In een vorige blog heb ik eens vijf eigenschappen behandeld die een API-managementoplossing moet hebben. Dit keer ga ik hetzelfde doen voor de Customer Identity- en Access Management-oplossingen die er tegenwoordig te krijgen zijn. “Customer Identity and Access Management (CIAM), wordt door Gartner gedefinieerd als het beheer van de authenticatie en autorisatie voor identiteiten van klanten.” Dat wil niet zeggen dat er buiten deze vijf eigenschappen geen andere belangrijke eigenschappen bestaan, maar vanuit een algemeen perspectief en mijn eigen ervaring zijn dit de vijf sleuteleigenschappen in een Customer Identity and Access Management-oplossing.
Als je op zoek bent naar een CIAM-oplossing, zullen verkopers in hun aanbod de eigenschappen presenteren die goed in hun system geïntegreerd zijn en de minder sterke eigenschappen qua implementatie onderbelichten. Dat is een natuurlijk proces, omdat iedereen dat doet. Een sollicitant zal altijd de dingen benadrukken waar hij of zij goed en trots op is. De mindere eigenschappen zal hij of zij er niet per se willen bespreken. Maar ongeacht of je iemand in dienst neemt of dat je een nieuwe Identity and Access Management-oplossing kiest, het komt erop aan dat je weet wat de belangrijkste eigenschappen zijn waar je op moet letten als je het aanbod beoordeelt.
Wat zijn deze vijf cruciale eigenschappen die je sowieso in je pakket wilt hebben? Dit is wat mij betreft de kern van een Identity and Access Management-oplossing:
1. Userstore naar keuze
Bovenaan de lijst staat, uiteraard, de mogelijkheid om een user store en verschillende opslagtechnieken te kunnen kiezen. Het maakt niet uit of je gaat voor LDAP, een Active Directory of een RDBMS userstore. In een Office-omgeving is er vaak al een bepaalde setup met een Active Directory userstore in gebruik, of werk je met al met Azure Active Directory accounts voor je Office 365 gebruikers, of is er eerder een keuze gemaakt voor een AWS User Store. Jouw userstores kunnen divers zijn, maar je zou nog steeds je CIAM-oplossing als enige administratiepunt moeten kunnen gebruiken. Ongeacht of je al een HR-systeem met een LDAP hebt waarmee je zult moeten verbinden. De oplossing zou het mogelijk moeten maken om verbinding te maken met de bestaande systemen om niet nog eens extra informatie op te hoeven slaan, maar juist alles te combineren tot een solide draaiende IDP (identiteitsaanbieder) als je de authenticatie niet uitbesteed hebt aan derden.
2. Uitbreidbaarheid
Als tweede eigenschap zou ik de support en uitbreidbaarheid van meerdere technologieën in deze CIAM-oplossing willen bespreken. Dit houdt in dat je in staat zou moeten zijn om Single Sign On met SAML, OpenID Connect en andere technologieën, naast mogelijkheden voor aangepaste technologieën, aan je systeem toe zou moeten kunnen voegen als extensie. Als je verbinding maakt tussen twee systemen, en je daarvoor tokens moet uitwisselen, is het pure noodzaak het gat te kunnen overbruggen als deze twee technologieën normaliter niet met elkaar kunnen communiceren.
De wereld van Identity and Access Management lijkt wat dat betreft op de wereld van de Enterprise Service Bus. Er zijn meerdere systemen die verbonden moeten worden die niet noodzakelijkerwijs dezelfde taal spreken.
Voornamelijk met CRM-systemen kan CIAM een waardevolle bron zijn. Als basisoptie kunnen CRM-klanten automatisch hun account krijgen voor de website, app, of wat je ook maar aanbiedt. Het werkt ook de andere kant om: iedereen die zich in een app of online registreert kan automatisch opgenomen werden in jouw CRM-systeem. Inzichten over gebruikers kunnen nog waardevoller worden wanneer je kunt inzien welke applicaties klanten gebruiken, hoe vaak en op welke tijd van de dag. Dat alles voegt waarde toe aan hun gebruikersprofiel. Je kunt zelfs waarschuwing krijgen op het moment dat een gebruiker zijn gedrag veranderd, bijvoorbeeld tegen het einde van zijn contract en klantbehoud verbeteren door hem proactief een aanbod te sturen.
3. Gefedereerde authenticatie
Als derde op mijn lijstje staat de eigenschap: gefedereerde authenticatie, inclusief ‘just in time provisioning’. Wat dit inhoudt is dat je een derde partij kunt integreren, een zogenoemde ‘gefedereerde authenticator’, bijvoorbeeld Yahoo, Google, Salesforce, maar ook diensten zoals Bitly en office 365, en je de gebruikers toestemming kunt geven om deze diensten te gebruiken in plaats van de huis-tuin-en-keukenoplossing die je zelf hebt.
Ook in dit geval is uitbreidbaarheid van levensbelang. De mogelijkheid om nieuwe gefedereerde authenticatoren aan het systeem toe te voegen, geeft mogelijkheden om nieuwe verbindingen met het platform te maken en het continu te verbeteren. Bijvoorbeeld met een nieuwe identiteitsdienst die op dit moment in trek is of een nieuw sociaal mediaplatform dat de wereld in een razend tempo veroverd en waar veel van jouw klanten al gebruik van maken. Integratie van die identiteitsdienst als een gefedereerde authenticator in jouw CIAM-oplossing zal het gebruik voor mensen makkelijker maken.
4. Gelaagde veiligheid
Als vierde heb ik gelaagde veiligheid op mijn lijstje staan. Niet alle diensten hebben hetzelfde veiligheidsniveau nodig, maar soms zou je wel en extra veiligheidslaag willen hebben, ofwel als standaard of als dynamische instelling.
Dit gaat over de mogelijkheid die je hebt om stappen aan het authenticatieproces toe te voegen, door bijvoorbeeld een multifactor authenticatie in te stellen, of een FIDO Alliance-sleutel, SMS OTP of nog een andere twee-factor check om het inlogproces veilig maar toch makkelijk te houden. En ja, dan heb ik ook over aanpasbare authenticatie en wachtwoordvrije benaderingen.
5. Identity API’s
Tot slot, op de vijfde plaats, los van dat de volgorde van de vijf niet per se heel veel zegt over de belangrijkheid, staan identity API’s. De afgelopen jaren hebben we een verschuiving gezien van op UI-gebaseerde configuraties waarin de organisatie centraal stond naar de situatie waarin de configuratie meer een meer programmatisch afspeelt. In andere woorden: het gebruik van identity API’s. Dit wordt de bepalende eigenschap van CIAM / Identity API-oplossingen.
Dit is belangrijk omdat het (zelf) beheren van gebruikersaccounts en hun rechten niet in een apart portaal behandeld hoeft te worden, maar ingebouwd kan worden als een deel van het normale werk wat mensen toch al doen – of het nu een CRM-applicatie is, een applicatie voor casemanagement of bijvoorbeeld een facturatie app.
Andere vereisten
Dit zijn de belangrijkste eigenschappen waarvan ik denk dat een CIAM-oplossing ze absoluut moet hebben. De lijst zou langer kunnen zijn, maar dan hangt het meer af van de wensen en eisen die jouw organisatie stelt. Daarom zul jij jouw eigen lijst met eisen moeten maken om een goede doordachte keuze te kunnen maken voor een CIAM-aanbieder.
Onze Identity and Access Management keuzegids kan je helpen om jouw lijst met eisen op te stellen, maar voel je vrij om ons te benaderen voor meer informatie en advies. We helpen je graag.
