Hoe selecteer ik een IAM-oplossing

Om allerlei redenen kan het nodig zijn een nieuwe Identity & Access Management (IAM) oplossing te selecteren. Zo willen startende bedrijven vaak direct hun account- en toegangsbeheer professioneel opzetten, terwijl veel bestaande organisaties op zoek zijn naar een vervanging voor hun inmiddels gedateerde “IAM-systeem”. Zo’n systeem is vaak nog een beperkte on-premise oplossing en soms (deels) zelf ontwikkeld omdat destijds het aanbod nog beperkt was. Inmiddels is zo’n systeem duur om te onderhouden, verre van gebruiksvriendelijk en niet toekomstbestendig. Dit laatste vooral omdat met de voortgaande digitalisering en het belang van informatiebeveiliging er veel meer eisen worden gesteld. Zo zijn eerdere IAM-oplossingen vaak vooral ontwikkeld om het gebruikersbeheer efficiënter te maken. Vandaag de dag speelt IAM echter ook een sleutelrol bij de informatiebeveiliging en compliancy met wet- en regelgeving. Waar moet je op letten als je een moderne IAM-oplossing gaat selecteren? In de onderstaande blog verzamelen we 10 aandachtspunten.

IAM on-premise of als clouddienst?

Net als andere IT-systemen zijn ook veel IAM-systemen tegenwoordig als cloudoplossing beschikbaar. Veel klanten zoeken zo’n cloud aanpak, zeker als men het verdere IT-landschap ook naar de cloud migreert. Wel is het belangrijk om na te gaan hoe zo’n cloudoplossing tot stand is gekomen. Oplossingen waarbij feitelijk een bestaand on-premise systeem doormiddel van bijvoorbeeld rehosting is omgezet naar een cloud platform levert vaak geen structureel betere oplossing. Ga op zoek naar een IAM-oplossing die ‘cloud-native’ is ontwikkeld en volledig ontworpen vanuit de mogelijkheden en uitgangspunten van cloudtechnologie. Vaak zie je dat terug aan het ondersteunde ‘delivery model’ van de IAM-oplossing. Biedt men enkel een single-tenant oplossing, of wordt daadwerkelijke een multi-tenant Identity-as-a-Service (IDaaS) oplossing aangeboden?

Bij een single-tenant oplossing wordt voor iedere klant een eigen, onafhankelijk platform samengesteld en gehost met daarop de eigen klantdata en koppelingen naar de overige systemen. Hiermee houd je als klant uiteraard veel grip op de platforminstellingen, het beheer, updates en de productontwikkeling. Nadeel ervan is echter de relatief grote beheercomplexiteit en de bijbehorende hoge kosten. Voor grote enterprise organisaties is daarvoor misschien nog een businesscase te maken, maar voor middelgrote en kleinere klanten lijkt het zinvoller direct in te zetten op een zogenaamde multi-tenant omgeving.

Een multi-tenant platform zoals HelloID is ontwikkeld om de voordelen van de cloud optimaal te benutten. Bij zo’n cloud-native oplossing delen klanten één gezamenlijk IAM-platform dat centraal wordt beheerd en doorontwikkeld. Op dat platform beschikt iedere tenant (huurder) over dezelfde standaardfunctionaliteit en heeft iedereen direct de beschikking over de laatste updates en nieuwe features. De dienstverlener zorgt voor de capaciteitsplanning, prestatiemanagement en redundantie zodat de functionaliteit voor alle klanten altijd beschikbaar is. De architectuur en uitgebreide beveiligingsmaatregelen garanderen dat iedere klant alleen toegang heeft tot de eigen gegevens en instellingen.

Functionaliteit en flexibiliteit van de IAM-oplossing

Uiteraard is het ook belangrijk om kritisch naar de beschikbare functionaliteit te kijken. Bij sommige IAM-software ligt de aandacht nog primair op de authenticatiefunctionaliteit. En authenticatie speelt natuurlijk ook een belangrijke rol binnen Identity en Access Management. Zeker met het groeiende belang van Multi Factor Authenticatie (MFA) en allerlei toegangsinnovaties (zoals biometrische technologie). Maar het is zeker niet het enige belangrijke IAM-component.

