Asiakasidentiteetinhallinta on parempaa käytettävyyttä

15/11/2013 | Kirjoittanut: Tapani Tanskanen | Aihe: Asiakasidentiteetinhallinta (CIAM), Identiteetinhallinta (IdM)

Kuten kaikessa, myös identiteetin- ja pääsynhallinnassa (IAM) kannattaa keskittyä kaikkein olennaisimpaan. Työntekijät ovat yrityksen tärkein voimavara, ja siksi sisäiset identiteetit ovat useimmiten ainakin jotenkuten hallinnassa. Ilman asiakkaita yritystä ei kuitenkaan olisi olemassa, joten asiakasidentiteettien (tai ulkoisten identiteettien) tehokas hallinta on yksi tärkeimmistä liiketoiminnan moottoreista. Silti se on usein pahasti laiminlyöty – jopa kokonaan unohdettu – alue. Vaikka asiakasidentiteetinhallinta kuulostaa samankaltaiselta kuin perinteinen sisäinen identiteetinhallinta, se on filosofialtaan hyvin erilaista. Käsittelen varmasti näitä eroavaisuuksia tulevissakin kirjoituksissani.
Asiakasidentiteetinhallinnan täytyy toimia tehokkaasti palvelua tarjoavan yrityksen näkökulmasta. Asiakkaan näkökulmasta asiaan liittyy muutakin: ihmiset vaativat yhä enemmän käytettävyyttä ja helppokäyttöisyyttä. Jos kirjautumiseen tarvittava salasana on unohtunut, asiakas harkitsee helposti kokonaan toista palvelua. Ei enää riitä, että asian hoitamiseen on tarjolla verkkopalvelu – täytyy olla tarjolla sellainen verkkopalvelu, johon kirjautuminen ja jonka käyttäminen tuntuu niin luontevalta, ettei vaihtoehtoja edes kaipaa.

Otan esimerkiksi palveluun ensimmäistä kertaa kirjauduttaessa täytettävän rekisteröitymislomakkeen. Hyvä käytettävyys ei tarkoita ainoastaan sitä, että rekisteröitymislomakkeessa jokainen kysyttävä asia on helposti ymmärrettävissä (esim. tiedän, missä muodossa syötän puhelinnumeron) ja että kysyttävät asiat tuntuvat asianmukaisilta (vrt. miksi palvelu haluaa tietää syntymäaikani?). Hyvä käytettävyys ei myöskään tarkoita ainoastaan sitä, että lomakkeen ulkonäkö on moderni, selkeä, yhdenmukainen, ja että se toimii kaikilla päätelaitteilla. Näiden lisäksi hyvä käytettävyys tarkoittaa myös sitä, että jos alkuvaiheessa ei aidosti tarvita käyttäjästä tarkempia tietoja, niitä ei edes kysytä. Miksei asiakkaan annettaisi käyttää palvelua ja kysyttäisi lisätietoja vasta sitten (just in time) kun niitä oikeasti tarvitaan? Käytön ensimmäisissä vaiheissa voi hyödyntää yksinkertaista federointia riittävän luotettavista lähteistä, eikä varsinaisesti kysyä käyttäjältä mitään. Tilanteesta riippuen tällaisia sopivia lähteitä voisivat olla esimerkiksi sosiaalisen median palvelut, kuten Twitter, LinkedIn, Google tai Facebook. Käyttäjästä saadaan muutama tärkein attribuutti talteen automaattisesti, eikä rekisteröinti vaadi kuin pari klikkausta. Näin kynnys palveluiden käytön aloittamiseen on mahdollisimman pieni, mutta käyttäjästä on jo saatu luotua uniikki identiteetti.

On selvää, että edellä mainittuihin sosiaalisen median palveluihin perustuvaan identiteettiin ei voi luottaa B2B-palveluissa kovinkaan paljon. Jos käyttäjä haluaa esimerkiksi nähdä asiakaskohtaisen tilaushistoriansa tai hinnastonsa, tarvitaan tarkempia, asiakaskohtaisia oikeuksia (auktorisointi, authorization). Tällöin vaaditaan vahvempaa identiteettiä eli sitä rikastetaan. Identiteetin rikastusta voidaan tehdä hakemalla tietoja muista palveluista; esimerkiksi varmistamalla henkilöllisyys pankkitunnuksilla tai kysymällä tietoa asiakasorganisaatiolta itseltään. Asiakasorganisaatiosta voidaan tehdä federointi, jolloin voidaan automaattisesti luottaa mm. siihen, että käyttäjä on tietystä organisaatiosta. Toinen vaihtoehto on pyytää asiakasorganisaation pääkäyttäjää vahvistamaan väitetyn identiteetin oikeellisuus ja auktorisoinnit. Mahdollisuuksia on lukuisia, ja eri rikastustapoja voi yhdistellä eri asiakkaille ja palveluille tarpeen mukaan.

Kun identiteettiä on kerran rikastettu, voidaan jatkossa antaa tietyt laajemmat auktorisoinnit, vaikka käyttäjä tunnistautuisi (autentikointi, authentication) samoilla heikoilla em. sosiaalisen median tunnuksilla. Tunnistautumisvaiheessa olennaista on vain se, että uskomme käyttäjän olevan se, joka hän väittää olevansa. Kuten auktorisoinnissa, myös tunnistautumisessa luottamus sosiaaliseen mediaan riittää vain tiettyyn pisteeseen. Vasta siinä vaiheessa, kun aidosti tarvitaan suurempi varmuus käyttäjän identiteetistä, tehdään step-up-tunnistautuminen (Step-Up Authentication). Tämä voidaan tehdä käyttäen esimerkiksi kertakäyttösalasanaa SMS:nä, pankkitunnistusta tai sähköistä henkilökorttia. Eri tunnistustapoihin liittyy aina tietty luotettavuustaso.

Moderneissa kirjautumisratkaisuissa salasanaa ei tarvita lainkaan, vaan palveluun pääsee vaivattomasti ja luotettavasti sisään. Tämä, jos mikä on käytettävyyttä.

Tapani Tanskanen
Senior IAM consultant, CISSP

 

Lue lisää Spellpointin asiakasidentiteetinhallinnan (CIAM) palveluista.