- De fleste assosierer nok identitet med en bruker-ID og et passord, og hvor innloggingsrutiner varierer fra system til system. En person kan være registrert i mange systemer, og man har ofte ingen kontroll over hvilke personopplysninger slike registre inneholder, forklarer systemkonsulent Alf Horsdal i ErgoGroup.
Han forteller at de fleste har et forhold til hva identitet er, gjerne definert gjennom fødselsnummer og navn. Men vi har samtidig ofte liten forståelse for hva identitet er i dagens datasystemer.
- IAM er ikke bare en teknologi, men et rammeverk for all identitetshåndtering, både administrativt, teknisk, juridisk og organisatorisk, sier han. Og legger til at "phishing" og identitetstyveri gjør at det nå blir stadig viktigere å kunne beskytte datasystemene sine, noe som igjen setter større krav til identitetskontroll.
Behov for samordning
Dagens lovgiving setter krav til personregistre. Dette gjelder for eksempel når personinformasjon kobles til lønnsystemer, ansettelsesforhold og tilgangskontroll. Spesielt viktig blir det når man ser det i sammenheng med felles pålogging (Single Sign On).
- Bedrifter opplever i dag et økende behov for samordning og kontroll av ansettelsesforhold, brukerkontoer, roller, rettigheter og tilgangskontroll i ulike elektroniske datasystemer, sier Horsdal.
- De fleste større bedrifter vurderer derfor bruk av felles identitets- og aksesskontroll internt. Men hva når en bedrift kjøper opp en annen bedrift? Eller når bedriften ønsker å tilby eksterne tjenester? De fleste har ikke kunnskap nok om hva dette betyr for identitets- og brukerkontroll.
Viktig fagområde
IAM er på få år blitt et viktig fagområde - både sikkerhetsmessig, juridisk, organisatorisk og funksjonelt. Horsdal forteller at innen skolesektoren ser vi blant annet at elever nå får tilgang ikke bare til lokale systemer, men også til global informasjon innen diverse fagområder.
- Vi ser også en utvikling hvor foreldre til skoleelever vil få tilgang til elevopplysninger ved å legitimere seg via offentlige identitetsportaler (IdP).
- Alt dette gjør at vi allerede nå ser en ny generasjon datasystemer vokse fram, hvor selvstendige webtjenester kan tilbys via felles portaltjenester, og hvor identitetskontroll kan gjøres via lokale eller offentlige identitetsportaler.
Administrativ prosess
Horsdal forteller at mange rådgivingsfirmaer reklamerer med rasjonalisering og økonomiske gevinster ved innføring av IAM. Praktiske erfaringer viser imidlertid at dette ikke er tilfelle på kort sikt.
- Den største utfordringen finner man ofte i den enkelte bedrifts organisasjon og evnen til å se ansettelsesforhold, brukerhåndtering, roller og rettigheter som del av en administrativ prosess, og ikke bare som en del av it-funksjonen.
- Alle større firmaer bør etter hvert tilpasse seg denne utviklingen dersom de skal tilfredsstille offentlige krav til brukerhåndtering. De må ha god sikkerhet i administrative systemer og samtidig ta del i den tekniske utviklingen rundt samhandling mellom virksomheten og offentlige institusjoner.
IAM gir gevinster
Spesielt vil større virksomheter kunne dra nytte av å ha en samordnet aksesskontroll med forvaltning av brukerne på ett eller et fåtall steder. På denne måten vil bedriften kunne unngå både gjentatte registreringer av samme bruker og oppbygging av personrettet tilgangskontroll flere steder.
- Dette vil på sikt kunne muliggjøre lokal autentisering av brukere innenfor et fellesskap av bedrifter eller datterselskaper. De økonomiske og strategiske gevinstene vil over tid kunne være store i forhold til ikke å være en del av den kommende IAM-utviklingen, avslutter systemkonsulent Alf Horsdal i ErgoGroup.