Identiteetinhallinta ja pilvipalvelut, osa 1

Yle uutisoi hiljattain, että unohtuneiden salasanojen vaihto maksaa Espoon kaupungille noin 200 000€ vuodessa. Tämä on hyvä esimerkki identiteetinhallintaan liittyvistä kustannuksista. Kun erilaiset pilvipalveluratkaisut yleistyvät, käyttäjien tunnistamisen ja pääsynhallinnan sekä itsepalveluratkaisujen tarve kasvaa entisestään niin kustannusten kuin turvallisuudenkin näkökulmasta.

Tässä kaksiosaisessa blogissa käsitellään suurelle osalle suomalaisista yrityksistä jo tuttua pilvipohjaista ratkaisua identiteetin- ja pääsynhallintaan, Azure Active Directorya (Azure AD) joka mahdollistaa keskeiset identiteetin- ja pääsynhallinnan peruspalvelut ilman suuria ohjelmistoinvestointeja.

Ensimmäisessä osassa avataan Azure AD:n mahdollisuuksia SaaS-ratkaisujen käyttäjähakemistona sekä tehdään katsaus uusiin ratkaisuihin sisäisen käyttäjähakemiston ja pilvipalvelupohjaisen hakemiston yhdistämiseksi. Toisessa osassa pureudutaan erilaisiin kertakirjautumisratkaisuihin sekä Azure AD:n rooliin laitteiden tunnistamisessa sekä sovellusten pääsyn hallinnassa hybridiympäristössä.

Käyttäjähakemisto pilvessä?

Pilvipalveluratkaisujen käyttöönotossa identiteetinhallinta on keskeinen kysymys, jolla on merkitystä niin kustannusten, palvelujen käyttökokemuksen, hallittavuuden kuin turvallisuudenkin kanssa. SaaS-ratkaisujen käyttäjätunnistus on usein integroitavissa yritysten sisäiseen DeFacto-käyttäjähakemistoon, Active Directoryyn, mutta pilvipohjaisten käyttäjähakemistojen rooli ensisijaisena hakemistopalveluna tulee kasvamaan pilvipalvelujen yleistymisen ja tietotyön muutoksen myötä. Laitteita sovelluksineen käytetään yhä enemmän julkisessa verkossa ja perinteiset, lähiverkon infrastruktuuripalveluja edellyttävät tunnistustavat eivät sovellu nykyaikaisiin käyttöskenaarioihin.

Yrityksiin on viime vuosina ilman sen suurempaa melua hiipinyt Office 365-käyttöönottojen myötä pilvipohjainen käyttäjähakemisto, Azure Active Directory, laajasti käyttöön. Azure AD:n avulla voidaan huolehtia SaaS-sovellusten käyttäjätunnistus, hyödyntää yrityksen sisäistä Active Directoryä tai ulkoisia hakemistopalveluja kuten Facebook, Google jne.

Pakoon lukuisten käyttäjätunnusten loukusta

Tällä hetkellä Azure Active Directory tarjoaa valmiin integroinnin yli 2400:lle SaaS-sovellukselle – alla kuva demoympäristömme Azure AD -sovellusintegraatiomahdollisuuksista. Integroitujen sovellusten osalta toteutusvaihtoehtoja löytyy aina federaatiopalveluista (ei tarvita uudelleen tunnistautumista - SaaS-sovellus luottaa Azure AD:hen) tunnusten tallettamiseen ja provisiointiin perustuviin ratkaisuihin (selain käyttää Azure AD-palveluun talletettuja tunnuksia).

Husso_identiteetinhallinta_1

 

Maksutonta ja maksullista

Azure AD:sta on käytettävissä kolmea eri versiota, Free, Basic ja Premium. Office 365-asiakkailla käytössä oleva, maksuton versio (Free) tarjoaa jo tuen käyttäjien synkronoinnille yrityksen sisäisestä Active Directorystä, itsepalveluportaalin pilvitilien salasanan vaihtamiseen sekä mahdollisuuden kymmenen SaaS-sovelluksen kertakirjausintegraatioon. Mikäli sisäinen Active Directory on synkronoitu pilveen, Microsoftin Enterprise-sopimusasiakkaiden saataville tuleva Premium-versio mahdollistaa myös sisäisen Active Directory-salasanan resetoinnin pilviportaalista käsin. Tämä tulee helpottamaan yleistä IT-tuen haastetta, hybridi-ympäristöjen salasanojen hallintaa.

Azure AD Sync tuo yritysten ulottuville laajat mahdollisuudet yhdistellä tietoja erilaisista lähdehakemistoista sekä helpon tavan muokata synkronointiprosessia; esimerkiksi kuinka lähdejärjestelmän objekti yhdistetään pilvihakemistossa olevaan objektiin. Asiakkaan kannalta on arvokasta, että työkalulla voidaan tehdä asioita, jotka aiemmin edellyttivät erikoisohjelmistoja. Työkalun käytön helppoudessa piilee kuitenkin pieni vaaran paikka; identiteetinhallinnasta ja käyttäjähakemistoista "cross-premises" -ympäristössä on oltava hyvä ymmärrys haluttujen tulosten aikaansaamiseksi.

Toistaiseksi ennakkotutustumisvaiheessa oleva Azure AD Connect tulee täydentämään työkalusarjan tuomalla tarvittavien palvelujen asennusta ja konfigurointia yksinkertaistavan käyttöliittymän. Tämän työkalun avulla voidaan monimutkainen, erilaisista hakemistoista koostuva sisäinen ympäristö konsolidoida synkronoiduksi pilvipalveluhakemistoksi.

Seuraavassa blogissa katsotaan tarkemmin kertakirjauspalvelujen toteutusvaihtoehtoja sekä avataan modernia infrastruktuuria tukevia palveluja, kuten laiterekisteröintiä ja sen hyödyntämistä pääsynhallinnassa. Stay tuned!

Osa 2 julkaistu 24.10. Lue se täältä!

pilvipalvelut   Microsoft




Ismo Husso | Cloud Transformation Manager

Ismo Husso | Cloud Transformation Manager

Ismolla on laaja kokemus infrastruktuuriarkkitehtuuri- suunnittelusta. Hän on ollut insider Microsoft-ekosysteemissä jo yli 15 vuotta. Viime vuosina hän on kartuttanut asiantuntemusta erityisesti pilvipalveluista, ja pilvipalveluilla onkin Ismon silmissä tärkeä rooli liiketoimintaratkaisujen ketteränä alustana. Ismolle on tärkeää myös kokonaisvaltainen konsultointi palvelujen hankinnasta niiden toteuttamiseen. Vanhana suunnistajana Ismolle on tärkeää metsän näkeminen puilta: yksittäisten ratkaisujen lisäksi reitti tulevaisuuteen kannattaa miettiä myös strategisemmin. Ja kun kääntää kompassin neulan kohti Windows Azurea, ollaan matkalla oikeaan suuntaan.

Kirjoittajan kaikki blogitekstit

Tilaa blogikirjoitukset sähköpostiisi


Viimeisimmät kirjoitukset



Seuraa meitä somessa

LinkedIn Twitter Facebook YouTube YouTube