Identiteetinhallinta ja pilvipalvelut, osa 2

Edellisessä blogissa kävin lyhyesti läpi pilvipohjaista Azure AD -käyttäjähakemistoa sekä uutta Microsoft-työkalua käyttäjätietojen synkronointiin sisäisten järjestelmien ja pilvipalvelun välillä. Nyt pureudumme pilvipalvelujen käytön kannalta oleelliseen kertakirjautumiseen ja otetaan katsaus tulevaisuuteen.

Kertakirjautumisen vaihtoehtoja

Pilvipalvelujen saumaton käyttäminen ilman erillistä käyttäjätunnistusta on käyttökokemuksen ja tietotyön tehokkuuden kannalta tärkeää. Mutta tarvitaanko siihen välttämättä federaatioon perustuvaa kertakirjauspalvelua, jossa SaaS-sovellus luottaa käyttäjän nykyisen hakemistopalvelun tekemään tunnistukseen?

Esimerkiksi Office 365 -palvelun osalta tunnusten ja salasanojen synkronointi ("Same Sign On") tarjoaa lähes saman loppukäyttäjäkokemuksen kuin kertakirjauspalvelujen toteuttaminen. Outlook ja Lync -käyttökokemuksessa ei ole eroja kertakirjautumisratkaisuun verrattuna. Selainkäytössä eroavaisuuksia löytyy, ja saumaton kirjautuminen onnistuu ainoastaan kertakirjauspalveluja käyttämällä. Selainkäytössä käyttökokemuksen vaikuttavat lisäksi verkkosijainti (yrityksen sisäinen vai ulkoinen) sekä selainasetukset.

Kun tarkastellaan näitä kahta vaihtoehtoista tapaa, on huomattava, että federaatioon perustuva ratkaisu mahdollistaa muutamia tärkeitä palvelun muokkaamiseen ja hallintaan liittyviä ominaisuuksia. Vaikka käyttökokemuksen kannalta "Same Sign on" olisi riittävä, voi federaatiopalvelu olla strateginen valinta, joka tukee pidemmän tähtäimen kehitystavoitteita, joissa sisäisellä hakemistopalvelulla on keskeinen rooli.

Matkalla tulevaisuuteen – Itsepalvelua ja tunnistettuja laitteita

Yritysten IT-palvelujen käyttäjien profiilit monimuotoistuvat. Yrityksillä on entistä enemmän työntekijöitä, jotka käyttävät muita kuin yrityksen vakioituja laitteita, joilla he käyttävät yrityksen omia tai ulkopuolisia SaaS-sovelluksia. Pilvipohjaisen Azure AD:n avulla voidaan huolehtia käyttäjien identiteetinhallinta suoraan pilvessä ja mikä tärkeintä – tarjota heille itsepalveluportaali salasanan resetointia varten. SaaS-ratkaisujen käyttäjätunnistuksen keskittämisen ja käyttäjille tarjottavan itsepalveluportaalin avulla suorissa IT-kustannuksissa voidaan säästää huomattavasti.

Kehityksen kannalta pilvipohjaisen hakemistopalvelun rooli on mielenkiintoinen käyttäjätunnistuksen ohella myös käyttäjän laitteen tunnistamisessa. Laitteen tunnistamista varten Azure AD:ssa on nyt ennakkotutustumisvaiheessa oleva palvelu "Device Registration Service", joka mahdollistaa Windows 7, Windows 8 ja iOS 6 sekä 7 laitteiden rekisteröimisen Windows Azure Active Directoryyn ja laitetiedon käyttämisen pääsyn hallintaan. Palvelu käyttää Windows Server 2012 R2 tason federaatiopalveluja, jotka mahdollistavat ehdollisen pääsyn, eli sisäisen Active Directoryn avulla pystytään rajoittamaan pilvipalvelujen käyttö vain rekisteröidyille laitteille halutuin attribuutein. "Device Registration Service" on siis noin pari vuotta sitten julkaistun Domain Join -teknologian pilvilaajennus, joka auttaa yrityksiä siirtymään perinteisestä toimialuemallista monipuolisempaa päätelaiteympäristöä ja pilviratkaisuja paremmin tukevaan malliin.

Kun kokonaisuuteen lisätään ennakkotutustumisvaiheessa oleva "Application Proxy Services", voi pilvipalvelu-infrastruktuurista tulla kattava silta yrityksen sisäisten palvelujen käyttöön. "Application Proxy Services" mahdollistaa sisäverkon sovellusten julkaisemisen Azure AD:n kautta, eli pilvihakemistoa voidaan käyttää SaaS-sovellusten pääsyn hallinnan lisäksi myös sisäisten sovellusten pääsyn hallintaan.

Katse eteenpäin

Pilvipalvelujen kehittämisessä kyse ei ole pelkästään yksittäisistä sovelluksista, vaan myös infrastruktuuripalveluista, joista ehkäpä tärkeimmät esimerkit ovat käyttäjien hallinta ja päätelaitteiden hallinta. Pilvipalvelupohjainen käyttäjähakemisto, Azure Active Directory, yhdistää pilvisovellukset ja sisäiset käyttäjähakemistot sekä toimii siltana pilvipalvelujen ja sisäisen infrastruktuurin välillä. Kehittämisen suuri mahdollisuus on valjastaa pilvipalvelut yksittäisten liiketoimintasovellusten ohella tukemaan paremmin nykyisiä ratkaisuja sekä tehostamaan palvelutuotantoa. Kehittämisessä on katsottava riittävän kauas eteenpäin, ja ennakkotutustumisvaiheessa olevien palvelujen mahdollisuuksia on hyvä arvioida ajoissa ennen kuin kauaskantoisia päätöksiä tehdään.

 

pilvipalvelut   Microsoft




Ismo Husso | Cloud Transformation Manager

Ismo Husso | Cloud Transformation Manager

Ismolla on laaja kokemus infrastruktuuriarkkitehtuuri- suunnittelusta. Hän on ollut insider Microsoft-ekosysteemissä jo yli 15 vuotta. Viime vuosina hän on kartuttanut asiantuntemusta erityisesti pilvipalveluista, ja pilvipalveluilla onkin Ismon silmissä tärkeä rooli liiketoimintaratkaisujen ketteränä alustana. Ismolle on tärkeää myös kokonaisvaltainen konsultointi palvelujen hankinnasta niiden toteuttamiseen. Vanhana suunnistajana Ismolle on tärkeää metsän näkeminen puilta: yksittäisten ratkaisujen lisäksi reitti tulevaisuuteen kannattaa miettiä myös strategisemmin. Ja kun kääntää kompassin neulan kohti Windows Azurea, ollaan matkalla oikeaan suuntaan.

Kirjoittajan kaikki blogitekstit

Tilaa blogikirjoitukset sähköpostiisi


Viimeisimmät kirjoitukset



Seuraa meitä somessa

LinkedIn Twitter Facebook YouTube YouTube