8 asiaa, jotka on syytä harkita ennen IAM-ratkaisun hankintaa

8 asiaa, jotka on syytä harkita ennen IAM-ratkaisun hankintaa

Henkilöllisyys- ja pääsynhallintajärjestelmän (IAM) hankinta on strateginen päätös, jolla on vaikutuksia pitkälle IT-osaston ulkopuolelle. Väärä valinta voi aiheuttaa tietoturva-aukkoja, turhautuneita käyttäjiä ja tarpeetonta monimutkaisuutta. Tässä kahdeksan tekijää, jotka auttavat tekemään oikean valinnan – sekä nyt että tulevaisuudessa.

 

1

Keitä käyttäjät ovat ja mihin he tarvitsevat pääsyn?

Ennen IAM-ratkaisun valintaa on selvitettävä käyttäjäryhmät: työntekijät, asiakkaat, kumppanit tai näiden yhdistelmä. Jokaisella ryhmällä on erilaisia tarpeita, jotka vaikuttavat ominaisuuksiin ja alustavalintaan. 

B2C-käyttäjät

Kuluttaja-asiakkaat, potilaat tai yhdistysten jäsenet rekisteröityvät itse eivätkä ole organisaatioiden alla. Tarvitaan ratkaisu itsepalvelurekisteröitymiseen, suostumushallintaan ja yksinkertaiseen kirjautumiseen. Tyypillisesti CIAM-ratkaisu (Customer IAM). 

B2B-käyttäjät

Toimittajat ja kumppanit vaativat joustavaa pääsynhallintaa ja elinkaaren hallintaa. Tarve saattaa sisältää federatiivisen kirjautumisen, useita identiteettilähteitä ja roolipohjaista käyttöoikeuksien myöntämistä tai poistamista.

Työntekijät

Integraatiot HR-järjestelmiin ja sisäisiin sovelluksiin, automatisoitu käyttöönotto, itsepalvelu ja auktorisointi ovat tärkeitä. Ratkaisun tulisi tukea roolipohjaista pääsynhallintaa koko työsuhteen ajan.

Monet organisaatiot hyödyntävät yhtä yhtenäistä alustaa eri käyttäjäryhmille – tämä tarjoaa parempaa kustannustehokkuutta, sujuvampaa ylläpitoa ja yhtenäistä pääsyä samoihin sovelluksiin.

2

Valitse oikea alusta: pilvi, hybrid tai paikallinen

Teknisiä lähestymistapoja on monia: perinteisestä on-premise-ratkaisusta moderniin SaaS-teknologiaan, joka tarjoaa skaalautuvuutta ja jatkuvia päivityksiä. Valinta vaikuttaa joustavuuteen, kustannuksiin ja hallinnointiin pitkällä aikavälillä. 

Public cloud (SaaS)

Hyödyt: korkea käyttöaika, automaattiset päivitykset, alhaisemmat ylläpitokulut. Ei tarvitse huolehtia infrastruktuurista; toimittaja ylläpitää jatkuvasti.

Private cloud

Antaa lisää hallintaa ja joustavuutta, mutta edellyttää enemmän sisäistä teknistä osaamista. Sopii erityisvaatimuksiin esimerkiksi tietojenkäsittelyn, turvallisuuden tai integraatioiden suhteen.

On-premises

Asennettuna ja ylläpidettynä paikallisesti. Parempi kontrolli ja dataturva, mutta korkeammat kulut ja vähemmän joustavuutta.

Kontti- ja hybriditeknologiat hämärtävät näitä rajoja, mutta silti on tärkeää valita malli, joka vastaa parhaiten tarpeitasi nyt ja tulevaisuudessa.

3

Turvallinen kirjautuminen, pääsynhallinta – vai molemmat?

IAM kattaa useita toimintalohkoja – on tärkeää tietää, mitä oikeasti tarvitaan ja mitä ominaisuuksia halutaan.  

Identity and Access Management (IAM)

IAM kattaa sekä sen, miten käyttäjät kirjautuvat sisään (autentikointi), että sen, miten käyttöoikeudet myönnetään ja hallitaan (autorisointi). Kaikki ratkaisut eivät kuitenkaan tue molempia osa-alueita.

Access Management (AM)

Jos tavoitteena on yksinkertaistaa ja turvata kirjautuminen pilvipalveluihin, keskiössä on Access Management – toiminnallisuuksia kuten Single Sign-On (SSO) ja monivaiheinen todennus (MFA).