Access management voor single sign-on en multi factor authenticatie

We zien dat veel organisaties juist dat authenticatie element steeds vaker onderbrengen bij third-party Identity Providers (IDP’s) als Microsoft (Azure) Active Directory of Google Workspace. Of op zijn minst dat de primaire authenticatie via deze platformen verloopt. Maar dan nog is het belangrijk om de behoeften van en eisen voor de gehele gebruikerspopulatie in acht te nemen. Zo zien we vaak dat speciale gebruikersgroepen als gasten of cliënten niet in de reguliere IDP zijn ondergebracht en dit vanwege hoge kosten ook niet wenselijk is. Een access management oplossing met een clouddirectory en uitgebreide MFA-functionaliteiten kan in dit geval uitkomst bieden om ook de authenticatie voor deze gebruikersgroepen veilig te laten verlopen. Na de primaire authenticatie biedt single sign-on een gebruiksvriendelijke manier om gebruikers toegang te bieden tot hun applicaties. Een overzichtelijk applicatiedashboard, eventuele integratie binnen je bestaande portalen, en ondersteuning voor je applicatielandschap is dan ook cruciaal.

Provisioning voor geautomatiseerd gebruikers- en autorisatiebeheer

Zo willen veel organisaties de uitgifte en het beheer van gebruikersaccounts en de bijbehorende toegangsrechten volledig automatiseren. Vrijwel alle gebruikerstaken kunnen met een geavanceerde provisioning module worden gestroomlijnd, vanaf de account uitgifte bij onboarding van nieuwe medewerkers tot en met automatische rechtenaanpassingen als mensen doorstromen naar andere functies. Ook kan de user provisioning-functionaliteit zorgen voor een correcte afwikkeling bij het vertrek van medewerkers, zodat geen kostbare licenties onnodig actief blijven of er datalekken ontstaan via ‘vergeten’ gebruikersaccounts. Cruciaal daarbij is dat de IAM-omgeving een autorisatiemodel als Role Based Access Control (RBAC) en/of Attribute Based Access Control (ABAC) heeft ingebouwd zodat automatisch iemands rechten steeds in lijn blijven met de actuele situatie en diens rol.

Service Automation voor self-service ten behoeve van uitzonderingen

Met bovenstaande provisioning en RBAC/ABAC functionaliteit borg en automatiseer je het account- en toegangsbeleid van je organisatie. Tegelijkertijd moet een IAM-oplossing voldoende ruimte bieden voor uitzonderingen. Als iemand bijvoorbeeld tijdelijk een Visio licentie nodig heeft tijdens een project, moet dat eenvoudig te regelen zijn. Een moderne IAM-oplossing moet dan ook uitgebreide mogelijkheden bieden voor verdere procesautomatisering en self-service. Naast basale zaken als password resets (die veelal via de IDP worden afgehandeld) gaat het dus ook om naamwijzigingen en het online aanvragen van (tijdelijke) applicatielicenties en de geautomatiseerde workflow om de betrokken managers om goedkeuring te vragen. Bij moderne IAM-oplossingen gaat het dus om veel meer dan Access Management; het betreft ook het managen van de volledige account- en rechtenlevenscyclus, vanaf de onboarding tot aan het vertrek uit de organisatie. En dat niet alleen voor het eigen personeel, maar ook voor bijvoorbeeld flexwerkers, cliënten, patiënten, leerlingen en partners.

Flexibiliteit om de IAM-oplossing op je IT-omgeving aan te passen

Let hierbij nadrukkelijk op de flexibiliteit van het platform. Ook bij een multi-tenant platform dat is gebaseerd op een standaard applicatie moeten er met behulp van configuratiemogelijkheden, opties en API’s voldoende mogelijkheden zijn om het IAM te finetunen naar de eigen omstandigheden en wensen. Je wilt niet in een blackbox terechtkomen waarbij je jouw omgeving moet gaan aanpassen aan de IAM-oplossing in plaats van dat je de IAM-oplossing kan configureren naar jouw omgeving. Niet voor niets kijken wij bij de ontwikkeling van HelloID heel bewust naar waar we, ondanks de focus op standaardisatie en grafische interfaces, ook de mogelijkheid moeten behouden voor de inzet van algemeen bekende scripttalen als JavaScript en PowerShell. Zo is er altijd een terugvalmogelijkheid voor specifieke klantwensen. Want hoewel er veel overeenkomsten tussen organisaties zijn, moeten we ook de verschillen zeker niet vergeten.

