För att växa måste varje företag, verksamhet eller organisation ha en systematisk metod för att ordna anställda eller medlemmar. Idag faller den metoden ofta under flaggan Identity and Access Management (IAM), eller ibland även känd som Identity Credential Access Management (ICAM). I båda fallen beskriver det övergripande ramverket hur nya medarbetare ska ingå i organisationen, och hur man hanterar succession och avfördelning av konton vid behov.
Element av identitets- och åtkomsthantering avser alla företag av alla storlekar. Det är aldrig för tidigt att börja fundera på hur en organisation ska hantera och underhålla anställda eller medlemmar.
I det här dokumentet utforskar vi de sex primära delarna av Identity and Access Management, och hur du kan tillämpa dem på din organisation.
Sex delar av identitets- och åtkomsthantering
I ett antal industri- och analytikerrapporter faller de primära områdena Identity and Access Management in
Lösenordshantering
Avancerad autentisering
Provisionering
Katalogtjänster
Single Sign On
Revision, efterlevnad, styrning
Börja med lösenordshantering
Varje organisation börjar med en eller flera individer, och det är vettigt att börja med lösenordshantering och aktivera anställda från början.
Till exempel, även innan individer börjar skapa nya konton, behöver de förmågan att generera långa och unika lösenord för varje webbplats eller tjänst de behöver. En lösenordshanterare med en inbyggd lösenordsgenerator gör detta enkelt. Redan från dag ett sätter anställda sig själva i den bästa positionen för att lyckas genom att hålla konton åtskilda och säkra med långa och unika lösenord.
Lägg till delning till lösenordshantering för teamsamarbete
När individer har en lösenordshanterare för att generera långa och unika lösenord, och behålla dem för enkel åtkomst, kan du gå vidare till att säkert dela referenser inom ett team.
Affärsorienterade lösenordshanterare möjliggör hantering av organisationer och säker, strukturerad delning mellan grupper av användare. Dessa grupper kan tilldelas olika samlingar av känsliga föremål som företagsinloggningar, delade kreditkort eller wifi-lösenord på kontoret.
Genom att etablera en end-to-end krypterad plattform för säker delning, lägger varje organisation den rätta grunden för anställdas och företagets säkerhet.
Inkludera avancerad autentisering
Med ett långt, komplext, slumpmässigt och unikt lösenord per konto sätter användarna sig själva i en stark position för att vara skyddade. Ett ännu starkare steg är att lägga till tvåstegsinloggning, eller tvåfaktorsautentisering, till både inloggningen för din lösenordshanterare och andra webbplatser och tjänster.
Med din lösenordshanterare kan tvåstegsinloggning konfigureras med autentiseringsprogram, säkerhetsnycklar, e-post eller SMS. Observera att SMS idag anses vara en av de mer mottagliga metoderna för hackning på grund av förekomsten av SIM-jacking som en inbrottsstrategi.
Vilken väg användare än väljer, se till att alla förstår konsekvenserna av tvåstegsinloggning, behåller en kopia av återställningskoder för webbplatsens tvåstegsinloggning om de erbjuds och har en metod för att säkerhetskopiera autentiseringsnycklarna som erbjuds under registreringsprocessen för tvåstegsinloggning.
Använda en lösenordshanterare med inbyggd tvåstegsinloggning
Vissa lösenordshanterare erbjuder inbyggda autentiseringsverktyg. Detta ger enorm bekvämlighet för användare, särskilt i delade inställningar. Användare kan nu dela en inloggning, inklusive tvåstegsinloggningssekvensen, och behöver inte oroa sig för att ringa eller sms:a varandra för att ta reda på den hemliga koden.
