QNH gebruikt cookies op haar website om het gebruik van de website te analyseren, gebruiksgemak te verbeteren, voor social media en om ervoor te zorgen dat u relevante informatie te zien krijgt wanneer u gebruik maakt van de QNH website. Meer informatie over de cookies kunt u vinden in ons privacy- en cookiestatement. Door akkoord te gaan met onze cookies gaat u akkoord met de bovenstaande cookies. Gaat u niet akkoord dan worden alleen de functionele cookies ingeladen, sommige functionaliteiten zullen dan ook uitgeschakeld zijn. U geeft door gebruik te blijven maken van deze website toestemming voor het gebruik van cookies en het verwerken van op deze wijze verkregen persoonsgegevens, zoals in ons privacystatement vermeld.

[Deze blog is geschreven door Sander van Caspel, Security Consultant bij QNH Consulting]

IDaaS is net als de bekende SaaS, PaaS en IaaS een cloud delivery platform. IDaaS legt de focus op het leveren van Identity and Access management (IAM) functionaliteiten vanuit de cloud. Een van de Unique Selling Points van IDaaS is het pay-per-use principe. Dit houdt in dat alleen voor resources wordt betaald die men werkelijk gebruikt. De belangrijkste schakelingen in IDaaS bevinden zich tussen de Service Provider (SP) en de Identity Provider (IdP).

Voor de meeste organisaties heeft een hybride IDaaS platform momenteel de voorkeur. Dit komt omdat een hybride IDaaS omgeving, die bestaat uit een cloud platform gekoppeld aan een on-premise systeem (bijvoorbeeld een Active Directory (AD)), meer controle en functionaliteit kan bieden dan de losstaande IDaaS (cloud) platformen. Tevens is met een hybride IDaaS aanpak veel meer maatwerk mogelijk. Maar dit is natuurlijk afhankelijk van de gewenste functionaliteiten die een organisatie zoekt.

IDaaS werkt erg gunstig indien veelvoudig gebruik wordt gemaakt van SaaS diensten. Dit principe geldt ook voor PaaS en zelfs in sommige gevallen ook voor IaaS. Omdat de gemiddelde eindgebruiker veel meer SaaS dan Paas of IaaS diensten gebruikt, is de meerwaarde van IDaaS sneller zichtbaar bij het gebruik van meerdere SaaS diensten. In 2016 is bekend gemaakt dat meer dan de helft van de Nederlandse bedrijven al SaaS diensten gebruikt.

Over het algemeen geldt; hoe meer SaaS diensten een organisatie gebruikt, hoe effectiever en efficiënter het wordt om over te stappen naar een IDaaS platform. Waarom? Ik licht een aantal voordelen toe.

Voordeel 1: User Provisioning

Het aantal gebruikersaccounts met passende rechten (autorisatie) dat aangemaakt, aangepast en verwijderd dient te worden stijgt enorm. Dit kan resulteren in risicovolle situaties. Voorbeelden hiervan zijn eindgebruikers die verkeerde of teveel rechten ontvangen. Daarnaast moeten deze gebruikersaccounts ook nog worden verwijderd na het beëindigen van een dienstverband. Dit is inclusief alle aangemaakte koppelingen naar andere diensten. De implementatie van een fatsoenlijk user provisioning proces biedt hier een goede oplossing.

User provisioning is een proces binnen het IAM domein dat ervoor zorgt dat gebruikers automatisch aangemaakt, gewijzigd, gedeactiveerd en verwijderd kunnen worden. Omdat een IDaaS platform (gedeeltelijk) in de cloud leeft, is het opzetten van connectiepunten naar de betreffende (SaaS) diensten een stuk eenvoudiger. Echter het IDaaS platform (welke optioneel gesynchroniseerd kan worden met een on-premise AD omgeving) federeert het gebruikersaccount vanuit de cloudomgeving naar de Service Provider. De truc ligt hier dus in het laten identificeren van je eigen gebruikersaccount door de Service Provider. Tijdens het provisioningproces wordt meestal gebruik gemaakt van API’s (SCIM/REST). Hetzelfde geldt voor de de-provisioning (afmelden/verwijderen op de Service Provider) van de gebruikers. Indien iets dieper in de techniek wordt gedoken, blijkt dat de focus van deze provisioning is gelegd op het onderliggend communicatieprotocol. Veel gebruikte en erkende standaarden hiervoor zijn SAML, OpenID Connect en OAuth2.

