Identity Management
Identity Management is het proces dat is gericht op het administreren van gebruikers van IT systemen en informatiesystemen.
Inhoud |
[bewerk] Terminologie
Identity management wordt over het algemeen gezien als een concept. Praktisch iedereen heeft een eigen definitie voor Identity management. In het algemene concept wordt met name gesproken over Bron- en Doelsystemen. Deze bronsystemen bevatten broninformatie en/of deelinformatie over een digitale identiteit welke procesmatig naar andere systemen wordt getransporteerd (provisioning) en w.v. (deprovisioning). De meest gebruikte bronsystemen zijn HRM systemen, CRM systemen en andere ideniteitbevattende systemen (bijv. Burgeradministraties en bedrijvenadministraties). Een digitale identiteit zijn kermerken van o.a. personen, maar ook digitale middelen. De voordelen van invoering van Identity management zijn legio maar, daardoor, voor iedereen anders. Vaak wordt identity management ingezet als kostenbesparend middel, voor beveiliging, auditing en compliancy.
Identity Management wordt vaak in een adem genoemd met Access Management, toegangscontrole. De afkorting IAM, voor Identity and Access Management, wordt dan ook vaak als gespreksonderwerp gebezigd.
[bewerk] Proces
Identity Management kent enkele deelprocessen.
[bewerk] Registratie
Onder registratie wordt bedoeld het plaatsen van de juiste identiteits informatie van bronsysteem naar doelsysteem. Binnen de grenzen van een organisatie kan dit zijn van een HRM systeem naar een directory (bijv. e-directory of Activ directory). Vanuit het centrale directory systeem kan voort procesmatige registratie plaatsvinden naar andere doelstememen. Voorbeelden van doelsystemen zijn ERP systemen, HR systemen, mailsystemen, portalen, financiele systemen etc. Anderen gebruiken i.p.v. directories databases. Het proces hierin is eender. Deze centrale opslag van identiteiten in een centraal systeem wordt ook wel een Identity vault (kluis) genoemd. Het is het eerste subproces in het Identity Life Cycle Management proces. Hierin worden mutaties binnen het bronsysteem geregistreerd. Het proces is uitdrukkelijk geen IT proces, het is onderdeel van de reguliere bedrijfsvoering. Er is natuurlijk wel een IT relatie, aangezien de registratie en de gevolgen ervan IT aspecten kennen.
[bewerk] Provisioning
Het belangrijkste proces is echter het Provisioning proces, dat zich richt op het toekennen van autorisaties en gebruikersrechten aan gebruikers van de informatiesystemen. Het contraproces is deprovisioning, wat exact omgekeerd werkt. Als een identiteit, door vooraf gedefinieerde regels, geen toegang meer mag hebben op bepaalde informatie binnen informatiesystemen, zal deze automatisch worden ontnomen. Het provisioning proces ook het koppelvlak met Access Management.
[bewerk] Access Control
Moderne toegangscontrole technieken zijn:
- Role Based Access Management (RBAM), toegang wordt bepaald op basis van de vooraf gedefinieerde rol van een gebruiker binnen een bedrijfsproces.
- Role Based Access Control (RBAC), toegang wordt automtisch bepaald op basis van de rol van een gebruiker binnen een bedrijfsproces.
- Rule Based Acces Control, toegang wordt bepaald via toegangsregels.
Een gerelateerd begrip is ook Single Signon, ofwel het mechanisme waardoor een gebruiker slechts één maal hoeft in te loggen om vervolgens meerder systemen en applicaties te kunnen gebruiken.
[bewerk] Ontwikkelingen
[bewerk] Federation
Er ontstaan steeds meer relaties tussen organisaties. Ketenintegratie en samenwerkingsverbanden ontstaan op grote schaal. Om processen over organisaties heen te integreren, is het nodig om zekerheid te verkrijgen over de identiteiten die betrokken zijn bij die processen. Het is echter niet altijd mogelijk om als organisatie alle identiteiten zelf te beheren. Om toch een betrouwbare registratie te verkrijgen, wordt meer en meer vertrouwd op de authenticatie van gebruikers door ketenpartners. Als een ketenpartner betrouwbaar wordt gevonden, dan zullen de medewerkers van die partner ook betrouwbaar zijn. De organisatie zal dan ook wensen om te vertrouwen op de identiteiten die de ketenpartner zelf ook vertrouwt. Het Federation mechanisme maakt dat mogelijk. Door toepassing van protocollen als SAML en WS-trust kan het identiteitenbeheer wordt overgedragen aan derden. DigiD is in Nederland een voorbeeld van federation binnen het overheidsdomein.
[bewerk] Identity 2.0
Tot nog toe werder [identiteit]]en beheerd door de organisaties zelf die bepalen wie toegang heeft tot de applicaties van die organisaties. Daarbij registreert elke organisatie zijn eigen gebruikers. In de huidige internetcultuur is dat niet langer een realistisch uitgangspunt. Gebruikers, individuen, willen zelf hun identiteit beheren en willen zelf de zeggenschap hebben over het verstrekken van identiteitgegevens, Die ontwikkeling wordt gestimuleerd door de web 2.0 gedachten. Voor het identiteitenbeheer betekent dat onder meer dat sprake is van het User Centric Indentity Management. Belangrijke ontwikkelingen zijn gestart na het formuleren van de Laws of Identity door Kim Cameron. De term die voor deze ontwikkeling wordt gebruikt heet Identity 2.0.
[bewerk] Protocollen
- SAML
- WS-security
[bewerk] Producten
Belangrijke leveranciers en hun producten zijn:
