
Identiteetin- ja pääsynhallinta (IAM)
Identiteetin- ja pääsynhallinta (IAM) kattaa identiteettien hallinnan (IdM) sekä käyttövaltuuksien ja pääsynhallinnan. Identiteetin elinkaaren hallinnan ja identiteettitiedon synkronoinnin avulla yhdistetään ihmiset, tieto, laitteet ja järjestelmät (entiteetit) toisiinsa. Pääsynhallinnalla varmistetaan, että vain oikeutetut entiteetit saavat pääsyn muihin kohteisiin oikea-aikaisesti ja paikasta tai päätelaitteesta riippumatta.
Asiantuntijapalvelut
WeAre tarjoaa palveluita identiteettien ympärille ja tueksi, alkaen nykytilan kartoituksesta, ajattelumallien modernisoinnista ja prosessien suoraviivaistamisesta aina tekniseen kehitykseen ja toteutusten ylläpitoon asti. Kokemuksellamme raivaamme tietä yrityksesi tietoturvan parannukselle tilien datan ja käyttöoikeuksien ylläpidon, sekä pääsynhallinnan avulla. Työn voi jakaa useampaan eri osaan, joista minkä tahansa voi hankkia erikseen, mutta toimitamme mielellämme myös kokonaisvaltaisen paketin identiteettien ympärille.

Nykytilan kartoitus ja suunnittelutyö
Kattaa nykyisen identiteetinhallintaan liittyvien järjestelmien ja niiden käytön kartoituksen, prosessien kuvantamisen tilanteissa, joissa sellaisia ei ole mietitty, sekä nykyisten järjestelmien valmiuden käytettäväksi konseptimme mukaisessa toteutuksessa. Laajempi suunnittelutyö mahdollistaa identiteetin-, sekä pääsynhallinnan kokonaisuuksien prosessikuvantamisen ja käyttäjien elinkaarenhallinnan suunnittelun.

Käyttöönottoprojekti
Tilanteessa jossa tahtotila ja nykyinen tilanne on jo selvillä, autamme mielellämme asiakkaitamme käytännön toteutusten mahdollistamisessa, sekä teknisellä tasolla, että projektinhallinnan rooleissa. Työhistoriamme takaa monialaisen ajattelutavan ja prosessien aukkojen seulonnan tasolla, joka varmistaa lopputuloksen olevan toimiva, tulevaisuuden muutostekijät mahdollistava ja tarvittaessa tiukkoja viranomaisten vaatimuksia noudattava tai muutoin vaativat yhteensopivuuskriteerit täyttävät.

Jatkuvan tuen palvelut
Projektin valmistumisen jälkeen autamme ylläpitämään järjestelmien toimivuutta, toteutamme niihin ilomielin muutostöitä, sekä laajennamme kokonaisuuksia kattamaan uusia tarpeita. Olemme mukana tukemassa ja vahvistamassa asiakkaan omaa identiteetin hallinnan asiantuntijoiden joukkoa, tai auttamassa tiimin kouluttamisessa ja perehdyttämisessä alusta alkaen.
Asiantuntijat

