W jednym z wcześniejszych artykułów (Czym są IGA oraz IAM i jaka jest między nimi różnica? – Kapitan Hack) opisaliśmy różnice pomiędzy rozwiązaniami klasy IAM oraz IGA. Na pierwszy rzut oka może się wydawać, że najlepszym rozwiązaniem dla każdej organizacji posiadającej rozbudowaną przestrzeń systemów IT, które muszą spełniać wymagania narzucane przez regulatorów, będą systemy klasy IGA (pozycjonuje się je na szczycie piramidy rozwiązań do zarządzania tożsamością i dostępem), ponieważ bardzo często łączą one w sobie wybrane funkcjonalności narzędzi klasy IAM. Jednak nie każda organizacja jest w stanie wykorzystać cały potencjał tych rozwiązań lub nie ma konieczności wdrażania w niej pełnego systemu IGA. Firmy mają tutaj wybór stosowania różnych rozwiązań, które najlepiej zaspokajają ich potrzeby biznesowe i jednocześnie zwiększają poziom bezpieczeństwa. Dla niektórych organizacji znacznie lepszą inwestycją będą rozwiązania klasy IAM, pozwalające na szybsze osiągniecie celów biznesowych, niż czasochłonne wdrażanie pełnego systemu IGA. Jednak czy w przypadku samych rozwiązań IAM możemy mówić o pewnym podziale? Odpowiedź na to pytanie postaramy się zawrzeć w kolejnych akapitach.
Identity Management czy Access Management?
Podczas gdy niektórzy dostawcy systemów do zarządzania tożsamością używają terminu IAM jako synonimu dla zarządzania tożsamością (Identity Management) i zarządzania dostępem (Access Management), to jednak są to dwie różne kategorie. Źródłem takiego łączenia jest fakt, że to dwie bardzo bliskie dyscypliny, a dostawcy rozwiązań starają się zapewnić swoim klientom produkty, które pozwalają zautomatyzować procesy związane z zarządzaniem tożsamością i dostępem w ramach jednej platformy, zwiększając jednocześnie poziom bezpieczeństwa i wydajność w tych obszarach. Gdzie zatem leży różnica pomiędzy IM a AM?
Co to jest Access Management?
Access Management – pierwotnie narzędzia tej klasy miały ułatwić raportowanie uprawnień w systemach takich jak np. Active Directory, które natywnie nie posiadają funkcji pozwalających na łatwy przegląd uprawnień pracowników czy klientów. Narzędzia te nie miały jednak funkcji pozwalających na zautomatyzowanie realizacji koniecznych zmian w uprawnieniach czy możliwości wykorzystania przepływów pracy (workflow) do zarządzania zmianami.
Co to jest Identity Management?
Identity Management – w tym przypadku mówimy o rozwiązaniach, które początkowo koncentrowały się głównie na zapewnieniu centralnej platformy pozwalającej na automatyzację procesów związanych z tworzeniem i usuwaniem kont użytkowników, zapewniającej mechanizmy uwierzytelniania oraz SSO (poprzez przechowywanie w jednym miejscu informacji o kontach i przypisanych im hasłach). W mniejszym stopniu koncentrowały się na zapewnieniu szczegółowego poziomu dostępu czy funkcjach raportowania uprawnień.
Obecnie jednak definicja rozwiązań Access Management (AM) jest znacznie szersza (np. Gartner – Magic Quadrant for Access Management) i zawiera rozwiązania, które zapewniają, wymuszają, kontrolują i umożliwiają uzyskanie dostępu do środowisk chmurowych, nowoczesnych aplikacji webowych i aplikacji webowych starszego typu (legacy). Zarządzenie dostępem realizowane jest dla pracowników, kontraktorów, dostawców, klientów, obywateli (B2E, B2C, B2B, G2C). Według Gartnera oferuje ono: usługi katalogowe, usługi administracyjne (procesy dodawania nowych kont, nadawanie\odbieranie uprawnień, zarządzanie hasłami) dla kont wewnętrznych i zewnętrznych, moduły uwierzytelniania i autoryzacji, SSO i raportowania. Jak widać, pojawiają się tutaj elementy związane nie tylko z zarządzaniem samym dostępem, ale również elementy zarządzania tożsamością i te rozwiązujące cały szereg problemów związanych z zapewnieniem bezpiecznego dostępu do aplikacji – głównie chmurowych i webowych. Jest to o tyle istotne, że po pandemii diametralnie zmieniły się sposób i środowisko pracy, co wymusza na organizacjach stosowanie odpowiednich narzędzi zapewniających bezpieczny i kontrolowany dostęp do aplikacji zewnętrznych. Należy się spodziewać wzrostu znaczenia roli systemów AM w redukowaniu zagrożeń związanych z atakami na tożsamości pracowników i współpracowników.
Podsumowując, chociaż z historycznego punktu widzenia możemy mówić o pewnym podziale pomiędzy IM a AM, to obecnie granica ta jest coraz bardziej zatarta i narzędzia oferowane przez takich producentów jak Okta, OneLogin, Microsoft, Ping Identity zawierają w sobie cały zestaw funkcjonalności z obszaru AM i IM.