen toegang krijgen tot verschillende bedrijfsapplicaties. Bij aanmelding op hun desktop computer zijn ze bijvoorbeeld direct ingelogd bij alle software op die computer. Vandaar dat het systeem in het Nederlands eenmalig inloggen wordt genoemd. Er bestaan twee manieren van eenmalig inloggen: of eenmalig inloggen kan dit verwezenlijken. Met één login krijgt een werknemer bijvoorbeeld toegang tot zowel de productieplanningOnder productieplanning wordt verstaan het inplannen van productiewerk op basis van orders of de verwachte verkoop. Deze planning wordt opgemaakt rekening houdend met: aanwezige materialen of hun levertijden, beschikbare werkkrachten, en de productiecapaciteit van mensen en machines. De planning helpt bedrijven om op een geordende en logische manier aan de productie van nieuwe goederen te beginnen. Ook kunnen op basis van deze planning bestellingen voor ruwe materialen gedaan worden, en kan het transport van afgewerkte goederen ingepland worden. als de Bill of Materials (BOM)Een Bill Of Materials, of stuklijst, is een lijst met alle benodigdheden voor de productie of assemblage van een artikel. Dit kan gaan over de grondstoffen zoals meel voor brood, maar ook over de benodigde infrastructuur zoals kneedmachines en ovens. Met een BOM kan de inkoop van materialen worden gepland.. Single sign-on wilt echter niet zeggen dat een werknemer bevoegdheid krijgt over álle toepassingen of informatie binnen een bedrijf. De IAM-software geeft nog steeds alleen toegang op basis van individuele identificatie en de vastgelegde autorisatieregels.

Van IAM naar Identity Governance and Administration (IGA)

Identity Governance and Administration is in principe gewoon een nieuwe naam voor Identity and Access Management. Toch zit er een gedachte achter deze nieuwe term. Door de nadruk te leggen op beleid verschuift de focus. De werkwijze wordt als het ware omgedraaid: in de plaats van eerst gebruikers aan te maken en dan autorisaties toe te kennen, wordt bij IGA eerst beleidsmatig gekeken voor wie de informatie of systemen worden opengesteld.

De IGA-aanpak lijkt een kleine aanpassing, maar is voor bedrijven vaak een wereld van verschil. Meer en meer worden organisaties namelijk geacht zich te verantwoorden voor verwerkingsactiviteiten. IGA helpt bedrijven om te voldoen aan toenemende audit- en compliance-eisen. In het bijzonder in het kader van de Algemene Verordening GegevensbeschermingDe General Data Protection Regulation (GDPR), of Algemene Verordening Gegevensbescherming (AVG) is een uniforme Europese wet die de bescherming van persoonsgegevens verzekert. Ze overschreef op 25 mei 2018 de nationale privacywetten, zoals de Nederlandse Wet bescherming persoonsgegevens (Wbp). is het essentieel voor bedrijven om te kunnen aantonen wie bepaalde informatie kan inzien en bewerken. Ook de reden van toekenning van die autorisaties moet kunnen worden onderbouwd.