Mitä käyttäjätietojen ja käyttöoikeuksien hallinta (IAM) on?
Tutustu siihen, mitä käyttäjätietojen ja käyttöoikeuksien hallinta (IAM) on ja miten se pitää organisaation tiedot ja resurssit suojattuina.
Mitä IAM on ja mitä se tekee?
Työntekijöiden työskentelypaikasta riippumatta heidän on voitava käyttää organisaationsa resursseja, kuten sovelluksia, tiedostoja ja tietoja. Perinteisesti suurin osa työntekijöistä on työskennellyt yrityksen tiloissa, jossa yrityksen resurssit on pidetty palomuurin takana. Kun työntekijät olivat yrityksen tiloissa ja kirjautuneina sisään, he voivat käyttää tarvitsemiaan asioita.
Nykyisin hybridityö on kuitenkin entistä yleisempää, ja työntekijät tarvitsevat suojatut käyttöoikeudet yrityksen resursseihin riippumatta siitä, työskentelevätkö he yrityksen tiloissa vai etätyöpisteessä. Tässä käyttäjätietojen ja käyttöoikeuksien hallinta (IAM) astuu kuvaan. Organisaation IT-osasto tarvitsee tavan hallita sitä, mitä käyttäjät voivat ja eivät voi käyttää, jotta arkaluonteiset tiedot ja toiminnot ovat vain niiden henkilöiden käytettävissä, jotka tarvitsevat niitä työssään.
IAM tarjoaa vahvistetuille identiteeteille suojatut käyttöoikeudet yrityksen resursseihin, kuten sähköpostiin, tietokantoihin, tietoihin ja sovelluksiin, mahdollisimman vähäisin häiriöin. Tavoitteena on käyttöoikeuksien hallinta niin, että oikeat ihmiset voivat tehdä työnsä ja että väärät ihmiset, kuten luvattomat käyttäjät, eivät saa käyttöoikeuksia.
Tarve suojattuihin käyttöoikeuksiin ulottuu yrityksen tietokoneilla työskentelevien työntekijöiden ulkopuolelle. Se sisältää myös alihankkijat, toimittajat, liiketoimintakumppanit ja henkilökohtaisilla laitteillaan työskentelevät ihmiset. IAM varmistaa, että kaikilla henkilöillä, joilla on oltava käyttöoikeus, on oikean tasoinen käyttöoikeus oikeaan aikaan oikeassa koneessa. Tämän vuoksi ja IAM:n kyberturvallisuusroolin takia se on olennainen osa organisaation modernia IT-teknologiaa.
IAM-järjestelmän avulla organisaatio voi nopeasti ja tarkasti vahvistaa henkilö identiteetin ja sen että hänellä on tarvittavat oikeudet käyttää pyydettyä resurssia jokaisen käyttöyrityksen aikana.
Miten IAM toimii?
Organisaation resurssien suojatun käyttöoikeuden myöntämisessä on kaksi osaa: käyttäjätietojen hallinta ja käyttöoikeuksien hallinta.
Käyttäjätietojen hallinta tarkistaa kirjautumisyrityksen käyttämällä käyttäjätietojen hallinnan tietokantaa, joka on jatkuvasti muuttuva tietue kaikista henkilöistä, joilla tulisi olla käyttöoikeus. Näitä tietoja on päivitettävä jatkuvasti, kun ihmiset tulevat organisaatioon tai lähtevät siitä, kun heidän roolinsa ja projektinsa vaihtuvat ja kun organisaation laajuus muuttuu.
Esimerkkejä käyttäjätietojen hallinnan tietokantaan tallennettavista tiedoista ovat työntekijöiden nimet, työnimikkeet, päälliköt, suorat alaiset, matkapuhelinnumerot ja henkilökohtaiset sähköpostiosoitteet. Prosessia, jossa tietyn henkilön kirjautumistiedot, kuten käyttäjänimi ja salasana, täsmätään hänen tietokannassa oleviin käyttäjätietoihinsa, kutsutaan todentamiseksi.
