Op weg naar één identiteit

Veel grote en middelgrote bedrijven beschikken over verschillende informatiesystemen. Sinds de introductie van Windows 95, kort daarop gevolgd door de doorbraak van internet, heeft de pc een ongekende opmars gemaakt in het bedrijfsleven. Het aantal mensen dat bedrijfshalve toegang tot IT-systemen nodig heeft om het werk te kunnen uitvoeren, groeit nog steeds, evenals de plek en de wijze waarop ze toegang zoeken tot deze systemen. Dit legt een behoorlijke druk op de beveiliging van de bedrijfsdata en – applicaties.

Bedrijven gebruiken mogelijk een aantal besturingssystemen met daarop één of meer applicaties, hetgeen productiviteitsverlagend werkt. Gebruikers moeten verschillende wachtwoorden kennen en de IT-beveiligingsproducten moeten elke identiteit van elke gebruiker binnen een instelling authenticeren, autoriseren en vastleggen. Het merendeel van de problemen op het gebied van toegangs- en identiteitsbeheer wordt hierdoor veroorzaakt. Binnen een heterogene IT-omgeving is het verantwoordelijke team talloze uren kwijt aan het toekennen van rechten, het wegnemen van deze rechten en het afhandelen van kwesties inzake wachtwoorden.

Deze thema’s hebben ook een negatieve invloed op het vermogen van bedrijven om hun informatiebeveiliging op niveau te houden. Je kunt zelfs stellen dat inconsistent wachtwoordbeleid binnen een organisatie, onveilige authenticatiemethodes en vertragingen in het wegnemen van toegangsrechten – wegens een veelheid aan systemen en IT-medewerkers die geautoriseerd zijn om een gebruiker te deactiveren – er de meest voorkomende oorzaken van zijn, dat organisaties niet voldoen aan hun eigen of externe regelgeving.

Vereenvoudig je identiteits- en toegangsbeheer

Er zijn verschillende benaderingen mogelijk om deze uitdagingen het hoofd te bieden. Een raamwerk voor IT-beveiliging inrichten is daar één van. Door de volledige omgeving te voorzien van een raamwerk, wordt er een vastomlijnde structuur vastgelegd voor het identiteitsdeel binnen de IT-omgeving. Het beveiligingsraamwerk omvat een master directory, waarmee alle andere directories gesynchroniseerd worden. Het is echter vrijwel onmogelijk om binnen een heterogene IT-omgeving elke identiteit zo vast te leggen dat deze op alle besturingssystemen en applicaties de juiste rechten verleent.

Bij een benadering met deeloplossingen worden individuele gevallen behandeld; deze aanpak behelst de implementatie van technologieën die een specifiek probleem adresseren. Houd er hierbij rekening mee dat deeloplossingen vaak slechts op één systeem werken en dat er voor een ander systeem additioneel geïnvesteerd dient te worden.

Het ontwikkelen van een oplossing in eigen huis behoort ook tot de mogelijkheden om een doordacht platform voor identiteits- en toegangsbeheer te bouwen. De standaarden zijn voorhanden, evenals de tooling om Unix-systemen te integreren met Active Directory. De praktijk wijst helaas uit dat dergelijke projecten te complex, te tijdrovend en te duur zijn om ze werkelijk uit te voeren. Veel bedrijven vertrouwen op de status quo wanneer ze worden geconfronteerd met uitdagingen op het gebied van identiteits- en toegangsbeheer. Ze zetten al hun beschikbare middelen in, soms in combinatie met deeloplossingen en in huis ontwikkelde middelen.

De ‘Op weg naar één’-strategie

Een bepaalde strategie steekt boven de rest uit; de ‘Op weg naar één’-strategie. Deze combineert de goede punten uit boven genoemde alternatieven en vermijdt veel van hun tekortkomingen. De meeste uitdagingen op het gebied van identiteits- en toegangsbeheer vinden hun oorzaak in de complexiteit en de verscheidenheid aan systemen binnen ondernemingen. Door het veelvoud aan identiteiten, authenticatiemiddelen, rollen, beleidslijnen en processen te elimineren kunnen organisaties een belangrijke stap zetten op weg naar een betrouwbare, beheersbare en ‘compliant’ situatie.

Een goede ‘Op weg naar één’-oplossing consolideert het aantal directories, centraliseert identiteitsbeheer en maakt dit beschikbaar voor alle systemen. Hierdoor gaan gedane investeringen in het aanwezige identity management systeem – vaak Microsoft Active Directory – niet verloren en wordt een werkelijk universeel platform voor identiteits- en toegangsbeheer mogelijk.

Met als basis één identiteit, centraal beheer, één set beleidslijnen en één mechanisme voor sterke authenticatie worden alle projecten - single sign-on, provisioning, wachtwoordbeheer, directory-consolidatie, sterke authenticatie, rollenbeheer en audit/compliance – aanzienlijk eenvoudiger uit te rollen. De verbeteringen op het gebied van efficiëntie en de kostenbesparingen voor zowel gebruikers als IT-afdeling worden als snel zichtbaar, wanneer er minder ‘identiteiten’ te beheren en vast teleggen zijn. Het vermogen om single sign-on te implementeren vergroot de productiviteit van de de gebruiker, omdat deze zich maar een keer hoeft aan te melden. Tegelijkertijd gaat de downtime omlaag, die werd veroorzaakt omdat mensen hun wachtwoord waren vergeten.

Omdat er minder gebruikersaccounts te beheren zijn en minder wachtwoorden die opnieuw moeten worden ingesteld, kan de IT-afdeling zich richten op meer inhoudelijke zaken. Daarnaast zal ook het handmatig beheer van gebruikersaccounts sterk teruglopen, omdat administratief werk wordt geautomatiseerd.

Verbeter beveiliging, bereik compliance

Tot slot kan een ‘Op weg naar één’-oplossing bedrijven in staat stellen om aan in- en externe regels te voldoen door platformen die voorheen niet ‘compliant’ waren, te koppelen aan de Active Directory infrastructuur. Bedrijven kunnen vervolgens sterke authenticatie implementeren voor zowel de Windows- als de niet-Windows-systemen. Tegelijk biedt het krachtige auditing en rapportagetools om informatie te verzamelen en te distribueren vanuit een centrale repository, die is gebaseerd op de universele identiteit in Active Directory.

De sleutel is om volledig tot één universele identiteit per gebruiker te komen. In werkelijkheid blijkt het vaak niet haalbaar om alle identiteiten uit verschillende systemen en applicaties onder te brengen in één universele identiteit. Dan nog loont het de moeite om te kiezen voor een ‘zorg dat je zo dicht bij één identiteit voor zoveel systemen als mogelijk komt’-benadering; het biedt u de juiste mogelijkheden om identiteits- en toegangsbeheer te vereenvoudigen en een hoger niveau van efficiëntie, beveiliging en compliancy te bereiken.

Jackson Shaw is Active Directory en Identity Management Expert bij Quest Software