Voordeel 2: Single Sign-On (SSO)

Door de enorme stijging in het aanbod van SaaS diensten ontvangen eindgebruikers hierdoor een grote stijging in usercredentials. In sommige gevallen kan dit oplopen tot meer dan 20 verschillende soorten usercredentials. Dit brengt risico’s met zich mee, bijvoorbeeld door het gebruik van hetzelfde wachtwoord op meerdere accounts. Door middel van SSO te implementeren hebben eindgebruikers slechts één gebruikersaccount dat ze kunnen gebruiken om in te loggen op meerdere diensten. Dit creëert niet alleen een veiligere omgeving voor de organisatie, maar ook meer gemak en efficiëntie voor de eindgebruiker.

SSO is een bijkomend voordeel van een IDaaS omgeving. Dit komt omdat de focus van IDaaS moet liggen op het federeren van digitale identiteiten. Een logisch gevolg hiervan is SSO. SSO is een gebruikers en-/of serviceauthenticatieproces dat ervoor zorgt dat een eindgebruiker via één set usercredentials toegang kan krijgen tot meerdere diensten. Dit komt doordat een IDaaS omgeving vooral is gebouwd voor het federeren van digitale identiteiten. Hierdoor houd je slechts één gebruikersaccount, die je kunt gebruiken bij meerdere (SaaS) diensten. SSO mag niet de enige reden zijn voor een organisatie om over te stappen naar een IDaaS omgeving. Dit komt in de praktijk wel af en toe voor. Om alleen SSO te realiseren binnen een bedrijf zijn er vaker meer passende en goedkopere oplossingen te vinden op de markt. Denk bijvoorbeeld aan ADC’s, ADFS of zelfs passwordmanagement oplossingen.

Voordeel 3: Stijgende vraag van IDaaS

Doordat de vraag naar IDaaS stijgt, krijgen IDaaS leveranciers meer ruimte om uit te breiden. Hierdoor komen er meer flexibele toepassingsmogelijkheden voor IDaaS platformen. Zo ontstaat er een flexibel platform, gefocust op het federeren van digitale identiteiten met meer aanknopingsmogelijkheden voor andere diensten en/of benodigdheden.

IDaaS verbetert, breidt uit en ziet een stijgend aantal implementaties. Echter de term “IDaaS” wordt niet vaak gebruikt. Wel vragen organisaties vergelijkbare functionaliteiten. Deze functionaliteiten duiden meestal op uitbreidingen van het standaard IDaaS platform. De uitbreidingen variëren van organisatie tot organisatie. Een voorbeeld hiervan is een organisatie die zelf SaaS diensten levert aan haar klanten. Omdat deze organisatie hierdoor te maken krijgt met grote hoeveelheden eindgebruikers, kan IDaaS in combinatie met een Business to Consumer (B2C) solution hier antwoord op bieden. Indien een organisatie nauw samenwerkt met één of meerdere organisaties (zoals een (gedeeltelijke) fusie) kunnen deze digitale identiteiten van beide organisaties gebruik maken van elkaars resources. Dit kan worden gerealiseerd met een Business to Business (B2B) solution. Denk hierbij aan een soort federatie tussen domeinen, waarbij toch een duidelijke scheiding blijft tussen de organisaties. Hierdoor kunnen eindgebruikers van organisatie A met hetzelfde gebruikersaccount gebruikmaken van applicaties van organisatie B. Dit resulteert onder andere in minder licentie- en beheerkosten voor beide organisaties. Voorbeelden van IDaaS leveranciers zijn Microsoft, Ping Identity, Centrify en Okta. In de laatste jaren is daarom ook een duidelijke opkomst te zien in de vraag naar IDaaS omgevingen. In 2016, maakte onderzoeksbureau Gartner bekend dat 20 procent van de IAM-aankopen is vervangen door een IDaaS aankoop. Gartner schat dat dit percentage in 2020 veranderd naar 40 procent.


Delen op social media


Contact

Amsterdam

+31 20 460 9609

Rotterdam

+31 10 333 0813

Groningen

+31 50 520 1888

Eindhoven

+31 40 230 5624

Maastricht

+31 43 207 3050

Hasselt (België)

+32 11 771 277

Twitter