Identity Governance and Administration (IGA)

Jos tarvitsette myös hallintaa ja kontrollia siihen, kenellä on pääsy mihinkin – ja kuinka tämä dokumentoidaan ja hyväksytään – on tärkeää tarkastella Identity Governance and Administration -ratkaisuja. Näihin kuuluvat muun muassa käyttöoikeuksien hallinta automaatiolla, säännöllinen oikeuksien tarkastus ja mahdollisuus tuottaa auditointiraportteja.

Useat toimittajat yhdistävät nykyään AM- ja IGA-toimintoja, mutta edelleen on yleistä, että on valittava jompikumpi – tai integroitava kaksi eri ratkaisua. Siksi on tärkeää olla tietoinen omista tarpeistanne ja valita alusta alkaen oikea IAM-alusta.

4

Mitä kirjautumismenetelmiä ratkaisun on tuettava?

Jos ulkoiset käyttäjät, kuten asiakkaat, kumppanit tai toimittajat, tarvitsevat pääsyn järjestelmiin, on arvioitava, miten he voivat tunnistautua – ja mitä identiteettipalveluita on tuettava.  

IAM-ratkaisun tulisi tukea integraatioita kohderyhmälle relevanttien identiteettipalveluiden kanssa. Norjassa tämä tarkoittaa usein BankID:tä, Vippsiä tai MinID:tä – kansainvälisesti taas Googlea, Applea tai Facebookia. Tällaiset integraatiot tekevät kirjautumisesta turvallisempaa, helpompaa ja käyttäjälle tutumpaa – sekä vähentävät tarvetta manuaaliselle käyttäjätuelle.

Useita identiteettipalveluita voidaan käyttää myös uusien käyttäjien tunnistamiseen rekisteröinnin yhteydessä, mikä on erityisen hyödyllistä B2C-ratkaisuissa ja julkisissa palveluissa. Yhä useammat organisaatiot haluavat tukea sekä yksityistä että ammatillista identiteettiä – erityisesti B2B-ympäristöissä, joissa käyttäjät odottavat voivansa kirjautua joko työsähköpostilla tai henkilökohtaisella tunnuksella. Tämä tulisi huomioida vaatimustenmäärittelyssä, jos tavoitteena on tavoittaa eri kohderyhmiä.

Miltä tämä näyttää käytännössä?

Lue, miten lentoyhtiö Norwegian tehosti toimintaa ja käyttöoikeuksien hallintaa →

5

 Mitkä prosessit tulisi automatisoida?

Automaatio on avain sekä parempaan turvallisuuteen että tehokkuuteen – mutta mitä tulisi automatisoida, riippuu organisaation tarpeista.  

Kaikki IAM-ratkaisut tarjoavat jonkin verran automaatiota, mutta mahdollisuudet ja joustavuus vaihtelevat huomattavasti.

Yksinkertaisimmillaan automaatio tarkoittaa käyttäjätilien automaattista luontia ja poistamista, mutta usein tarvitaan enemmän. Esimerkiksi käyttöoikeudet voidaan haluta aktivoida vasta juuri ennen työn alkamista – ei heti, kun henkilö rekisteröidään HR-järjestelmään. Tai Microsoft 365 -lisenssit voidaan poistaa, kun työntekijä on ollut passiivinen yli 180 päivää.

Saattaa myös olla tarpeen muokata käyttäjätietoja – kuten käyttäjänimiä, näyttönimiä tai rooleja työnimikkeen perusteella. Tällaiset muutokset vaativat monimutkaisempaa logiikkaa, jota kaikki alustat eivät tue yhtä hyvin.

Mitä enemmän manuaalisia tehtäviä halutaan poistaa, sitä tärkeämpää on valita ratkaisu, joka mahdollistaa tehokkaan automaation ja työnkulkujen hallinnan.

6

 Mihin järjestelmiin IAM-ratkaisun on integroiduttava?

Jotta IAM-ratkaisu toimisi käytännössä, sen on pystyttävä kommunikoimaan muun IT-ympäristön kanssa – HR-järjestelmästä ja Active Directorysta toiminnanohjausjärjestelmiin ja pilvipalveluihin.  

IAM-ratkaisu hakee ja jakaa tietoa muihin organisaation järjestelmiin, joten integraatiot ovat välttämättömiä sekä toiminnallisuuden että tehokkuuden kannalta. Tyypillinen integraatio on HR-järjestelmä, joka toimii usein käyttäjätietojen lähteenä: kuka käyttäjä on, missä hän työskentelee ja mihin hän tarvitsee pääsyn. Tämä mahdollistaa automaattisen käyttöönoton ja pääsynhallinnan.