Naturligtvis kan vissa fråga om poängen med att inkludera ett inbyggt autentiseringssteg med din lösenordshanterare, och förnekar det värdet av autentisering. I slutändan har användarna val och arbetsgivare kan utbilda om föredragna metoder. Detta är skälen till att följa ett integrerat tillvägagångssätt
Ditt lösenordshanterarvalv bör ha tvåstegsinloggning med en annan metod. (Viktigt: du bör inte använda din lösenordshanterarens inbyggda autentisering för att skydda ditt lösenordshanterarkonto.) Därför är ditt valv och dina konton för närvarande skyddade med en hög säkerhetsnivå och faktiskt tvåstegsinloggning.
Att ha tvåstegsinloggning aktiverad för webbplatser och applikationer ger mer säkerhet än att inte ha det aktiverat. En snävare kombination av tvåstegsinloggning gör det lättare att använda oftare, vilket främjar bättre säkerhetsrutiner.
Om du behöver dela ett objekt kan du dela det med tvåstegsinloggning aktiverad, vilket återigen främjar bättre säkerhet. Detta är ett kraftdrag för samarbete och tvåstegsinloggning.
Du behöver inte komma ihåg vilken autentiseringsapp du använde, eftersom den förblir inbyggd.
Du kan alltid välja, på individuell basis, vilken inloggning som ska autentiseras internt i din lösenordshanterare, eller externt med en separat autentiseringsapp.
Utveckling till lösenordslös
När världen går över till lösenordslös, se till att din lösenordshanterare och din övergripande strategi för identitets- och åtkomsthantering innefattar lösenordslösa alternativ. Till exempel
Se till att du kan logga in på enheter med biometri, samt aktivera autofyllfunktioner för autentiseringsuppgifter med biometri
För enkel inloggning, som också diskuteras senare, utforska alternativ som erbjuder lösenordslösa upplevelser
Överväg användningen av säkerhetsnycklar i hela organisationen
Ha redundanta alternativ i åtanke när du distribuerar säkerhetsnycklar, samt säkerhetskopierings- och återställningsprocedurer om nycklar försvinner, eller om nycklar är anslutna till företagskritiska användarkonton
Det kan till exempel vara meningsfullt för en anställd att lista platsen för eventuella säkerhetsnyckel för säkerhetskopiering i deras lösenordshanteringsvalv, endast tillgängliga att se vid kontoövertagande och akutåtkomst
Försörjning för framgång
Ju snabbare anställda ökar i ett nytt företag, desto snabbare kan de vara produktiva och bidra till framgång. Föga överraskande tar provisionering en stor budgetdel av identitets- och åtkomsthantering, men förblir spridd över ett antal system och verktyg.
Företag anpassar ofta sina introduktionsprocesser baserat på de primära systemen på plats som e-post, meddelanden, katalogtjänster och enkel inloggning som diskuteras mer i detalj inom kort.
För att underlätta den bästa introduktionsupplevelsen för anställda och säkerställa att lösenordshanteraren kan passa inom ett övergripande ramverk, leta efter lösenordshanterare som erbjuder
Ett robust applikationsprogrammeringsgränssnitt (API) för att integreras med befintliga system
Ett fullt utrustat kommandoradsgränssnitt som möjliggör skript för anpassade processer
Förmågan att integrera med befintliga Identifiering och Access Management System som t.ex
Katalogtjänster
Single Sign On
Revision och inloggningar
Katalogtjänster för grupporganisation
Större företag använder ofta katalogtjänster för att hålla de anställda organiserade efter avdelning. Det kan till exempel finnas grupper baserade på försäljning, marknadsföring, teknik, IT och ekonomi. Dessa befintliga katalogtjänster ger ett sätt att ordna anställda efter funktion, lägga till nya medarbetare till rätt grupper snabbt och ta bort konton vid behov.
Lösenordshanterare på företagsnivå integreras med katalogtjänster för att ordna grupper av användare inom lösenordshanteringsorganisationens valv. Om en grupp ekonomianställda har tillgång till en specifik uppsättning av uppgifter om skattetjänster, kommer en ny medlem i den gruppen automatiskt att få tillgång till dessa uppgifter.