Lisäsuojauksena monet organisaatiot vaativat käyttäjiä vahvistamaan identiteettinsä monimenetelmäisen todentamisen (MFA) avulla. Myös kaksimenetelmäiseksi todentamiseksi (2FA) kutsuttava monimenetelmäinen todentaminen on turvallisempi menetelmä kuin pelkän käyttäjänimen ja salasanan käyttäminen. Se lisää kirjautumisprosessiin vaiheen, jossa käyttäjän on vahvistettava identiteettinsä vaihtohehtoisella todentamismenetelmällä. Tämä vahvistusmenetelmä voi olla matkapuhelinnumero tai henkilökohtainen sähköpostiosoite. IAM-järjestelmä lähettää tavallisesti vaihtoehtoiseen vahvistusmenetelmään kertakäyttöisen koodin, joka käyttäjän on annettava kirjautumisportaaliin määritetyn ajanjakson kuluessa.
Käyttöoikeuksien hallinta on IAM:n toinen osa. Kun IAM-järjestelmä on vahvistanut, että resurssin käyttöä yrittävä henkilö tai asia vastaa identiteettiään, käyttöoikeuksien hallinta tarkistaa, mitä resursseja henkilöllä tai asialla on oikeus käyttää. Useimmat organisaatiot myöntävät eritasoisia käyttöoikeuksia resursseihin ja tietoihin, ja nämä tasot määräytyvät esimerkiksi työnimikkeen, hallussapitoajan, turvallisuusselvityksen, projektin ja muiden tekijöiden mukaan.
Oikean tasoisen käyttöoikeuden myöntämistä käyttäjän identiteetin todentamisen jälkeen kutsutaan valtuuttamiseksi. IAM-järjestelmien tavoite on varmistaa, että todentaminen ja valtuuttaminen suoritetaan oikein ja turvallisesti jokaisen käyttöyrityksen yhteydessä.
IAM:n tärkeys organisaatioille
Yksi syy siihen, että IAM on tärkeä osa kyberturvallisuutta, on se, että se auttaa organisaation IT-osastoa estämään tärkeiden tietojen ja resurssien käytön useimmilta käyttäjiltä, mutta samalla sallimaan sen joillekin käyttäjille. IAM tekee mahdolliseksi määrittää hallintatoimintoja, jotka myöntävät suojatun käyttöoikeuden työntekijöille ja laitteille, ja samalla tekee ulkopuolisten sisäänpääsyn vaikeaksi tai mahdottomaksi.
Toinen syy IAM:n tärkeyteen on se, että kyberrikolliset kehittävät menetelmiään joka päivä. Monimutkaiset hyökkäykset, kuten sähköpostitse lähetettävät tietojenkalasteluviestit, ovat yleisimpiä luvattoman käytön ja tietomurtojen lähteitä, ja ne kohdistuvat käyttäjiin, joilla on jo käyttöoikeus. Ilman IAM:ää on vaikea hallita sitä, kenellä ja millä on käyttöoikeus organisaation järjestelmiin. Murrot ja hyökkäykset voivat edetä vapaasti, koska on vaikea nähdä, kenellä on käyttöoikeus, ja on myös vaikea peruuttaa altistuneen käyttäjän käyttöoikeutta.
Vaikka täydellistä suojausta ei valitettavasti olekaan olemassa, IAM-ratkaisut ovat erinomainen tapa estää hyökkäyksiä ja minimoida niiden vaikutuksia. Sen sijaan, että rajoitettaisiin kaikkien käyttöoikeuksia murron ilmettyä, monet IAM-järjestelmät käytävät tekoälyä ja voivat tunnistaa ja pysäyttää hyökkäykset, ennen kuin ne aiheuttavat suuria ongelmia.
IAM-järjestelmien edut
Oikea IAM-järjestelmä tuo organisaatioille useita etuja.
