Zo selecteer je de juiste IAM-oplossing

• Product en technologie

Om allerlei redenen kan het nodig zijn een nieuwe Identity & Access Management (IAM) oplossing te selecteren. Zo willen startende bedrijven vaak direct hun account- en toegangsbeheer professioneel opzetten, terwijl veel bestaande organisaties op zoek zijn naar een vervanging voor hun bestaande IAM-systeem. In de onderstaande blog verzamelen we 10 aandachtspunten bij zo’n selectietraject.

Wat is een IAM-oplossing?

Een IAM-oplossing ondersteunt organisaties bij de uitgifte en het beheer van gebruikersaccounts en toegangsrechten. Zo’n IAM-platform automatiseert het rechtenbeheer zo veel mogelijk, en daarnaast stroomlijnt het de processen om individuele gebruikersverzoeken te beoordelen en te verwerken. Ook bieden IAM-oplossingen meestal self-service features waarmee gebruikers eenvoudige wijzigingen zelfstandig kunnen doorvoeren. Het platform logt en monitort alle handelingen, en de software beschikt over functionaliteit om het rechtenbeheer op ieder moment te kunnen auditen, analyseren en verder te optimaliseren.

Waar moet je op letten bij het selecteren van een IAM-oplossing?

Bij de selectie van een identity and access management oplossing zijn dit de tien belangrijkste aandachtspunten. Ieder punt werken we in de blog hieronder verder uit:

1. Een on-premises platform of een clouddienst?

2. Welke functionaliteit is nodig en hoe flexibel moet de oplossing zijn?

3. Welke integratiemogelijkheden heb je nodig?

4. Is de IAM-oplossing voldoende gebruiksvriendelijk voor zowel gebruikers als beheerders?

5. Is de oplossing eenvoudig te beheren?

6. Garandeert het platform hoge prestaties, een hoge betrouwbaarheid en schaalbaarheid?

7. Zijn de kosten inzichtelijk en beheersbaar?

8. Is het een veilige oplossing, die compliant is met wet- en regelgeving?

9. Hoe kan de oplossing worden uitgerold en hoe kun je een bestaande oplossing migreren?

10. Hoe ziet de verdere roadmap van de oplossing eruit?

1. IAM on-premise of als clouddienst?

Net als andere IT-systemen zijn ook veel IAM-oplossingen tegenwoordig als clouddienst beschikbaar. Veel klanten zoeken zo’n cloud aanpak, zeker als men het verdere IT-landschap ook naar de cloud migreert. Wel is het belangrijk om na te gaan hoe zo’n cloudoplossing tot stand is gekomen. Oplossingen waarbij feitelijk een bestaand on-premises systeem via bijvoorbeeld rehosting is omgezet naar een cloud platform, levert vaak geen structureel betere oplossing. Ga op zoek naar een identity and access management oplossing die ‘cloud-native’ is ontwikkeld, en volledig ontworpen vanuit de mogelijkheden en uitgangspunten van cloudtechnologie. Vaak zie je dat terug aan het ondersteunde ‘delivery model’ van de IAM-oplossing. Biedt men enkel een single-tenant oplossing, of wordt daadwerkelijke een multi-tenant Identity-as-a-Service (IDaaS) oplossing aangeboden?

Bij een single-tenant oplossing wordt voor iedere klant een eigen, onafhankelijk platform samengesteld en gehost met daarop de eigen klantdata en koppelingen naar de overige systemen. Hiermee houd je als klant uiteraard veel grip op de platforminstellingen, het beheer, updates en de productontwikkeling. Nadeel ervan is echter de relatief grote beheercomplexiteit en de bijbehorende hoge kosten. Voor grote enterprise organisaties is daarvoor misschien nog een businesscase te maken, maar voor middelgrote en kleinere klanten lijkt het zinvoller direct in te zetten op een zogenaamde multi-tenant omgeving.