Integratiemogelijkheden met zowel on-premise als cloudapplicaties

Een IAM-oplossing zal vandaag de dag ook gekoppeld moeten worden aan tal van third party systemen. Naast koppelingen met HRM en andere bronsystemen moet de IAM-oplossing ook samenwerken met de doelapplicaties waarbinnen het IAM de gebruikers en rechten gaat beheren. En al kies je bewust voor een cloudgebaseerde IAM-oplossing, het is nog steeds belangrijk dat je ook kunt koppelen met on-premise systemen. Zeker netwerksystemen en fysieke beveiligingssystemen (zoals sleutelkluizen) draaien nog vaak lokaal. In deze gevallen wil je niet twee separate IAM-oplossingen in gebruik moeten nemen. Juist als de IAM-oplossing beiden ondersteunt kan het een waardevol hulpmiddel zijn gedurende de transitie van je organisatie naar de cloud. Ook zijn bijvoorbeeld koppelingen nodig met service management, beveiligings- en rapportageapplicaties. En kies je voor een separate access management oplossing dan moet integratie met het eigen gebruikersportaal of -intranet van de klant een vanzelfsprekendheid zijn.

De geselecteerde IAM-oplossing moet dus uitgebreide mogelijkheden hebben om deze koppelingen te realiseren zonder dat het omliggende IT-landschap hoeft te worden aangepast. Men moet dus meer dan alleen de open standaarden als SCIM (die vooralsnog slechts zeer beperkt worden toegepast) ondersteunen. Ook eventuele specifieke productkoppelingen moeten beschikbaar zijn of snel ontwikkeld kunnen worden. Een ruime set bestaande en waar mogelijk gecertificeerde connectoren is belangrijk om betrouwbaar, eenvoudig en snel met veelgebruikte applicaties te koppelen. Maar ook een open architectuur en de benodigde wendbaarheid om zelf nieuwe koppelingen toe te voegen is essentieel. Dit voorkomt enerzijds dat je afhankelijk wordt van je IAM-leverancier, maar anderzijds ook dat je niet beperkt wordt in het koppelen met bijvoorbeeld zelfontwikkelde applicaties of exotische systemen.

Een oplossing als HelloID biedt een uitgebreide connectorencatalogus waarvanuit eenvoudig met honderden veelvoorkomende applicaties kan worden gekoppeld. Wanneer een connector nog niet beschikbaar is ontwikkeld Tools4ever deze kosteloos. Maar ook elke klant zelf heeft de mogelijkheid om (eventueel aan de hand van voorbeeldtemplates) connectoren te ontwikkelen. Dit kan op basis van een grote verscheidenheid aan technologieën als SCIM, REST/JSON, SOAP/XML, ODBC, SQL, CSV, XML, etc.

Goede User Experience voor gebruikers én support medewerkers

Werknemers hebben vandaag de dag vaak toegang tot tientallen applicaties, op hun computer maar ook via tablets en smartphones. Ook klanten, partners en externe krachten hebben vaak direct toegang tot applicaties en data. De voordelen van deze digitalisering en het hybride werken zijn voor iedereen duidelijk, maar het maakt de rol van je IAM-systeem nóg belangrijker. Niet alleen moet de toegangsbeveiliging waterdicht zijn, de IAM oplossing moet tegelijkertijd volledig intuïtief en gebruiksvriendelijk werken. Dat geldt uiteraard voor de reguliere authenticatie en toegangsverificatie (inclusief SSO en MFA), maar ook voor het aanvragen van extra applicaties of het herstellen van een wachtwoord. Nergens mag de IAM-software een storende factor vormen tijdens iemands zogenaamde user journey.

Die eis gaat overigens verder dan eindgebruikers. Soms is software zeer gebruiksvriendelijk voor eindgebruikers, maar moeten beheerders zich nog behelpen met tekstschermen, scripts en custom code. Dit is dan ook vaak een belangrijk aandachtspunt bij een IAM-selectie. Ook beheerteams krijgen te maken met een veel krachtiger IAM-platform met tal van beheeropties, instellingen en uitbreidingsmogelijkheden. Alleen met een intuïtieve, grafische beheerinterface kun je die mogelijkheden als beheerder ook echt benutten. Als je iets niet begrijpt, is het belangrijk om ter naslag terug te kunnen grijpen op documentatie. Hiervoor is het dan wel belangrijk  om na te gaan of deze inderdaad beschikbaar en voldoende up-to-date is.