Oikeat käyttöoikeudet oikeille ihmisille
Koska IAM-järjestelmä voi luoda ja valvoa keskitettyjä sääntöjä ja käyttöoikeuksia, se helpottaa sen varmistamista, että käyttäjillä on käyttöoikeudet heidän tarvitsemiinsa resursseihin ja että he eivät voi käyttää heille tarpeettomia arkaluonteisia tietoja. Tätä kutsutaan roolipohjaiseksi käyttöoikeuksien hallinnaksi (RBAC). RBAC on skaalautuva tapa rajoittaa käyttöoikeudet vain niihin henkilöihin, jotka tarvitsevat käyttöoikeuksia roolinsa suorittamisessa. Roolit voidaan määrittää kiinteiden käyttöoikeuksien tai mukautettujen asetusten perusteella.
Esteetöntä tuottavuutta
Niin tärkeää kuin tietoturva onkin, myös tuottavuus ja käyttökokemus ovat tärkeitä. Monimutkaisen tietoturvajärjestelmän käyttöönotto murtojen estämistä varten voi olla houkuttelevaa, mutta jos tuottavuuden haittana on esimerkiksi useita kirjautumisia ja salasanoja, käyttäjäkokemus on turhauttava. IAM-työkalut, kuten kertakirjautuminen (SSO) ja yhdistetyt käyttäjäprofiilit mahdollistavat suojatun käytön myöntämisen työntekijöille useisiin kanaviin, kuten paikallisiin resursseihin, pilvipalvelussa oleviin tietoihin ja kolmannen osapuolen sovelluksiin, ilman useita erillisiä kirjautumisia.
Suojaa tietomurtoja vastaan
Vaikka mikään suojausjärjestelmä ei ole erehtymätön, IAM-teknologian käyttäminen pienentää huomattavasti riskiäsi joutua tietomurron kohteeksi. IAM-työkalujen, kuten monimenetelmäisen todentamisen, salasanattoman todentamisen ja kertakirjautumisen avulla käyttäjät voivat vahvistaa identiteettinsä käyttämättä pelkkää käyttäjänimeä ja salasanaa, jotka voidaan unohtaa, jakaa tai varastaa. Käyttäjien kirjautumisvaihtoehtojen laajentaminen pienentää tätä riksiä lisäämällä kirjautumisprosessiin uuden suojauskerroksen, jota ei voida helposti hakkeroida eikä jakaa.
Tietojen salaus
Yksi syy siihen, miksi IAM on niin tehokas organisaation suojauksen parantamisessa on se, että monet IAM-järjestelmät tarjoavat salaustyökaluja. Ne suojaavat arkaluonteisia tietoja, kun tiedot siirretään organisaation sisälle tai ulos siitä. Lisäksi esimerkiksi ehdollisen käyttöoikeuden avulla IT-järjestelmänvalvojat voivat asettaa käyttöoikeuden ehdoiksi esimerkiksi laitteen, sijainnin tai reaaliaikaiset riskitiedot. Tämä merkitsee, että tiedot ovat turvassa murron sattuessakin, koska tietojen salaus voidaan purkaa vain vahvistettujen ehtojen täyttyessä.
Entistä vähemmän manuaalista työtä IT-henkilöstölle
IAM-järjestelmät automatisoivat IT-osaston tehtäviä, kuten ihmisten auttamista salasanojen palauttamisessa, ihmisten tilien lukituksen avaamista ja käyttölokien valvontaa poikkeamien havaitsemiseksi. Siksi ne voivat säästää IT-osastoilta aikaa ja vaivaa. Tämä vapauttaa IT-osaston keskittymään muihin tärkeisiin asioihin, kuten Zero Trust -suojausmallistrategian käyttöönottoon organisaation muissa osissa. IAM on olennaisesti Zero Trust -suojausmallin mukainen. Se on suojauskehys, joka on rakennettu nimenomaisen tarkistuksen, vähimpien oikeuksien ja tietomurtojen huomioonoton periaatteiden mukaisesti.
