Avlivning av et par IAM myter

27 04 2009

Inspirert av boken Digital Identity av Phillip J. Windley synes jeg det er litt interessant å se litt på noen myter og uttalelser om IAM. Av erfaring møter IAM ofte litt motstand av teknologer og IT-drift som er redd for å miste arbeidsoppgaver. Det er spesielt uttalelser som «Vi har Active Directory så vi kan gjøre alt det der» som skaper litt bekymring hos meg. Da er betydningen «alt det der» ment å dekke hele administrasjon av livssyklusen til en brukeridentitet. Vel, det er faktisk ikke mulig å gjøre «alt det der» som en komplett IAM arkitektur kan gjøre ved og bare bruke AD alene. Det er faktisk sånn at katalogtjenester, som AD, er en del av en IAM arkitektur, og en sentral komponent også. Men å tro at AD alene er en vidunderkur for problemområder forbundet med brukeradministrasjon og tilgangskontroll er skivebom. Mange selskaper er nok i tvil om hvorvidt alt arbeid som er nødvendig for en IAM innføring faktisk vil hjelpe. De som har denne innstillingen er kanskje tilbøyelig å tro på noen av mytene om IAM.

Myte nr 1 er noe slikt som «IAM er bare bra for mindre bedrifter, men vårt selskap er for stort til å gjennomføre denne type planlegging». Sannheten er at desto mer kompleks organisasjonen er, desto større behov har man for å integrere systemene sine for å få en strategisk verdi av IAM. Uten systemer som samspiller vil selv de minste oppgavene bli store prosjekter siden de alltid må tilpasses en infrastruktur som er bygget på ad-hoc prinsipper. Hver applikasjon lever sitt eget liv når det gjelder kontroll og styring av brukere og tilganger. Start med å definere en IAM visjon og strategi, så vil forretningsverdiene forhåpentligvis bli tydelige.

Myte nr 2 er et motsatt utsagn. «Dette passer kun for store selskaper, men vi er ikke så store, og dessuten har vi ikke nok ressurser til å gjennomføre noe slikt». IAM prosesser kan med fordel implementeres selv i mindre organisasjoner. Man har kanskje allerede god kontroll på prosessene relatert til brukerkontroll og identitetsdata, så man kan derfor begynne med et rammeverk for samspill mellom applikasjoner og identitetsdata og noen grunnleggende policies. Deretter kan man definere og bygge en referansearkitektur og følge den. Dette vil sørge for at organisasjonen står godt rustet til å håndtere endringer og vekst.

En variasjon av myte nr to leder oss til myte nr 3. «IAM fungerer kun for selskaper som har en tradisjon for å planlegge. Vi derimot er kjente for å ta raske beslutninger». De som kan si noe slikt med et alvorlig ansikt driver også med planlegging, men de erkjenner ikke at det er det de gjør. Medisinen for denne er ofte det samme som myte nr 5. For å håndtere denne type meninger er det viktig å etablere en styringsmodell som er tilpasset virksomhetens tradisjoner og rutiner, men opprett standarder og policies som vil være en rettesnor for systemutvikling.

Den fjerde myten er noe slikt som at «vi bruker all vår tid på å planlegge men får ikke tid til å utføre noe av det». Denne type uttalelser viser jo bare at man ikke har forstått at innføringen av IAM må tilpasses organisasjonens krav. Løsningen vil være å finne de områdene og prosessene i organisasjonen hvor IAM vil utgjøre store forbedringer og få best effekt. Prioriter fokuset på disse IAM prosessene og områdene og repeter dette arbeidet på neste fokusområde i neste runde.

Den femte og siste myten er svært vanlig i IT-miljøer. «Samspill og integrasjon handler bare om å utvikle eller kjøpe riktig teknologi». Veldig mange teknologer skulle nok svært gjerne ønske at det var tilfellet og handle deretter. Resultatet av dette har vi erfart mange ganger alle sammen, nemlig en haug med prosjekter som feiler og ikke kan oppfylle de opprinnelige målsetningene, nettopp fordi man hopper over styring og modellering som er viktige suksesskriterier. Det eksisterer vel nok referanseerfaring rundt om kring nå som viser at god IT styring er så mye mer enn å gå til anskaffelse av et gitt produkt.

Det er flere myter og utsagn som kan nevnes, men hovedbudskapet er at når IAM er drevet av forretningen og ikke IT, er det nødvendig at samtaleemnene og fokuset må handle om dokumenter, data, handlinger, mennesker, prosesser og samarbeid i stedet for maskiner og nettverk. Hvordan din organisasjon håndterer brukeridentiteter vil ha en stor påvirkning på hvorvidt man konstant driver med brannslukking for å bekjempe problemer og feil, eller om man kan utnytte de mulighetene som IAM kan tilby med en fleksibel og fornuftig infrastruktur for identitetsforvaltning og tilgangskontroll.

Share on Facebook

Reklamer

Handlinger

Informasjon

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s




%d bloggere like this: