Et IAM-system ikke er nok

IAM tool is not enough

Tradisjonelt har organisasjoner sikret sine identiteter og applikasjoner ved å lagre dem lokalt i et on-premises miljø. Her hadde kun autoriserte brukere tilgang til kritiske systemer. Men med overgangen til skyen og innføringen av hybride infrastrukturer, hvor data flyter fritt mellom on-premises og skybaserte plattformer, har tilgangsstyringen blitt langt mer kompleks.

IAM-systemer (Identity & Access Management) spiller en viktig rolle i moderne sikkerhetsstrategier, men de alene er ikke tilstrekkelige for å håndtere alle utfordringene som følger med å beskytte identiteter i et avansert miljø som Microsoft Entra ID.

Hva er Microsoft Entra ID og hva gjør det?

Microsoft Entra ID (tidligere kjent som Azure AD) er Microsofts omfattende skybaserte identitets- og tilgangsstyringsløsning. Entra ID hjelper organisasjoner med å sikre tilgang til applikasjoner og ressurser på tvers av et helt økosystem, inkludert Microsoft-skytjenester og tredjepartsapplikasjoner.

Entra ID er designet for å støtte en rekke moderne arbeidskrav, inkludert tilgangsstyring for interne ansatte, eksterne partnere, gjestekontoer, testkontoer, administratorkontoer og eksterne applikasjoner. Hver av disse identitetene har forskjellige tilgangsbehov, og det er kritisk at de er godt beskyttet og kun har de nødvendige rettighetene de faktisk trenger.

Microsoft Entra ID gir flere fordeler som både øker sikkerheten og effektiviteten for organisasjoner. Med funksjoner som multi-faktorautentisering (MFA) og Conditional Access beskytter det mot uautorisert tilgang. Single Sign-On (SSO) og applikasjonsintegrasjoner sørger for enkel og rask tilgang, noe som forbedrer produktiviteten. Systemet kan tilpasses behovene til både små og store bedrifter og støtter ulike brukertyper, fra ansatte til eksterne partnere. Som en del av Microsofts sikkerhetstjenester spiller Microsoft Entra ID en viktig rolle i å håndtere og sikre identiteter i vår digitale verden.

Utfordringene med Microsoft Entra ID er at dette er noe som er nytt for mange, det er veldig komplekst og har mange konfigurasjonsmuligheter som avhenger av hvilket lisensnivå organisasjonen har.

Organisasjonens data er nå tilgjengelig på internett, noe som stiller større krav til at man faktisk kjenner alle brukerkontoene man har, og sikrer disse godt. Dette er ikke et ansvar som en IT-avdeling kan ta alene. Ansvaret påligger den enkelte leder i bedriften å sikre at hen følger rutinene for ansettelse, innleie, endring og avslutning av arbeidsforhold. For å bistå den enkelte leder i disse aktivitetene tar ofte en HR-avdeling ansvar for disse prosessene og rutinene.

For brukertypene ansatte og innleide konsulenter vil ofte et «identity and access management»-system (IAM) hjelpe med å ta kontroll på at disse aktivitetene faktisk gjennomføres korrekt gjennom automasjon.

Hvordan fungerer et IAM-system

IAM-systemer integreres ofte med HR-systemer for å automatisere opprettelse, endring og sletting av brukeridentiteter. Når nye ansatte legges til i HR-systemet, kan IAM-systemet automatisk opprette brukerkontoer og tildele tilgangsrettigheter basert på den ansattes rolle. Dette sikrer en effektiv og sikker onboarding-prosess.

I samarbeid med Microsoft Entra ID kan IAM-systemet benytte Entra ID’s robuste autentiserings- og autorisasjonsmekanismer for å gi tilgang til relevante Microsoft og tredjepartsapplikasjoner. Når ansatte endrer roller eller forlater selskapet, oppdaterer HR-systemet IAM-systemet, som justerer eller fjerner tilgangsrettigheter. Dette sikrer at tilgangen alltid er oppdatert og i tråd med selskapets sikkerhetspolicy og brukernes aktuelle jobbfunksjoner.

Utfordringer med Entra ID vs IAM

Så hva er det som kan gå feil?

Til tross for sine mange fordeler, må man ikke gå i fellen og tro at et IAM-system løser utfordringene en IT-avdeling står overfor med å holde oversikt over alle identitetene i Entra ID.

  1. Manglende helhetlig oversikt: IAM-systemer tar bare kontroll over brukerkontoene tilhørende de personer som er definert i HR-systemet, men i Entra ID finnes det mye mer. Dette inkluderer gjestekontoer, testkontoer, administratorkontoer, eksterne brukere og servicekontoer. Dette kan føre til at man mister oversikten over alle identitetene som har tilgang til systemene. Systemet rydder heller ikke opp i alle de historiske brukerkontoene som ligger i Entra ID, og det er fremdeles mulig å opprette brukerkontoer direkte i Entra ID som det ikke er naturlig å definere i HR-systemet.

  2. Kompleks lisens- og tilgangsstyring: Et IAM-system kan tildele lisenser og rettigheter basert på regelsett, men klarer man å kontrollere at reglene fungerer som tiltenkt? Vi har møtt selskaper som oppdager at regelsettene deres ikke oppnår de ønskede resultatene når de ser den reelle bruken i sitt Microsoft Entra ID-miljø.

Se vårt webinar, der vi forklarte mer om hvordan ulike identiteter oppstår i Entra ID.

Konklusjon

Mens et IAM-verktøy er nyttig for å holde god kontroll over de nåværende ansattes brukerkontoer, vil Microsoft Entra ID inneholde mange kontoer som ikke styres av IAM-verktøyet. Entra ID styrer rettigheter og tilganger, og enhver identitet som ligger der er en form for nøkkel til IT-systemet med sine tilganger. Derfor er det kritisk å vite hvem de er, hva de gjør og hvordan de er sikret. Med et verktøy som gir deg innsikt i alle identiteter i ditt Entra ID, hva de gjør og hvilke tilganger de har, kan man også sikre at IAM-verktøyene faktisk gjør det de skal for de brukerkontoene de er konfigurert til å håndtere. Man får verdifull innsikt som gir muligheten til å sikre identiteter og å optimalisere lisenskostnadene, noe som gir fleksibilitet og skalerbarhet i den digitale tidsalderen.

Det hjelper ikke å innføre «zero-trust» prinsipper om en ondsinnet aktør gjetter riktig brukernavn og passord kombinasjon på en av dine gamle brukerkontoer, registrerer MFA og således tilfredsstiller disse prinsippene. Derfor må man vite at brukerkontoen til ola.nordmann@organisasjon.com faktisk brukes av en person med navn Ola og ikke av en røver.

Les mer av våre blogger

Meld deg på vårt nyhetsbrev!

Meld deg på vårt nyhetsbrev og få jevnlige oppdateringer fra oss i Bsure.

Takk! Du er nå påmeldt nyhetsbrevet vårt!