Montako identiteettiä sinulla on?

12/06/2014 | Kirjoittanut: Tapani Tanskanen | Aihe: Asiakasidentiteetinhallinta (CIAM), Identiteetinhallinta (IdM)
Paljon identiteettejä

Oletko koskaan pohtinut, montako identiteettiä sinulla on? Minulla on yli 40 aktiivisesti käyttämääni sähköistä identiteettiä – laskutavasta riippuen identiteettien määrä voisi nousta helposti yli sataankin. Facebook, LinkedIn, CRM-järjestelmä, Office 365, vain joitakin mainitakseni.

Lukuisat identiteetit ovat ongelmallisia monesta syystä. Liikaa salasanoja. Sama salasana monessa palvelussa. Geneerisiä yhteiskäyttötunnuksia. Käytettävyys on heikkoa ja ylläpito työlästä.

Monien identiteettiemme takia joudumme päivän aikana muistamaan kymmeniä eri salasanoja. Kenties salasanasi löytyvät kätevästi paperilapulta hiirimaton alta? No, ehkä ei sentään… Saman salasanan käyttäminen useammassa palvelussa on myös riski. Tutkimusten mukaan yli puolet ihmisistä käyttää samaa salasanaa sosiaalisen median ja sähköpostinsa salasanassa. Onko sinulla joka ikisessä palvelussa eri salasana? Mikäli jokin salasananoistasi joutuu selkokielisenä vääriin käsiin, voi sen hallussapitäjä kirjautua nimissäsi kaikkiin järjestelmiin, joissa käytät kyseistä salasanaa.

Joskus identiteetti edustaa useampaa henkilöä. Esimerkkejä tällaisista yhteiskäyttöidentiteeteistä voisivat olla vaikka erilaiset kanta-asiakasohjelmat, joihin pää- ja rinnakkaiskortin haltija kirjautuvat samalla sähköpostiosoitteella ja salasanalla. Koska järjestelmien ylläpitotunnukset ovat usein geneerisiä admin- tai root-tilejä, ei useinkaan voida varmuudella jälkikäteen tietää, kuka on kirjautunut järjestelmään. Tällaiset yhteiskäyttöiset tunnukset ovat riskialttiita väärinkäytösten kannalta. Parempi keino olisi käyttää olemassaolevaa, henkilökohtaista ja luotettua identiteettiä.

Miten hallita?

Identiteettien suuri määrä on haastavaa myös identiteetin elinkaarenhallinnan kannalta. Mikäli yrityksesi työntekijällä on oikeus nähdä asiakaskohtaista dataa yhteistyökumppanin järjestelmässä, miten voit varmistua, että nämä oikeudet poistuvat työpaikan tai työtehtävien vaihtuessa? Katkeaako käyttöoikeus yrityksen sisäisiinkään järjestelmiin automaattisesti? Entä miten nopeasti uudelle työntekijälle saadaan kaikki tarvittavat käyttöoikeudet?

Mikäli kirjautuisit suurimpaan osaan järjestelmistä kokonaan ilman salasanaa, olisi helpompaa muistaa muutama erillinen ja laadukas, turvallinen salasana. Käyttäisit siis samaa identiteettiä monessa eri järjestelmässä – ja siten sinulla olisi vähemmän identiteettejä. Toki työ- ja henkilökohtaisten identiteettien pitäminen ainakin osittain erillään on usein perusteltua.

Keskitetyllä IAM-ratkaisulla tähdätään siihen, että yhtä yritysidentiteettiä käytetään kaikkialla – sekä yrityksen omissa että yhteistyökumppaneiden järjestelmissä. Web-pohjaisiin järjestelmiin kirjaudutaan automaattisesti Web Access Management (WAM) -järjestelmän avulla, ja muihin kuin web-pohjaisiin sovelluksiin Enterprise Single Sign-on –järjestelmän (eSSO) avulla. Lisäksi käyttäessäsi yhteistyökumppaniyrityksen palveluita kirjautuisit heidän järjestelmiinsä automaattisesti omalla yritysidentiteetilläsi federoinnin avulla. Federointia käytettäessä salasana ei kulje verkossa, eikä palvelussa ole edes salasanaasi tallennettuna. Pääsy mahdollistetaan turvallisen luottamussuhteen avulla. Keskitetty IAM-ratkaisu pitää myös automaattisesti huolen siitä, että pääsy ja auktorisoinnit ovat olemassa vain ja ainoastaan haluttuihin palveluihin.

Mielestäni identiteettejä on liikaa. En kaipaa erillistä identiteettiä kaikkiin mahdollisiin kanta-asiakasohjelmiin, sosiaaliseen mediaan tai uutispalveluihin. Haluaisin olla vain yksi ja sama Tapani Tanskanen.

Tapani Tanskanen
Senior IAM consultant, CISSP