Daarnaast is het ook belangrijk om in gedachten te houden dat IAM meer is dan alleen een technische oplossing. IAM reikt verder dan je IT-afdeling alleen en grijpt in op belangrijke organisatieprocessen. Om echt alles uit een IAM-oplossing te kunnen halen is het daarom belangrijk dat er voldoende trainingsmogelijkheden zijn die niet alleen de software, maar juist ook de businesszijde behandeld. Vanuit Tools4ever bieden we zowel certificeringstrajecten voor de softwaremodules als de zogenaamde businessimpact (of businessconsultancy) trainingen volledig kosteloos aan. Veel softwarebedrijven die trainingen aanbieden faciliteren dit volledig vanuit een online platform. Wij kiezen er voor om onze maandelijkse kosteloze trainingen door ervaren business- en implementatieconsultants te geven. Zo kunnen we elke training aanpassen aan de kennisniveaus van de deelnemers en is er voldoende ruimte voor persoonlijke interactie.

Een eenvoudig te beheren IAM-oplossing

Het is dus vaak een eis dat het core platform weinig onderhoud vraagt en dat updates automatisch en probleemloos worden doorgevoerd. Vervolgens wil je als klant eenvoudig de eigen instellingen en gegevens kunnen beheren, maar ook zelf optionele features en koppelingen kunnen configureren en activeren. Faciliteert de leverancier dit met toegankelijke en heldere documentatie en training? Zorgt men dat klanten onderling kennis en ervaringen kunnen uitwisselen? En mocht je er als klant niet uitkomen, is er dan een supportteam dat kan inspringen bij issues en eventueel ook onsite kan ondersteunen? Als klant wil je graag zelf controle hebben, maar ook  zekerheid dat er een fall-back is als dat nodig is.

Daarnaast moet het ook mogelijk zijn dat je als klant het beheer kunt uitbesteden aan een system integrator of managed service provider. Inclusief koppelingen tussen het IAM-platform en managementsystemen van die service provider. Zo bouw je wederom minder afhankelijkheid op van één specifieke leverancier. Daarnaast beperkt het je niet in eventuele toekomstige en nog onvoorziene keuzes tot uitbesteding. Op onze partnerpagina vind je de tientallen Nederlandse managed service providers die gecertificeerd zijn in het ontwerp, implementatie en beheer van de IAM-oplossing HelloID.

Betrouwbaarheid, prestaties en schaalbaarheid

Een IAM-oplossing zit als een spin in het web van je IT-landschap en speelt een rol in vrijwel alle IT-processen. Daarom moet de IAM-functionaliteit altijd functioneren en optimaal presteren, zonder vertragingen en met voldoende capaciteit om piekmomenten probleemloos op te vangen. Bij een cloudoplossing ligt de verantwoordelijkheid hiervoor volledig bij de IDaaS dienstverlener. Zorg ervoor dat de dienstaanbieder hierover heldere garanties biedt. Ook moet gepland onderhoud duidelijk worden gecommuniceerd en geen onverwachte of langdurige onderbreking opleveren. Vanzelfsprekend moet de oplossing automatisch kunnen op- of afschalen met veranderingen in het gebruik en/of gebruikersaantallen.

We maken bij Tools4ever gebruik van betrouwbare infrastructuur als Microsoft Azure en Google Cloud. Hierdoor zijn we in staat om een uptime garantie te bieden van 99,9%. Op de HelloID statuspagina is de actuele uptime en status van de HelloID-services transparant in te zien. Daarnaast hanteren we een helder maandelijks releaseproces waarbij alle klanten tijdig op de hoogte worden gesteld van aankomende wijzigingen, we videos publiceren en webinars organiseren omtrent de nieuwe functionaliteiten, en de releases zonder productieverstoring worden uitgerold.

Beheersbare en inzichtelijke kostenstructuur

Als een IAM-oplossing probleemloos kan meeschalen met het gebruik en de gebruikersaantallen, wil je dat uiteraard ook terugzien in de kostenstructuur. Zo is het voordeel van een cloud gebaseerde multi-tenant aanpak dat er veelal een transparant ‘Pay per Use’ of ‘Pay as you Go’ model wordt aangeboden zonder grote investeringen en zonder langlopende financiële verplichtingen. Als je als klant ook zicht hebt of de huidige kosten van je IAM-platform en de tijdsbesteding aan handmatige activiteiten, ben je in staat een duidelijke IAM businesscase op te stellen.

HelloID kent een modulaire opzet waarbij je enkel betaalt voor die modulen waar je gebruik van maakt. Dagelijks maakt HelloID per module een berekening van het aantal in gebruik zijnde licenties. Deze worden vervolgens maandelijks gefactureerd, met daarbij een duidelijk overzicht. Via het HelloID portaal houd je bovendien zelf eenvoudig zicht op het aantal gebruikte licenties. Daar we volledige transparantie nastreven zijn de actuele licentiekosten eenvoudig te berekenen via onze HelloID prijscalculator.