Entistä parempaa yhteistyötä ja tehokkuutta
Saumaton yhteistyö työntekijöiden, toimittajien ja alihankkijoiden välillä on välttämätöntä modernissa työssä mukana pysymisen kannalta. IAM mahdollistaa tämän yhteistyön varmistamalla, että yhteistyö on paitsi suojattua myös nopeaa ja helppoa. IT-järjestelmänvalvojat voivat rakentaa myös roolipohjaisia automatisoituja työnkulkuja nopeuttaakseen käyttöoikeusprosesseja roolien siirtämistä ja uusia työntekijöitä varten. Tämä säästää perehdytykseen kuluvaa aikaa.
IAM ja yhteensopivuussäädökset
Ilman IAM-järjestelmää organisaation on seurattava manuaalisesti jokaista entiteettiä, jolla on käyttöoikeus sen järjestelmiin. Sen on myös seurattava, miten ja milloin näitä oikeuksia käytetään. Tämä tekee manuaalisesta valvonnasta aikaa ja työtä vaativaa. IAM-järjestelmät automatisoivat tämän prosessin ja tekevät valvonnasta ja raportoinnista nopeampaa ja paljon helpompaa. IAM-järjestelmien avulla organisaatiot voivat esitellä valvonnoissa, että arkaluonteisten tietojen käyttöoikeuksia hallitaan oikein. Tämä on monien sopimusten ja lakien vaatima osa.
Valvonnat ovat vain yksi osa tiettyjen säädösvaatimusten täyttämistä. Monet säädökset, lait ja sopimukset edellyttävät tietojen käyttöoikeuksien hallintaa ja tietosuojan hallintaa, joissa auttamiseen IAM-järjestelmät on nimenomaan suunniteltu.
IAM-ratkaisut tekevät mahdolliseksi vahvistaa käyttäjätiedot ja hallita niitä, havaita epäilyttävät toiminnot ja raportoida tapaukset. Kaikki nämä ovat tarpeen täytettäessä yhteensopivuusvaatimuksia, kuten asiakkaan tunteminen, tapahtumien raportointi epäilyttävien toimintojen raportoimista varten ja punaisten lippujen sääntö. On myös tietosuojastandardeja, kuten GDPR (General Data Protection Regulation) Euroopassa ja HIPAA (Health Insurance Portability and Accountability Act) sekä Sarbanes-Oxley-laki Yhdysvalloissa, jotka vaativat ankarien tietoturvastandardien käyttämistä. Käytössä oleva oikea IAM-järjestelmä helpottaa näiden vaatimusten täyttämistä.
IAM-teknologiat ja työkalut
IAM-ratkaisut integroituvat erilaisiin teknologioihin ja työkaluihin ja mahdollistavat suojatun todentamisen ja valtuuttamisen suuryritystasoisesti:
- SAML (Security Assertion Markup Language) – SAML tekee kertakirjautumisen mahdolliseksi. Kun käyttäjä on todennettu, SAML ilmoittaa muille sovelluksille, että käyttäjä on vahvistettu entiteetti. SAML on tärkeä siksi, että se toimii eri käyttöjärjestelmissä ja koneissa, mikä mahdollistaa suojattujen käyttöoikeuksien myöntämisen erilaisissa konteksteissa.
- OIDC (OpenID Connect) – OIDC lisää identiteettiaspektin 0Auth 2.0:aan, joka on todentamisen kehys. Se lähettää tunnuksen, joka sisältää tiedot käyttäjästä, tunnistetietojen toimittajan ja palveluntarjoajan välillä. Nämä tunnukset voidaan salata, ja ne voivat sisältää tietoja käyttäjästä, kuten hänen nimensä, sähköpostiosoitteensa, syntymäpäivänsä tai valokuvansa. Palvelujen ja sovellusten on helppo käyttää tunnuksia, minkä ansiosta OIDC on hyödyllinen mobiilipelien, sosiaalisen median ja sovellusten käyttäjien todentamisessa.