Een multi-tenant platform zoals HelloID is ontwikkeld om de voordelen van de cloud optimaal te benutten. Bij zo’n cloud-native oplossing delen klanten één gezamenlijk IAM-platform dat centraal wordt beheerd en doorontwikkeld. Op dat platform beschikt iedere tenant (huurder) over dezelfde standaardfunctionaliteit en heeft iedereen direct de beschikking over de laatste updates en nieuwe features. De dienstverlener zorgt voor de capaciteitsplanning, prestatiemanagement en redundantie zodat de functionaliteit voor alle klanten altijd beschikbaar is. De architectuur en uitgebreide beveiligingsmaatregelen garanderen dat iedere klant alleen toegang heeft tot de eigen gegevens en instellingen.

2. Functionaliteit en flexibiliteit van de IAM-oplossing

Uiteraard is het ook belangrijk om kritisch naar de beschikbare functionaliteit te kijken. Bij sommige IAM-software ligt de aandacht nog primair op de authenticatiefunctionaliteit. En authenticatie speelt natuurlijk ook een belangrijke rol binnen Identity en Access Management. Zeker met het groeiende belang van Multi Factor Authenticatie (MFA) en allerlei toegangsinnovaties (zoals biometrische technologie). Maar het is zeker niet het enige belangrijke IAM-component.

Access management voor single sign-on en Multi Factor Authenticatie

We zien dat veel organisaties juist dat authenticatie element steeds vaker onderbrengen bij third-party Identity Providers (IdP's) zoals Microsoft Active Directory, Entra ID of Google Workspace. Of op zijn minst dat de primaire authenticatie via deze platformen verloopt. Maar dan nog is het belangrijk om de behoeften van en eisen voor de gehele gebruikerspopulatie in acht te nemen. Zo zien we vaak dat bijzondere gebruikersgroepen (zoals gastgebruikers en cliënten) niet in de reguliere IdP zijn ondergebracht, en dit is vanwege hoge kosten ook niet wenselijk. Een access management oplossing met een cloudgebaseerde directory en uitgebreide MFA-functionaliteiten kan in dit geval uitkomst bieden om ook de authenticatie voor deze gebruikersgroepen veilig te laten verlopen. Na de primaire authenticatie biedt Single Sign-On (SSO) een gebruiksvriendelijke manier om gebruikers toegang te bieden tot hun applicaties. Een overzichtelijk applicatiedashboard, eventuele integratie binnen je bestaande portalen, en ondersteuning voor je applicatielandschap is dan ook cruciaal.

Provisioning voor geautomatiseerd gebruikers- en autorisatiebeheer

Veel organisaties willen de uitgifte en het beheer van gebruikersaccounts en de bijbehorende toegangsrechten volledig automatiseren. Vrijwel alle gebruikerstaken kunnen met een geavanceerde provisioning module worden gestroomlijnd, vanaf de account uitgifte bij onboarding van nieuwe medewerkers, tot en met automatische rechtenaanpassingen als mensen doorstromen naar andere functies. Ook kan die provisioning-functionaliteit zorgen voor een correcte afwikkeling bij het vertrek van medewerkers, zodat geen kostbare licenties onnodig actief blijven, of er datalekken ontstaan via ‘vergeten’ gebruikersaccounts. Cruciaal daarbij is dat de IAM-omgeving een autorisatiemodel als Role Based Access Control (RBAC) en/of Attribute Based Access Control (ABAC) ondersteunt. Op die manier zorgen we automatisch dat iemands rechten steeds in lijn zijn met diens werkelijke werkzaamheden.