Vissa företag använder kataloggrupper för att även underlätta ad hoc-team. Till exempel kan ett avdelningsövergripande tigerteam bildas kring ett nytt affärsinitiativ. Teamet kan begära en egen lösenordshanteringsgrupp. Med katalogintegration kan detta nya tigerteam synkroniseras med lösenordshanteringsapplikationen och snabbt aktivera en uppsättning säkra referenser.
Logga in med SSO för enhetlig åtkomst
Med uppsvinget i SaaS-applikationer (Software-as-a-Service) drog många företag fördel av Single Sign On för att möjliggöra enhetlig åtkomst till webbplatskonton. Självklart kräver Single Sign On att webbplatsen eller tjänsten har den funktionen tillgänglig. Medan många webbplatser som riktar sig till företag erbjuder Single Sign On, finns det fortfarande en värld av webbplatser och tjänster som inte gör det. En lösenordshanterare fyller den luckan och mer.
Vissa lösenordshanterare kan också integrera med Single Sign On, vilket gör att företag kan automatiskt tillhandahålla användare till en organisation.
Naturligtvis är en end-to-end-krypterad applikation som en lösenordshanterare lite annorlunda än din typiska SaaS-tjänst. Eftersom en säkerhetsmodell för lösenordshanteraren med noll-kunskapskryptering garanterar att leverantören inte kan se något i ditt valv, får sammanhanget med Single Sign On en annan smak.
Rotförutsättningen för en lösenordshanterare är att slutanvändaren innehar nyckeln för att kryptera och dekryptera sina data. Lösenordshanteraren känner inte till nyckeln och kan inte ge den till användaren om den skulle förloras. På samma sätt kan en lösenordshanterare inte bara blint ge en slutanvändardekrypteringsnyckel till en annan tredjepartstjänst (som en identitetsleverantör) och lita på att den andra leverantören håller nyckeln säker.
Genom att inse detta möjliggör en säker modell för att integrera med befintliga identitetsleverantörer autentisering genom identitetsleverantören, men behåller krypteringen och dekrypteringen med ett huvudlösenord som behålls av användaren, specifikt för lösenordshanteraren. Detta säkerställer att ingen tredje part har tillgång till att dekryptera slutanvändarvalvet. Det betyder också att huvudlösenordet för kryptering och dekryptering ska vara unikt för lösenordshanteraren.
Detta tillvägagångssätt säkerställer också att användare kan dra nytta av alla klientapplikationer som erbjuds av lösenordshanteraren över webbläsare, mobila operativsystem, stationära operativsystem, webbåtkomst och kommandoradsgränssnitt.
Revision för efterlevnad och styrning
I en större skala behöver företag övervaka sina system, inklusive tillgång och användning av anställda. Företag använder ofta loggnings- och revisionslösningar som mottagare av information från en mängd olika källor. Populära företagsloggnings- och analyssystem inkluderar Splunk, tillsammans med Kibana från Elastic.
Robusta lösenordshanteringssystem tillhandahåller loggningsinformationen via applikationsprogrammeringsgränssnitt (API) som kan mata de befintliga loggsystemen. Detta levererar
En enda plats för IT- och säkerhetsteam att samla in information
Möjligheten att korrelera händelser mellan en lösenordshanterare och andra delar av en övergripande strategi för identitets- och åtkomsthantering
Möjligheten att mata in befintliga varningar
Leverera en integrerad lösning för identitets- och åtkomsthantering
Företag har val när de använder rätt blandning av verktyg för identitets- och åtkomsthantering och kan expandera allt eftersom de växer. Oavsett din punkt på resan, bör alla företag ge anställda möjlighet att hantera autentiseringsuppgifter på ett säkert sätt, generera långa och slumpmässiga lösenord vid behov och underlätta krypterad delning från början till slut för känslig information.
För att tillföra dessa funktioner till ditt eget företag, kom igång med en gratis testversion av Bitwarden-företaget idag.