Muita keskeisiä integraatioita voivat olla:

  • Active Directory eller Entra ID (tidl. Azure AD) for autentisering og gruppestyring
  • Fagsystemer og skyapplikasjoner der tilganger skal styres
  • ITSM-verktøy som ServiceNow eller Jira for tilgangsbestilling og godkjenning
  • Løsninger for tilgangsrevisjon eller rapportering, som SIEM eller GRC-systemer

Integraatioiden laajuus ja kypsyys vaihtelevat toimittajien välillä – jotkut tarjoavat valmiita rajapintoja ja integraatioita, kun taas toiset vaativat enemmän räätälöintiä. Miettikää siis tarkkaan, mihin järjestelmiin IAM-ratkaisun on integroiduttava, jotta se palvelee organisaationne tarpeita nyt – ja tulevaisuudessa.

7

 Miten rooleja ja käyttöoikeuksia tulisi hallita?

Hyvin suunniteltu käyttöoikeuksien hallinta on ratkaisevan tärkeää sekä tietoturvan että skaalautuvuuden kannalta – ja sen tulisi olla keskeinen osa identiteettistrategiaa.  

Käyttöoikeuksien hallinta ei tarkoita vain sitä, kuka pääsee mihinkin, vaan myös sitä, millä säännöillä ja periaatteilla nämä oikeudet määräytyvät. Rakenteellinen lähestymistapa parantaa hallintaa ja mahdollistaa oikeuksien automatisoidun myöntämisen roolien ja järjestelmien välillä.

Monet organisaatiot aloittavat käyttöoikeuksien manuaalisella myöntämisellä, mutta se ei ole skaalautuva ratkaisu. Kun käyttäjät ryhmitellään rooleihin esimerkiksi tehtävänimikkeen, osaston tai vastuualueen mukaan, prosessi yksinkertaistuu ja virheriski pienenee.

Yleisiä malleja ovat:

RBAC (Role-Based Access Control): käyttöoikeudet määritellään ennalta määritellyille rooleille
ABAC (Attribute-Based Access Control): käyttöoikeudet perustuvat käyttäjän attribuutteihin
Politiikkaperusteinen hallinta: käyttöoikeudet määräytyvät sääntöjen ja ehtojen mukaan

Käyttöoikeuksien hallintaa ei tulisi tarkastella erillisenä asiana, vaan sen tulisi olla osa kokonaisvaltaista identity roadmapia. Näin voidaan valita malli ja ratkaisu, joka palvelee sekä nykyisiä tarpeita että tulevaisuuden tavoitteita.


Kuinka paljon yrityksesi voi säästää investoimalla IAM-ratkaisuun?

Lue lisää Proof of Value -mallista →

8

Miten varmistetaan seuranta ja vaatimustenmukaisuus?

Auditointi ja valvonta tulisi olla osa IAM-ratkaisua – ei vain vuosittainen toimenpide.  

Kun käyttöoikeuksia luodaan ja muutetaan manuaalisesti ajan myötä, syntyy helposti ero suunnitellun ja todellisen tilanteen välillä. Tämä voi johtaa liiallisiin käyttöoikeuksiin, tietovuotoriskiin ja sisäisten tai sääntelyvaatimusten rikkomiseen.

Siksi on tärkeää, että järjestelmä tarjoaa näkyvyyden siihen, kuka pääsee mihinkin, miksi hänellä on oikeus – ja kuka on sen hyväksynyt. Tätä kutsutaan usein Access Governanceksi, ja siihen sisältyy toimintoja kuten:

  • Attestointi (käyttöoikeuksien säännöllinen tarkastelu)
  • Auditointilokit ja tapahtumien seuranta
  • Sääntöpohjainen käyttöoikeuksien hallinta
  • Poikkeamien ilmoittaminen ja käsittely

Organisaatioille, jotka ovat ISO 27001-, GDPR-, NIS2- tai muiden säädösten alaisia, tämä ei ole pelkkä "nice to have" – vaan velvollisuus.

Seuraava askel

IAM-ratkaisun hankkiminen ei ole vain tekninen päätös – vaan strateginen valinta, joka vaikuttaa tietoturvaan, käytettävyyteen ja hallintaan. Oikealla lähestymistavalla rakennatte vahvan perustan tulevaisuuden identiteetinhallinnalle.