Service Automation voor self-service ten behoeve van uitzonderingen

Met bovenstaande provisioning en RBAC/ABAC functionaliteit borg en automatiseer je het account- en toegangsbeleid van je organisatie. Tegelijkertijd moet een IAM-oplossing voldoende ruimte bieden voor uitzonderingen. Als iemand bijvoorbeeld tijdelijk een Visio licentie nodig heeft tijdens een project, moet dat eenvoudig te regelen zijn. Een moderne IAM-oplossing moet dan ook uitgebreide mogelijkheden bieden voor verdere procesautomatisering en self-service. Naast basale zaken als password resets (die veelal via de IdP worden afgehandeld) gaat het dus ook om naamwijzigingen en het online aanvragen van (tijdelijke) applicatielicenties en de geautomatiseerde workflow om de betrokken managers om goedkeuring te vragen. Bij moderne identity and access management oplossingen gaat het dus om veel meer dan Access Management; het betreft ook het managen van de volledige account- en rechtenlevenscyclus, vanaf de onboarding tot aan het vertrek uit de organisatie. En dat niet alleen voor het eigen personeel, maar ook voor bijvoorbeeld flexwerkers, cliënten, patiënten, leerlingen en partners.

Flexibiliteit om de IAM-oplossing op je IT-omgeving aan te passen

Let hierbij nadrukkelijk op de flexibiliteit van het platform. Ook bij een standaard multi-tenant platform moeten er met behulp van configuratiemogelijkheden, opties en API’s voldoende mogelijkheden zijn om het IAM te finetunen naar de eigen omstandigheden en wensen. Je wilt niet in een situatie terechtkomen waarbij je jouw IT-landschap moet gaan aanpassen aan de IAM-oplossing. In plaats daarvan wil je dat de IAM-oplossing configureerbaar is naar jouw omgeving. Niet voor niets kijken wij bij de ontwikkeling van HelloID heel bewust naar waar we, ondanks de focus op standaardisatie en grafische interfaces, ook de mogelijkheid moeten behouden voor de inzet van algemeen bekende scripttalen als JavaScript en PowerShell. Zo is er altijd een terugvalmogelijkheid voor specifieke klantwensen. Want hoewel er veel overeenkomsten tussen organisaties zijn, moeten we ook de verschillen zeker niet vergeten.

3. Integratiemogelijkheden met zowel on-premises als cloudapplicaties

Een IAM-oplossing zal vandaag de dag ook gekoppeld moeten worden aan tal van third party systemen. Naast koppelingen met HRM en andere bronsystemen moet de IAM-oplossing ook samenwerken met de doelapplicaties waarbinnen het IAM de gebruikers en rechten gaat beheren. En al kies je bewust voor een cloudgebaseerde IAM-oplossing, het is nog steeds belangrijk dat je ook kunt koppelen met on-premises systemen. Zeker netwerksystemen en fysieke beveiligingssystemen (zoals sleutelkluizen) draaien nog vaak lokaal. In deze gevallen wil je niet twee separate IAM-oplossingen in gebruik moeten nemen. Juist als de IAM-oplossing beiden ondersteunt kan het een waardevol hulpmiddel zijn gedurende de transitie van je organisatie naar de cloud. Ook zijn bijvoorbeeld koppelingen nodig met service management, beveiligings- en rapportageapplicaties. En kies je voor een separate access management oplossing, dan moet integratie met het eigen gebruikersportaal of -intranet van de klant een vanzelfsprekendheid zijn.

De geselecteerde IAM-oplossing moet dus uitgebreide mogelijkheden hebben om deze koppelingen te realiseren zonder dat het omliggende IT-landschap hoeft te worden aangepast. Men moet dus meer dan alleen de open standaarden als SCIM (die vooralsnog slechts zeer beperkt worden toegepast) ondersteunen. Ook eventuele specifieke productkoppelingen moeten beschikbaar zijn of snel ontwikkeld kunnen worden. Een ruime set bestaande en waar mogelijk gecertificeerde connectoren is belangrijk om betrouwbaar, eenvoudig en snel met veelgebruikte applicaties te koppelen. Maar ook een open architectuur en de benodigde wendbaarheid om zelf nieuwe koppelingen toe te voegen is essentieel. Dit voorkomt enerzijds dat je afhankelijk wordt van je IAM-leverancier, maar anderzijds ook dat je niet beperkt wordt in het koppelen met bijvoorbeeld zelfontwikkelde applicaties of exotische systemen.