Juho Erkkilä
IAM

Kari Laalo
CIAM

Jussi Jäppinen
IAM

Ilari Korte
IAM

Ratkaisut

Tunnistuspalvelu
Markkinoilta löytyy paljon valmiita tunnistamisen vaihtoehtoja, jotka sopivat yleisimpiin organisaatioiden tunnistustarpeisiin. WeAren asiantuntijat ovat valmiina auttamaan täsmälleen oikean tuotteen, teknologian ja kokonaisratkaisun löytämisessä kuhunkin tarpeeseen.
Tämän lisäksi tarjoamme WeAre:n omaa tunnistuspalveluratkaisua, joka mukautuu myös vaativiin käyttötapauksiin, joihin valmiit ja helpot ratkaisut eivät taivu. Toteutuksen liitännät sovitetaan ohjelmakoodilla asiakkaan tunnistusvälineisiin ja rajapintoihin. Toteutus on kytkettävissä myös sellaisiin asiakkaan järjestelmiin, joihin ei löydy valmista tai sujuvaa menetelmää valmiina.
Tunnistuspalvelu, eli Identity Provider (IdP) on OpenId Connect (OIDC) ja SAML2 -tunnistuskäytänteitä toteuttava palvelu, joka tunnistaa käyttäjät mahdollistaen heidän pääsynsä järjestelmiin ja sovelluksiin. IdP:n avulla voidaan toteuttaa kertakirjautuminen (Single Sign On – SSO), jonka avulla käyttäjä pääsee yhden tunnistustapahtuman perusteella käyttämään kaikkia tunnistamisen piiriin kuuluvia sovelluksia ilman eri tunnistautumista.
IdP kytkeytyy tunnistusmenetelmiin tarpeen mukaan. WeAre on toteuttanut tunnistamisen välityspalvelumallin, jossa tukeudutaan olemassaoleviin OIDC-tunnistuslähteisiin (esim. Azure AD, Google, Facebook jne). Tunnistusmenetelmien tuottamaa käyttäjätietoa voidaan rikastaa muista lähteistä, kuten organisaation IdM-järjestelmästä.
IdP on toteutettu avoimen lähdekoodin Shibboleth Identity Provider -ohjelmistolla.
Tunnistamisen rikastaminen
Tunnistamisen kulkuun on mahdollista toteuttaa vaiheita, joissa tunnistusmenetelmästä saatavan käyttäjän yksilöintitiedon oheen lisätään käyttäjätietoa ulkoisista lähteistä. Esimerkiksi, jos asiakkaan käyttäjien tunnistus on toteutettu Azure AD -tunnistuspalveluun tukeutuen, mutta käyttäjien roolitieto on tallennettu erilliseen järjestelmään, voidaan varsinaisen tunnistustapahtuman jälkeen hakea roolitieto toisesta järjestelmästä (esim. CRM) ja lisätä se tunnistukseen tukeutuvaan palveluun luovutettaan tunnistusvastaukseen. Ratkaisu käyttäjän pääsystä sovellukseen voidaan tehdä roolitiedon perusteella.
Tunnistustiedon rikastaminen tunnistustapahtuman yhteydessä säästää erillisen synkronoinnin toteuttamisen palveluun, kun käyttäjärooli välitetään tunnistustapahtuman yhteydessä.

Tunnistusadapteri
Asiakkaalla saattaa olla käytössään tunnistusmenetelmänä järjestelmä, joka ei ole yhteensopiva tunnistukseen tukeutuvan palvelun kanssa. Tyypillisesti asiakkaalla on SAML2-tunnistusratkaisu, mutta palveluun on toteutettu vain OIDC-pääsynhallinta. Tai tapaus voi olla päin vastoin.
Tunnistuspalvelu voi toimia adapterina, eli välittäjänä, jossa tunnistusmenetelmä sovitetaan palvelulle siinä muodossa, kuin mihin siinä on valmiit ratkaisut. Myös kovin omintakeisetkin palvelut voidaan monesti suojata tunnistamisella, vaikka niihin ei alun perin olisikaan toteutettu kertakirjautumisen menetelmää tai kytkentää moderneihin tunnistusprotokolliin.

HALUATKO
KUULLA LISÄÄ?
Ota yhteyttä

JUHA AHLGREN
Myynti ja markkinointi
juha.ahlgren@weare.fi
+358 44 504 4828
Asiakkaitamme
Asiantuntijakirjoitukset

WeAren tunnistuspalvelu on kustannustehokas ratkaisu vaativaan identiteetinhallinnan ongelmaan
WeAre 19 huhtikuun, 2022
Jos olet pyrkinyt löytämään kustannustehokkaan ratkaisun hankalaan identiteetinhallinnan ongelmaan, olet todennäköisesti huomannut, ettei sellaisia ole juuri saatavilla. WeAren tunnistuspalvelun avulla…

OpenID Connect claimien arvojen tulkinnoissa on eroja
Kari Laalo 15 helmikuun, 2022
Asiakkaan tunnistusratkaisun toteuttamisen yhteydessä teimme äskettäin havainnon:
Microsoft tulkitsee mielenkiintoisesti Azure AD -palvelussaan OpenId Connect -tunnistamisessa id_tokenissa luovutettavan iss claimin merkityksen.
On vaikea perustella saati väittää…

Tunnistamisen vahvuus on monen tekijän summa
Kari Laalo 6 toukokuun, 2021
Tunnistamiseen liittyvä keskustelu painottuu usein pieneen yksityiskohtaan, kuten tunnistusvälineeseen. Herkästi unohtuu tarkastella tunnistusketjun kokonaisuuden vahvuustasoa, kun keskitytään löytämään vahvuuksia ja heikkouksia itse välineestä.

Kertakirjautuminen (SSO) Osa 4. Hyödyt ja haitat
Kari Laalo 5 marraskuun, 2020
Artikkelisarjan uusimmassa osassa keskitytään kertakirjautumisen ja federoidun kirjautumisen hyötyihin ja haittoihin. Ensimmäisenä tuon esiin keskeisen haasteeseen, joka kohdataan kun mitä tahansa toimintoja keskitetään. Vasta sitten keskitymme etuihin.