- SCIM (System for Cross-Domain Identity Management) – SCIM auttaa organisaatioita hallitsemaan käyttäjien käyttäjätietoja a standardisoidulla tavalla useissa sovelluksissa ja ratkaisuissa (toimittajissa).
Toimittajilla on erilaisia vaatimuksia käyttäjätiedoille, ja SCIM:n avulla voidaan luoda käyttäjälle identiteetti IAM-työkalussa, joka integroituu toimittajan kanssa niin, että käyttäjällä on käyttöoikeus ilman erillisen tilin luomista.
IAM:n käyttöönotto
IAM-järjestelmät vaikuttavat jokaiseen osastoon ja jokaiseen käyttäjään. Tämän takia huolellinen suunnittelu ennen käyttöönottoa on tärkeää IAM-ratkaisun käyttöönoton onnistumisen kannalta. On hyödyllistä aloittaa sen laskemisesta, miten moni käyttäjä tarvitsee käyttöoikeuden, ja luoda sitten luettelo ratkaisuista, laitteista, sovelluksista ja palveluista, joita organisaatio käyttää. Nämä luettelot ovat hyödyllisiä verrattaessa IAM-ratkaisuja ja varmistettaessa, että ne ovat yhteensopivia organisaation olemassa olevan IT-järjestelmän kanssa.
Seuraavaksi on tärkeää määrittää eri roolit ja tilanteet, joiden kanssa IAM-järjestelmän tulee toimia. Tästä kehyksestä tulee IAM-järjestelmän arkkitehtuuri, ja se muodostaa perustan IAM-dokumentaatiolle.
Toinen IAM-käyttöönoton aspekti on ratkaisun pitkän aikavälin toteutuksen harkinta. Organisaation kasvaessa ja laajetessa se, mitä organisaatio tarvitsee IAM-järjestelmältä, muuttuu. Etukäteissuunnittelu tätä kasvua varten varmistaa, että IAM-ratkaisu kohdistuu liiketoimintatavoitteisin ja on määritetty pitkän aikavälin onnistumista silmällä pitäen.
IAM-ratkaisut
Kun suojattujen käyttöoikeuksien käytön tarve eri ympäristöissä ja laitteissa kasvaa, IAM:n tärkeys tulee yhä selvemmäksi ja. Organisaatiot tarvitsevat käyttäjätietojen ja käyttöoikeuksien tehokkaan suuryritystasoisen hallintatavan, joka mahdollistaa yhteistyön ja parantaa tuottavuutta.
Sellaisen IAM-ratkaisun käyttöönotto, joka sopii olemassa olevaan IT-ekosysteemiin ja auttaa tekoälyn kaltaisella teknologialla IT-järjestelmänvalvojia valvoman ja hallitsemaan käyttöoikeuksia koko organisaatiossa, on parhaimpia tapoja parantaa organisaatiosi suojaustasoa. Jos haluat tietoja siitä, miten Microsoft voi auttaa sinua suojaamaan minkä tahansa sovelluksen tai resurssin käyttöoikeuksia, suojaamaan ja vahvistamaan kaikki käyttäjätiedot, myöntämään vain tarvittavat käyttöoikeudet ja yksinkertaistamaan kirjautumisprosessia, tutustu Microsoft Entraan ja muihin Microsoft Security -ratkaisuihin.
Lue lisää Microsoft Securitysta
Microsoft Entra
Suojaa käyttäjätietojasi ja resurssejasi käyttäjätietojen ja verkon käyttöoikeuksien monipilviratkaisuperheiden avulla
Azure Active Directory
Pidä käyttäjätiedot ja tiedot turvassa sekä yksinkertaista käyttöä. Azure AD:stä tulee Microsoft Entra -tunnukset
Microsoft Entra -tunnuksien hallinta
Suojaa, seuraa ja valvo tärkeimpien resurssien käyttöä.