Een oplossing als HelloID biedt een uitgebreide connectorencatalogus waar vanuit eenvoudig met honderden veel voorkomende applicaties kan worden gekoppeld. Wanneer een connector nog niet beschikbaar is, ontwikkelt Tools4ever deze kosteloos. Maar ook elke klant zelf heeft de mogelijkheid om (eventueel aan de hand van voorbeeldtemplates) connectoren te ontwikkelen. Dit kan op basis van een grote verscheidenheid aan technologieën als SCIM, REST/JSON, SOAP/XML, ODBC, SQL, CSV, XML, etc.

4. Goede User Experience voor gebruikers én support medewerkers

Werknemers hebben vandaag de dag vaak toegang tot tientallen applicaties, op hun computer maar ook via tablets en smartphones. Ook klanten, partners en externe krachten hebben vaak direct toegang tot applicaties en data. De voordelen van deze digitalisering en het hybride werken zijn voor iedereen duidelijk, maar het maakt de rol van je IAM-systeem nóg belangrijker. Niet alleen moet de toegangsbeveiliging waterdicht zijn, de IAM-oplossing moet tegelijkertijd volledig intuïtief en gebruiksvriendelijk werken. Dat geldt uiteraard voor de reguliere authenticatie en toegangsverificatie (inclusief SSO en MFA), maar ook voor het aanvragen van extra applicaties of het herstellen van een wachtwoord. Nergens mag de IAM-software een storende factor vormen tijdens iemands zogenaamde user journey.

Die eis gaat overigens verder dan eindgebruikers. Soms is software zeer gebruiksvriendelijk voor eindgebruikers, maar moeten beheerders zich nog behelpen met tekstschermen, scripts en custom code. Dit is dan ook een belangrijk aandachtspunt bij een IAM-selectie. Ook beheerteams krijgen te maken met een veel krachtiger IAM-platform met tal van beheeropties, instellingen en uitbreidingsmogelijkheden. Alleen met een intuïtieve, grafische beheerinterface kun je die mogelijkheden als beheerder ook echt benutten. Als je iets niet begrijpt, is het belangrijk om ter naslag terug te kunnen grijpen op documentatie. Hiervoor is het dan wel belangrijk dat deze inderdaad beschikbaar en voldoende up-to-date is.

Daarnaast is het ook belangrijk dat IAM meer is dan alleen een technische oplossing. IAM reikt verder dan je IT-afdeling alleen en grijpt in op belangrijke organisatieprocessen. Om echt alles uit een IAM-oplossing te kunnen halen is het daarom belangrijk dat er voldoende trainingsmogelijkheden zijn die niet alleen de software, maar juist ook de businesszijde behandelt. Vanuit Tools4ever bieden we zowel certificeringstrajecten voor de softwaremodules als de zogenaamde businessimpact (of businessconsultancy) trainingen volledig kosteloos aan. Veel softwarebedrijven die trainingen aanbieden, faciliteren dit volledig vanuit een online platform. Wij kiezen er voor om onze maandelijkse kosteloze trainingen door ervaren business- en implementatieconsultants te geven. Zo kunnen we elke training aanpassen aan de kennisniveaus van de deelnemers en is er voldoende ruimte voor persoonlijke interactie.

5. Een eenvoudig te beheren IAM-oplossing

Het is dus vaak een eis dat het core platform weinig onderhoud vraagt en dat updates automatisch en probleemloos worden doorgevoerd. Vervolgens wil je als klant eenvoudig de eigen instellingen en gegevens kunnen beheren, maar ook zelf optionele features en koppelingen kunnen configureren en activeren. Faciliteert de leverancier dit met toegankelijke en heldere documentatie en training? Zorgt men dat klanten onderling kennis en ervaringen kunnen uitwisselen? En mocht je er als klant niet uitkomen, is er dan een supportteam dat kan inspringen bij issues en eventueel ook onsite kan ondersteunen? Als klant wil je graag zelf controle hebben, maar ook  zekerheid dat er een fall-back is als dat nodig is.

