Identity and Access Management (IAM)

IAM handler grundlæggende om at have et system der holder styr på brugernes identitet og deres rettigheder til at tilgå/benytte ressourcer. Et godt IAM system er en nødvendighed i langt de fleste virksomheder/organisationer, og den sikkerhedsmæssige betydning af et IAM system kan ikke undervurderes.

Authentication og authorization

Et IAM opererer med to grundlæggende koncepter: Authentication og authorization. Authentication handler om at verificere, at brugeren rent faktisk er den som brugeren giver sig ud for at være. Det håndteres typisk via brugernavn og adgangskode, men også mere moderne former baseret på biometri (f.eks. fingeraftryk, ansigtsgenkendelse etc.) vinder frem. Ofte kombineres den indledende authentication med forskellige former for multi-faktor-authentication (MFA), f.eks. nøglekort, kode pr. SMS eller email, apps der genererer engangs-nøgler osv.

Authorization handler om rettigheder/tilladelser. Altså rettighed/tilladelse til at se eller benytte bestemte ting eller funktioner. Ofte er tildelingen af rettigheder og tilladelser struktureret ved hjælp af f.eks. brugergrupper, brugertyper og brugerroller.

Single Sign On (SSO)

Et IAM system kan også påtage sig rollen som et såkaldt "Single Sign On" (SSO) system. Via et SSO system kan man have et centraliseret IAM som andre selvstændige systemer kan benytte. I så fald skal IAM systemet tilbyde en Application Programming Interface (API) baseret løsning til at håndtere authentication og authorization. Et SSO system bliver meget hurtigt interessant i en moderne microservice-arkitektur. Så vidt muligt anbefaler LAIT at lade et dedikeret IAM system være en del af den samlede arkitektur. Sikkerhedsniveau, funktion under login og overblik bliver generelt bedre, og ansvaret for håndtering af kritisk data, som f.eks. adgangskoder og rettigheder, lægges i et system bygget hertil.

Systemer til IAM

Der findes en lang række software-as-a-services IAM systemer. Hos LAIT arbejder vi især med Microsoft Azure AD og Microsoft Azure AD BtC (business to customer), Auth0 og Okta. Disse løsninger er alle SAAS-systemer der tilbyder håndtering af brugerdatabaser, rettigheder og ikke mindst "Single Sign On".