Weg met shitty sign-on!

 
4 juni 2014

Door Marco Gianotten

Gebruikers worden gek van tokens, complexe loginprocedures en VPN-connecties die rete-traag zijn en er om de haverklap uit liggen wanneer ze mobiel werken. Nog voordat ze met hun werk zijn begonnen, weten ze alweer waarom ze de schurft hebben aan de eigen IT-afdeling. Er zijn 1001-redenen te verzinnen waarom IT alles bij het oude moet houden en de digitale slotgracht liefst nog verder moet worden uitgediept. Maar anno 2014 kan je fortificatie oude stijl niet meer verkopen aan je gebruikers. Het moet slimmer en vooral simpeler.

Inloggen is nu nog uit een pre wifi-BYO-cloud-tijdperk. Identiteitscontrole en toegangsmanagement worden in het jargon identity and access management genoemd, ofwel IAM. Voor veel gebruikers is IAM oude stijl een blok aan het been. Binnen hun organisatie is de IAM-architectuur dan nog gebaseerd op het ‘oude’ wereldbeeld waarin er nog geen apps, sociale media en cloud bestonden. De company-issued desktop was leidend en alle applicaties werden on premise beheerd. In minder dan vijf jaar is dat beeld geheel gekanteld. Tablets en smartphones zijn nu de primaire devices; vaak zijn ze niet eens meer eigendom van het bedrijf (Bring Your Own Device) en steeds meer productiviteit, collaboration tools en business applicaties komen uit de cloud. In deze nieuwe wereld zijn zakelijke gebruikers als consument gewend geraakt aan het simpel inloggen op en via sociale media. Gemak dient de mens en snelle toegang is het resultaat. De wereld kantelt niet meer terug en daarom voldoet IAM oude stijl niet meer. Bedrijven kunnen dus niet langer inside-out hun IAM-architectuur ontwerpen en regels opleggen, maar moeten zich aan dat nieuwe wereldbeeld aanpassen. Toch gaan veel uitbestedende multinationals er bij marktconsultaties voor werkplekuitbesteding nog steeds van uit dat hun eigen (lees oude) IAM-architectuur leidend blijft. Gevolg is dat je ook blijft door etteren met de oude werkplek, waar toegangsbeveiliging vooral lijkt te bestaan uit steeds hogere drempels. Aparte tokens en overcomplexe two-way authenticatie zijn heel gebruikersonvriendelijk; vooral voor toegang tot systemen en data die helemaal niet zo confidentieel of privacygevoelig zijn.

Simple sign-on als requirement. Veel providers van software en sociale media in de consumentenwereld gebruiken Facebook en Google als identity provider. Als consument kan je inloggen met je Facebook-credentials of kan je – wanneer je bent ingelogd op Facebook – automatisch door naar een andere web-applicatie. Het gemak waarmee je daar als consument inlogt staat in schil contrast met de zware toegangscontrole die bedrijven nu hanteren voor hun eigen werknemers. Het kan en moet anders. Simple sign-on graag! Voor gebruikers is single sign-on het zichtbare deel van IAM. Met single sign-on (SSO) kan een gebruiker toegang krijgen tot meerdere, onafhankelijk van elkaar opererende, applicaties met dezelfde username en password. Ook het uitloggen (sign-off) gaat met één handeling. In de regel is slechts minder dan 10 procent van de bedrijfsdata confidentieel. Daarom wordt contextual access management straks de norm. Bepaalde klantdata kan dan bijvoorbeeld wel tijdens kantooruren worden benaderd met een beveiligde notebook, maar niet op een zondagmiddag vanuit een internetcafé met privé tablet. Naast de functie, worden dan ook locatie, device en tijd meegenomen.

Bring Your Own Identity? Met autorisatie worden toegangsrechten om een object (zoals een dataset, een applicatie of straks zelfs een internet-connected meetsensor) te benaderen toegekend door de objecteigenaar. In de regel geldt tegenwoordig dat alleen je functie bepalend is voor het autorisatieniveau. Authenticatie is de identiteitscontrole en de stap voorafgaand aan autorisatie. Net als in de consumentenwereld kunnen gebruikers hun digitale identiteit ook in beheer geven aan partijen die zij vertrouwen zoals Google+, LinkedIn, KPN of zelfs BOL.com; vervolgens acteert deze partij als identity provider richting bedrijven. Deze trend heet Bring Your Own Identity (BYOID). In Nederland komt Qiy met een bijzonder initiatief. Voor het controleren van een identiteit komen er steeds meer nieuwe mogelijkheden zoals het IP-adres van het device, de locatie van de gebruiker en biometrische gegevens van de gebruiker. Dit zorgt er voor dat er meerdere sloten op de deur komen. Veiliger kan dan ook echt simpeler. Met BYOID blijft de uiteindelijke autorisatie in handen van de objecteigenaar. Sign-on kan zo voor niet-bedrijfskritische data en applicaties en niet-risicovolle transacties dezelfde look and feel krijgen als inloggen via sociale media. Is dat onzin en onveilig? Ik ben heel wat Post-its tegengekomen in kantoren op bureaus en PC’s met inloggegevens, maar zelden voor iemands Twitter, Facebook of LinkedIn accounts. Gebruikers wijzen op hun eigen verantwoordelijkheden hoort bij simple sign-on.

Toon durf! Het vergt moed om je eigen bouwwerken op de schop te nemen en niet meer vast te houden aan het argument van ‘zo doen we het al jaren’. Wie A zegt door BYOD toe te staan, kan niet meer met droge ogen de regel proclameren dat werknemers zakelijk niets met hun eigen device mogen doen behalve het bijhouden van hun mail en agenda. Je moet dus ook B zeggen en zoveel mogelijk interne en externe functionaliteit ontsluiten. Wie B zegt en gaat voor een internet-centric workspace met zowel publieke als private clouds, kan het best beginnen bij IAM en SSO nieuwe stijl. Daar ligt de sleutel tot een harmonieus huwelijk tussen Consumerized en Corporate IT. Belangrijk is om te kijken naar de nieuwe marktstandaarden en op een slimme wijze te sourcen. Je wilt blijven innoveren en adequaat kunnen reageren op security breaches.