Daarnaast moet het ook mogelijk zijn dat je als klant het beheer kunt uitbesteden aan een system integrator of managed service provider. Inclusief koppelingen tussen het IAM-platform en managementsystemen van die service provider. Zo ben je wederom minder afhankelijk van één specifieke leverancier. Ook in een later stadium - na de initiële uitrol - kun je desgewenst nog kiezen voor uitbesteding. Op onze partnerpagina vind je tientallen Nederlandse managed service providers die gecertificeerd zijn in het ontwerp, implementatie en beheer van de IAM-oplossing HelloID.

6. Betrouwbaarheid, prestaties en schaalbaarheid

Een IAM-oplossing zit als een spin in het web van je IT-landschap en speelt een rol in vrijwel alle IT-processen. Daarom moet de IAM-functionaliteit altijd functioneren en optimaal presteren, zonder vertragingen en met voldoende capaciteit om piekmomenten probleemloos op te vangen. Bij een cloudoplossing ligt de verantwoordelijkheid hiervoor volledig bij de IDaaS dienstverlener. Zorg ervoor dat de dienstaanbieder hierover heldere garanties biedt. Ook moet gepland onderhoud duidelijk worden gecommuniceerd en geen onverwachte of langdurige onderbreking opleveren. Vanzelfsprekend moet de oplossing automatisch kunnen op- of afschalen met veranderingen in het gebruik en/of gebruikersaantallen.

We maken bij Tools4ever gebruik van betrouwbare infrastructuur als Microsoft Azure en Google Cloud. Hierdoor zijn we in staat om een uptime garantie te bieden van 99,9%. Op de HelloID statuspagina is de actuele uptime en status van de HelloID-services transparant in te zien. Daarnaast hanteren we een helder maandelijks releaseproces waarbij alle klanten tijdig op de hoogte worden gesteld van aankomende wijzigingen, we videos publiceren en webinars organiseren omtrent de nieuwe functionaliteiten, en de releases zonder productieverstoring worden uitgerold.

7. Beheersbare en inzichtelijke kostenstructuur

Als een IAM-oplossing probleemloos kan meeschalen met het gebruik en de gebruikersaantallen, wil je dat uiteraard ook terugzien in de kostenstructuur. Zo is het voordeel van een cloud gebaseerde multi-tenant aanpak dat er veelal een transparant ‘Pay per Use’ of ‘Pay as you Go’ model wordt aangeboden, zonder grote investeringen en zonder langlopende financiële verplichtingen. Als je als klant ook de huidige kosten van je IAM-platform kent, en weet hoeveel tijd je kwijt bent aan handmatige activiteiten, ben je in staat een duidelijke IAM businesscase op te stellen.

HelloID kent een modulaire opzet waarbij je enkel betaalt voor de modules waar je gebruik van maakt. Dagelijks maakt HelloID per module een berekening van het aantal in gebruik zijnde licenties. Deze worden vervolgens maandelijks gefactureerd, met daarbij een duidelijk overzicht. Via het HelloID portaal houd je bovendien zelf eenvoudig zicht op het aantal gebruikte licenties. We proberen volledig transparant te zijn, en de actuele licentiekosten kun je eenvoudig berekenen via onze HelloID prijscalculator.

8. Beveiliging en compliancy

IAM vormt een van de pijlers onder je informatiebeveiliging. Het is het centrale punt voor de uitgifte en het beheer van gebruikersaccounts, de bijbehorende rechten en authenticatiemiddelen. Dat betekent uiteraard dat bij de ontwikkeling en het beheer van het gebruikte platform ook alle benodigde beveiligingsmaatregelen moeten zijn doorgevoerd, en alle beveiligingsrisico’s in kaart zijn gebracht en afgedekt. Dat omvat onderwerpen als toegangsbeveiliging en dataencryptie. Maar bij een cloud oplossing moet bijvoorbeeld ook duidelijk zijn of de data wordt opgeslagen binnen de EU. Los van technische ontwerprichtlijnen moet ook de productontwikkeling en verdere dienstverlening ISO 27001 gecertificeerd zijn, en compliant met de AVG richtlijnen. Daarnaast wil je dat de oplossing bijdraagt aan de compliance met specifieke sectornormen als de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510 (informatiebeveiliging binnen de zorg). Daarvoor is het onder meer belangrijk dat de IAM-oplossing alle acties automatisch registreert, het platform auditeerbaar is, en eenvoudig rapportages kan genereren.

