De toekomst van IAM: eerst terug naar de basis?
Op 12 maart organiseerde SURFnet een seminar Identity en Access Management (IAM) in het onderwijs: een blik op de toekomst, waar door drie mensen van m7 een presentatie werd gehouden. Er werd een toekomstvisie geschetst, waarin de IAM-voorzieningen van onderwijsinstellingen evolueren van vrij technische naar vrijwel puur administratieve voorzieningen. Vandaag de dag zijn de IAM-voorzieningen vooral gericht op efficiency: zorgdragen voor een tijdige aanmaak van accounts met de juiste rechten bij de instroom van studenten/leerlingen en medewerkers. Omdat IAM zijn tentakels uitslaat naar een groot deel van het systeem- en applicatielandschap binnen een organisatie, zijn die organisaties jaren bezig met het inrichten van IAM. De grootste uitdaging daarbij is het vertalen van de bedrijfsprocessen in logica binnen de (IAM) systemen. Want ik zeg altijd maar zo: “wat niet expliciet is, kun je ook niet automatiseren”.
Ondertussen staat de wereld niet stil. IAM blijft zich ontwikkelen, mede omdat het veranderende ICT-landschap dat vraagt of zelf nieuwe mogelijkheden aandraagt. Cloud diensten en mobiele apparaten vragen om nieuwe IAM-oplossingen, social media leveren een nieuwe ‘identiteit’, waarmee de gebruiker ook op andere plaatsen kan inloggen en mobieltjes kunnen worden gebruikt voor 2-factor authenticatie. Daarnaast zijn er specifieke uitdagingen binnen het onderwijsveld (zoals geformuleerd door het Samenwerkingsplatform Informatie Onderwijs) en ontwikkelingen bij de overheid (eHerkenning en het eID-stelsel), die het begrip identiteit loskoppelen van het inlogmiddel en de autorisaties (machtigingen). In mijn visie is het effect van deze ontwikkelingen dat steeds meer elementen van de huidige IAM- voorziening buiten de deur te vinden zullen zijn. Authenticatie (het inlogmiddel) wordt uitbesteed— vergelijk met social login nu of met eHerkenning—en er komen snel sterkere middelen (tweefactor). Alle applicaties verhuizen naar de cloud en worden dus ook uitbesteed. En federatieve toegang tot die applicaties wordt de norm. Tenslotte kunnen delen van IAM ook naar de cloud worden gebracht.
Het effect van deze ontwikkelingen op de organisatie is dat ze steeds minder technische voorzieningen in de lucht hoeven te houden, maar wel hun administratie op orde moeten hebben! De organisatie kent haar gebruikers en verschaft hun een lokale digitale identiteit, bestaande uit kenmerken die de autorisaties bepalen. De gebruiker koppelt die lokale identiteit aan een extern inlogmiddel met bijbehorende authenticatiedienst. En—niet te vergeten—de organisatie bepaalt welke rechten die gebruiker heeft binnen het applicatielandschap (in de cloud).
En wat bleek tijdens de discussie op het seminar? Ongeveer de helft van de aanwezigen gaf aan dat hun administratie op dit moment nog niet geheel op orde is! Zij zijn dus niet klaar voor bovengeschetste toekomst. Werk aan de winkel voor die organisaties, zou ik zeggen.