Ulkoinen Microsoft Entra -tunnus
Tarjoa asiakkaillesi ja kumppaneillesi kaikkien sovellusten suojatut käyttöoikeudet.
Microsoft Entra ID -tunnuksien suojaus
Estä käyttäjätietojen kaappaaminen reaaliaikaisesti.
Usein kysytyt kysymykset
-
Käyttäjätietojen hallinnalla tarkoitetaan niiden määritteiden hallintaa, jotka auttavat käyttäjän identiteetin vahvistamista. Määritteet tallennetaan käyttäjätietojen hallinnan tietokantaan. Esimerkkejä määritteistä ovat nimi, työnimike, määritetty työpaikka, päällikkö, suorat alaiset ja vahvistusmenetelmä, jota järjestelmä voi käyttää varmistamaan, että käyttäjän ilmoittama identiteetti on oikea. Tämä vahvistusmenetelmä voi olla matkapuhelinnumero tai henkilökohtainen sähköpostiosoite.
Käyttöoikeuksien hallinta määrää, mihin käyttäjällä on käyttöoikeus sen jälkeen, kun hänen identiteettinsä ja vahvistettu. Nämä käyttöoikeuksien hallintatoiminnot voivat perustua rooliin, turvallisuusselvitykseen, koulutustasoon tai mukautettuihin asetuksiin.
-
Käyttäjätietojen ja käyttöoikeuksien hallinnan avulla varmistetaan, että vain oikeat ihmiset voivat käyttää organisaation tietoja ja resursseja. Se on kyberturvallisuuskäytäntö, jonka avulla IT-järjestelmänvalvojat voivat rajoittaa organisaation resurssien käyttöä niin, että vain käyttöoikeutta tarvitsevilla henkilöillä on käyttöoikeus.
-
Käyttäjätietojen hallintajärjestelmä on tietokanta, joka tallentaa niiden ihmisten ja laitteiden määrittävät tiedot, joiden on voitava käyttää organisaation tietoja ja resursseja. Tietokantaan tallennetaan määritteitä, kuten käyttäjänimiä, sähköpostiosoitteita, puhelinnumeroita, päälliköitä, suoria alaisia, määritetty työpaikka, koulutustaso ja turvallisuusselvitystaso. Näiden määritteiden avuilla voidaan varmistaa, että käyttäjä on se, joka sanoo olevansa. Käyttäjätietojen hallintajärjestelmää on päivitettävä jatkuvasti, kun ihmiset poistuvat yrityksestä tai tulevat yritykseen, vaihtavat rooliaan tai aloittavat tai päättävät projekteja.
-
Käyttäjätietojen ja käyttöoikeuksien hallintaohjelmisto sisältää työkalut, joiden avulla organisaatiot voivat vahvistaa sisäänkirjautumista yrittävien ihmisten ja laitteiden identiteetin, ja varmistaa, että käyttäjillä on käyttöoikeus oikeisiin resursseihin. Se on keskitetty tapa vahvistaa identiteetti, hallita käyttöoikeuksia ja merkitä suojausrikkomukset.
-
IAM on tärkeä osa pilvitekniikkaa, koska käyttäjänimet ja salasanat eivät enää ole tarpeeksi vahva tapa suojata organisaatiota murroilta. Salasanat voidaan hakkeroida tai unohtaa, ja monet organisaatiot ovat niin suuria, että käyttöyritysten manuaalinen hallinta ja valvonta ei ole mahdollista,. IAM-järjestelmä helpottaa käyttäjätietomääritteiden pitämistä ajantasaisina, käyttöoikeuksien myöntämistä tai rajoittamista roolin mukaan sekä poikkeamien ja suojausrikkomusten merkitsemistä.
Seuraa Microsoftia