Tools4ever is als organisatie volledig ISO 27001 gecertificeerd, wat betekent dat we onze processen goed op orde hebben. Daarbij hanteren we het meerdere ogen principe. Dit betekent dat Deloitte Risk Services de HelloID software periodiek audit met behulp van pentesten. Zo zorgen we ervoor dat we geen beveiligingsrisico’s missen, en onze klantgegevens veilig zijn. Wil je alles weten over de beveiligingsmaatregelen binnen HelloID? Of juist hoe HelloID bijdraagt aan het compliant worden aan informatiebeveiligingsrichtlijnen als ISO 27001, BIO of NEN 7510? Lees dan een van onze whitepapers waarbij we uitgebreid op zowel de beveiliging van HelloID als de bijdrage aan elke certificering in gaan.

9. Uitrol en migratiesupport

IAM is een centraal platform met koppelingen naar meerdere systemen. Zelfs een greenfield introductie vereist in dat geval een goede uitrolplanning. De migratie van een bestaande IAM-oplossing naar een nieuwe is uiteraard nog ingrijpender. Ook bij een standaard multi-tenant oplossing waarbij in principe het eigen IT team van de klant veel configuratiewerk kan uitvoeren, is het belangrijk dat er voldoende migratiehulpmiddelen zijn in de vorm van stappenplannen, blauwdrukken en migratietools. Check of een dienstverlener hierop is voorbereid. Voorkom een kostenpost achteraf omdat nog veel extra ondersteuning nodig blijkt tijdens de uitrol en migratie.

We hebben als Tools4ever duizenden IAM-implementaties uitgevoerd en op basis van deze ervaringen een duidelijke implementatieaanpak ontwikkeld. Hierdoor zijn we in staat om met grote precisie de duur van onze implementatietrajecten in te schatten. Je weet hierdoor als klant vooraf al goed wat je kan verwachten. In deze blauwdruk geven we een samenvatting van de belangrijkste stappen en aandachtspunten.

10. Last but not least: een klantgerichte roadmap

Hierboven zijn veel aandachtspunten verzameld om een identity and access management oplossing te selecteren die vanaf dag één voldoet aan je wensen. Maar is de oplossing ook toekomstbestendig? Groeit het platform mee met de veranderende eisen en wensen bij jou als klant? Luistert men naar de input van klanten en gebruikers en is er een transparante roadmap? Is de leverancier echt gefocust op identity management ontwikkelingen, of heeft men een enorm breed portfolio met verschillende productlijnen? Bespreek het met je leverancier en check de ervaringen van andere klanten. Je zoekt namelijk niet alleen een goede IAM-oplossing, je zoekt uiteindelijk een IAM partner.

Wil je meer weten over de roadmap van onze IAM-oplossing HelloID? Of heb je zelf wensen of ideeën voor de verdere doorontwikkeling van onze IAM-oplossingen? Bezoek dan onze roadmap en het bijbehorende feedbackportaal.

Conclusie

Alles bij elkaar gaat het dus bij de keuze voor een IAM-oplossing niet enkel om functionaliteit, technische opties en architectuurkeuzes. Net zo belangrijk is het deliverymodel, de implementatieaanpak en beheerondersteuning vanuit de leverancier. En omdat je een IAM-platform selecteert voor een langere periode, moet je ook een partner kiezen met een heldere roadmap en volop ruimte om betrokken te zijn bij de doorontwikkeling. Meer over de HelloID-oplossing vind je hier.

• HelloID
• IAM
• cloud
• compliancy
• migratie
• beveiliging
• oplossing