Beheer

Security

ID as a service - aanvullende informatie

21 februari 2013

In dit webartikel staat aanvullende informatie op het artikel 'Digitale sleutelbos verdwijnt in de cloud' dat ook in de printeditie van AutomatiseringGids staat, zoals links naar extra informatiebronnen in het kader rechts.

Hieronder 10 vragen aan Hans Zandbelt, technisch directeur van Ping Identity EMEA, een van de toonaangevende technologieleveranciers. 

Wie zijn typische gebruikers van IDaaS-diensten?
Dat zijn werknemers van middelgrote en grote bedrijven die cloudgebaseerde applicaties willen gebruiken waarvoor een SaaS-licentie is aangeschaft door hun bedrijf. Zij dienen op een veilige, gebruiksvriendelijke en schaalbare (lees: niet nog een wachtwoord erbij) manier toegang te krijgen tot die applicaties.

Welke ontwikkeling maakt de gebruikersgroep de komende jaren door?
Steeds meer bedrijven zullen inzien dat het gebruik van cloudinfrastructuur niet "eng" is maar juist de mogelijkheid biedt om on-premise IT-infrastructuur, middelen en mensen uit te besteden aan specialisten. De veiligheid en beschikbaarheid van applicaties kan dus juist groter zijn dan bij het zelf hosten van die infrastructuur. De kosten kunnen omlaag door de schaalgrootte van de cloud. Met name de grootste bedrijven zijn hier nu nog huiverig voor waar het bedrijfskritische applicaties betreft; wat ons betreft is dat koudwatervrees die zal verdwijnen op de langere termijn. De identiteitsgerelateerde infrastructuur wordt nu nog vaak gezien als een gevoelig en kritisch bedrijfsbezit dat niet naar de cloud kan. Dat zal op den duur wel gebeuren.

Waarin verschillen de diensten van Ping Identity van de 2-factor authentication die bijvoorbeeld Google zelf biedt?
De diensten en producten van Ping Identity richten zich eigenlijk niet op de feitelijke authenticatie van gebruikers. Wij integreren ons product wel met authenticatietechnologieën van derden maar zelf richten wij ons op het transporteren van informatie over de identiteit van een geauthenticeerde gebruiker tussen verschillende domeinen met gebruik van gestandaardiseerde protocollen zoals SAML en OpenID. Het is bijvoorbeeld mogelijk om de 2-factor authenticatie van Google te integreren in onze producten, zodat die gebruikt kan worden om in te loggen op diensten van derden zoals Salesforce, Box of Workday.

Hoe gaat een typische identificatie in zijn werk in geval van on premise identiteitsgegevens? En wanneer de gebruikersgegevens zich in de cloud bevinden?
Conceptueel is er geen verschil: het gaat er om dat onze infrastructuur gegevens uitwisselt met een identiteits- en authenticatiesysteem van de klant zelf, waar dat gehost wordt maakt niet uit.
Wel is het zo dat men voor een implementatie gebruik kan maken van een lichtgewicht tool (ADconnect) die wij aanbieden om een connectie tussen een Active Directory en PingOne te leggen, of een "heavyweight" SAML oplossing bijv. PingFederate.

Wat zijn de lastigste aspecten van zo'n hybride on premise/cloud-implementatie?
Vanuit de dienst die wij aanbieden is er geen verschil. Het is aan de klant (enterprise business) om te bepalen waar en hoe deze zijn/haar identity store wil hosten en de gegevens beschikbaar wil stellen. Een hybride model biedt juist mogelijkheden om optimaal gebruik te maken van alle aspecten van on-premises en cloud features en de infrastructuur daar aan te bieden waar de klant het wenselijk acht.

Hoe garandeert Ping Identity de beveiliging van het identificatiesysteem?
Er is geen standaard-certificering gedaan; de SLA die wordt afgesloten bij het afnemen van PingOne bevat garanties over de beschikbaarheid en beveiliging. Vooralsnog is er geen duidelijk beeld van welke standaard-certificering belangrijk zou zijn voor de meerderheid van onze klanten.

De overheid, maar ook partijen als ConnectIS, sturen aan op hergebruik van identiteit. De overheid wil ieder bedrijf het liefst op eHerkenning. ook omdat de Belastingdienst van plan is daarmee te werken. Is dat een bedreiging voor IDaaS-dienstverleners?
Nee: de IDaaS dienstverlening kan juist een brug slaan tussen een bestaande identiteit en een toepassing die daarvan gebruik wil maken zodat niet 'alle' dienstverleners een verbinding moeten leggen met 'alle' identiteitsaanbieders. De IDaaS kan optreden als hub of makelaar.
Voor wat betreft e-Herkenning kan IDaaS voor bedrijven een uitkomst zijn om niet zelf de infrastructuur en koppeling met betrekking tot e-Herkenning te moeten hosten. Van belang is natuurlijk wel dat er standaarden worden gebruikt waarmee de diverse systemen gekoppeld kunnen worden.

Wat zijn de belangrijkste bottlenecks voor een brede toepassing van IDaaS nu?
a) Vertrouwen dat een dergelijke bedrijfskritische en gevoelige infrastructuur werkelijk goed in de cloud geplaatst kan worden.
b) Kritische massa; we zijn nog in een "early adopters" fase en er is een kip-ei-situatie: als er veel diensten op een gemakkelijke manier via IDaaS bereikt kunnen worden is dat aantrekkelijk voor bedrijven; als er veel bedrijven via IDaaS bereikt kunnen worden is dat aantrekkelijk voor dienstverleners.
c) Bestaande investeringen in relatief jonge on-premise identiteits-infrastructuur

Wat moet gebeuren om die bottlenecks uit de wereld te helpen?
Er is niet veel dat gedaan kan worden: tijd is het belangrijkst; tijd waarin getoond wordt door de early adopters dat het allemaal goed kan gebeuren.
Als er een uniforme manier van gebruik van identiteit kan worden gevonden over mobiele (native) applicaties en webapplicaties heen, zal dat het gebruik van IDaaS bevorderen, denk ik. IDaaS biedt mogelijkheden om hier sneller te innoveren dan met on-premise infrastructuur kan.

Gaat dat op afzienbare termijn gebeuren?
De standaarden hiervoor (OAuth 2.0, OpenID Connect) zijn nog in ontwikkeling; het zal twee tot vier jaar duren voordat deployment daarvan op een schaal gebeurd is die het voor alle stakeholders (business, Saas, IDaaS, vendors) zinvol maakt om aan te haken.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!