De razendsnelle digitalisering van onze samenleving is voor organisaties lastig bij te houden. Digital Identity is daarop geen uitzondering. Dit is geen verrassing als je bedenkt dat Digital Identity bestaat uit verschillende deelgebieden die op het eerste gezicht best op elkaar lijken. Wat is nu eigenlijk die samenhang tussen alle Identity and Access Management (IAM) oplossingen, zoals Workforce Identity (WI), Privileged Access Management (PAM) en Customer Identity & Access Management (CIAM)?
Workforce Identity
Binnen WI maken we onderscheid tussen Identity Governance and Administration (IGA) en Access Management (AM). Met IGA richten we ons op de vraag:“Wie werken er voor de organisatie en welke toegang hebben zij?”Dit klinkt misschien als een simpele vraag, maar het beantwoorden kan erg complex zijn. Zeker als een organisatie te maken heeft met veel type identiteiten, zoals (interne en externe) medewerkers, leveranciers, partners, klanten, maar ook (IoT) apparaten en applicaties. Doordat veel applicaties daarnaast een eigen verzameling aan gebruikersaccounts hebben, is het verkrijgen van een totaaloverzicht complex en tijdrovend. Hiervoor biedt een IGA-oplossing een uitkomst.
Binnen een IGA-oplossing wordt van iedere medewerker één digitale identiteit vastgelegd. Alle accounts die de medewerker heeft, worden gerelateerd aan deze identiteit. Daarnaast worden de applicaties gekoppeld aan de IGA-oplossing, zodat de rechten in deze applicaties gestructureerd kunnen worden. Dit kan bijvoorbeeld in de vorm van rollen met een duidelijke naam en omschrijving.
De IGA-oplossing geeft dus een totaalbeeld van wie er voor de organisatie werkt en welke toegang zij hebben. Door alle IGA-processen, zoals, in-, door- en uitstroom, toegangsaanvragen en review, ook via de IGA-oplossing te laten verlopen, kunnen eventuele risico’s opgemerkt en opgelost worden. Hierdoor komt jouw organisatie (aantoonbaar) in controle over wie er welke toegang heeft.
AM, ook wel bekend als Access Control, ligt in het verlengde van IGA en zorgt ervoor dat geauthentiseerde en geautoriseerde gebruikers, zij die recht hebben op toegang, op een veilige manier toegang krijgen tot applicaties. Dit gebeurt op basis van toegangscontrolemaatregelen die real-time worden afgedwongen met behulp van een AM-oplossing. Denk bijvoorbeeld aan een oplossing die het mogelijk maakt om veilig in te loggen of een account tijdelijk te blokkeren na een aantal mislukte inlogpogingen.
Hoe verhoudt Privileged Access Management zich tot Workforce Identity?
Privileged Access kan meer schade toebrengen aan de organisatie dan normale toegang. Hierbij kan je bijvoorbeeld denken aan de mogelijkheid om een financiële overboeking te doen of configuraties aan te passen. De privileged accounts die hierbij worden gebruikt, zijn vaak gedeelde, niet-persoonlijke accounts, zoals admin accounts die worden meegeleverd met een systeem om het te kunnen implementeren. Deze accounts kunnen veel schade aanrichten, zeker als ze in verkeerde handen vallen.
Door het gebruik van een privileged account (altijd) via een PAM-oplossing te laten lopen, weet je wie er toegang heeft tot en gebruik heeft gemaakt van een (gedeeld) account. Daardoor kan je heel goed bijhouden wat die persoon doet of heeft gedaan. Dit beperkt zowel interne dreigingen, zoals kwaadwillende medewerkers, als externe dreigingen, zoals hackers.
Vanuit Workforce Identity wordt dus bepaald en gecontroleerd wie er toestemming heeft om gebruik te maken van een privileged account. De PAM-oplossing biedt aanvullende maatregelen, die ervoor zorgen dat wanneer iemand het privileged account gebruikt dat veilig en transparant gebeurt.
Hoe verhoudt Customer Identity and Access management zich tot WI en PAM?
CIAM lijkt op Workforce Identity, in de zin dat het gericht is op 'wie heeft welke toegang?', maar dan voor klanten. Op het gebied van AM zijn er overeenkomsten, maar de IGA-processen verschillen aanzienlijk, zo zijn er bijvoorbeeld geen uitgebreide reviewprocessen. Klanttevredenheid staat voorop binnen CIAM. Daarom gaan we ook heel anders om met klanten dan met medewerkers. Met een medewerker tekenen we een arbeidsovereenkomst en doen we een volledige registratie verzorgd vanuit HR, mogelijk met screening. Dit zou voor klantregistratie buitenproportioneel en bovendien een enorme drempel zijn.
CIAM is meer gericht op self-service. Klanten nemen het initiatief om zichzelf te onboarden en verwachten dat dit op een eenvoudige, persoonlijke manier kan. CIAM-oplossingen stellen je in staat om op een laagdrempelige manier klantinformatie vast te leggen op momenten dat de klant gemotiveerd is om deze te geven. De klant kan bijvoorbeeld zijn adres geven in ruil voor een gratis sample. Op deze manier realiseer je een gepersonaliseerde klantervaring, maar voldoe je ook aan privacy wet- en regelgeving, zoals de AVG. De toestemming die de klant geeft, kan namelijk goed worden bijgehouden.
Klanten verwachten dat 'de organisatie' hen kent, en niet een afdeling. Wanneer de klant mailt naar sales of belt naar support zou dat niet uit mogen maken. CIAM-oplossingen maken dit mogelijk door de systemen die door verschillende afdelingen gebruikt worden met elkaar te verbinden en een consistent klantbeeld te vormen. Dit klantbeeld biedt ook mogelijkheden voor direct sales en cross- en up-selling.