Beveiliging en compliancy

IAM vormt een van de pijlers onder je informatiebeveiliging. Het is het centrale punt voor de uitgifte en beheer van gebruikersaccounts, de bijbehorende rechten en authenticatiemiddelen. Dat betekent uiteraard dat bij de ontwikkeling en het beheer van het gebruikte platform ook alle benodigde beveiligingsmaatregelen moeten zijn doorgevoerd en alle beveiligingsrisico’s in kaart zijn gebracht en afgedekt. Dat omvat uiteraard onderwerpen als toegangsbeveiliging en dataencryptie. Maar bij een cloud oplossing moet bijvoorbeeld ook duidelijk zijn of de data wordt opgeslagen binnen de EU. Los van technische ontwerprichtlijnen moet ook de productontwikkeling en verdere dienstverlening ISO 27001 gecertificeerd zijn en compliant met de AVG richtlijnen. Daarnaast wil je dat de oplossing bijdraagt aan het voldoen aan specifieke sectornormen als de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510 (informatiebeveiliging binnen de zorg). Daarvoor is het onder meer belangrijk dat de IAM-oplossing alle acties automatisch geregistreerd en de oplossing auditable is waarbij je eenvoudig rapportages kan genereren.

Tools4ever is als organisatie volledig ISO 27001 gecertificeerd, wat betekent dat we onze processen goed op orde hebben. Maar desalniettemin geloven wij ook in het meerdere ogen principe. Dit betekent dat Deloitte Risk Services de HelloID software periodiek audit middels pentesten. Zo zijn wij er zeker van dat we geen mogelijke beveiligingsrisico’s missen en onze klantgegevens veilig zijn. Wil je alles weten over de beveiligingsmaatregelen binnen HelloID? Of juist hoe HelloID bijdraagt aan het compliant worden aan informatiebeveiligingsrichtlijnen als ISO 27001, BIO of NEN 7510? Lees dan een van onze whitepapers waarbij we uitgebreid op zowel de beveiliging van HelloID als de bijdrage aan elke certificering in gaan.

Uitrol en migratiesupport

IAM is een centraal platform met koppelingen naar soms tientallen systemen. Zelfs een greenfield introductie vereist in dat geval een goede uitrolplanning. De migratie van een bestaand IAM naar een nieuwe oplossing is uiteraard nog ingrijpender. Ook bij een standaard multi-tenant oplossing waarbij in principe het eigen IT team van de klant veel configuratiewerk kan uitvoeren, is het belangrijk dat er voldoende migratiehulpmiddelen zijn in de vorm van stappenplannen, blauwdrukken en migratietools. Check of een dienstverlener hierop is voorbereid. Voorkom een kostenpost achteraf omdat nog veel extra ondersteuning nodig blijkt tijdens de uitrol en migratie.

We hebben als Tools4ever duizenden IAM-implementaties uitgevoerd en op basis van deze ervaringen een duidelijke implementatieaanpak ontwikkeld. Hierdoor zijn we in staat om met grote precisie de duur van onze implementatietrajecten in te schatten. Maar je weet hierdoor ook als klant vooraf al goed wat je kan verwachten. In deze blauwdruk geven we een samenvatting van de belangrijkste stappen en aandachtspunten.

Last but not least: een klantgerichte roadmap

Hierboven zijn veel aandachtspunten verzameld om een IAM te selecteren dat vanaf dag één voldoet aan je wensen. Maar is de oplossing ook toekomstbestendig? Groeit het platform mee met de veranderende eisen en wensen bij jou als klant? Luistert men naar de input van klanten en gebruikers en is er een transparante roadmap? Is de leverancier echt gefocust op identity management ontwikkelingen, of heeft men een enorm breed portfolio met verschillende productlijnen? Bespreek het met je leverancier en check de ervaringen van andere klanten. Uiteindelijk zoek je niet enkel een goede IAM oplossing, je zoekt uiteindelijk een IAM partner.

Wil je meer weten over de roadmap van onze IAM-oplossing HelloID? Of heb je zelf wensen of ideeën voor de verdere doorontwikkeling van onze IAM-oplossingen? Bezoek dan onze roadmap en het bijbehorende feedbackportaal.

• HelloID
• iam
• cloud
• compliancy
• migratie
• Beveiliging
• oplossing