Identiteetinhallinta, eli se kuka saa pääsyn mihinkin ja milloin, on yksi IT:n kalleimmista ja monimutkaisimmista osa-alueista. Kaupalliset ratkaisut kuten SailPoint, Saviynt ja One Identity maksavat tyypillisesti kuusinumeroisia summia. Käyttöönotto kestää kuukausia.

Rakensin toimivan IGA-alustan kahdessa viikossa. Yksin.

EuroID ei ole tuotantovalmis tuote. Se on proof of concept — toimiva todiste siitä, että modernilla arkkitehtuurilla ja oikeilla periaatteilla vastaavan ytimen voi rakentaa murto-osassa perinteisestä ajasta ja budjetista.

Tässä artikkelissa avaan sen arkkitehtuurin ja selitän selkokielellä, mitä alusta tekee ja miksi sillä on väliä.

EuroID: Governance Overview -näkymä

Ongelma: kukaan ei tiedä kenellä on pääsy mihinkin

Jokaisessa yrityksessä on sama perusongelma: ihmiset tulevat, menevät ja vaihtavat rooleja. Joka kerta pitäisi luoda tunnuksia, antaa käyttöoikeuksia, päivittää niitä ja lopulta poistaa ne.

Käytännössä tämä tapahtuu käsin. HR ilmoittaa uudesta työntekijästä sähköpostilla. IT-tuki luo tunnukset järjestelmä kerrallaan. Kun joku vaihtaa osastoa, oikeudet jäävät päivittämättä. Kun joku lähtee, vanhat tunnukset jäävät roikkumaan.

Lopputulos: kukaan ei tiedä kenellä on pääsy mihinkin. Tietoturvaongelma, compliance-ongelma ja operatiivinen riski.

Ratkaisu: automaattinen elinkaari

EuroID automatisoi koko käyttäjän elinkaaren:

Työntekijä aloittaa: HR-järjestelmä lähettää tiedon, ja tunnukset luodaan automaattisesti kaikkiin tarvittaviin järjestelmiin: pilviympäristö, hakemistopalvelu, viestintätyökalut, pilvi-infrastruktuuri.

Rooli vaihtuu: käyttöoikeudet päivittyvät automaattisesti politiikkojen mukaan. Ei tikettejä, ei käsityötä.

Työsuhde päättyy: kaikki tunnukset poistetaan hallitusti, eikä jälkeen jää mitään roikkumaan.

Ja koko ajan järjestelmä valvoo itseään: jos joku tekee manuaalisen muutoksen kohdejärjestelmässä, alusta havaitsee sen ja korjaa poikkeaman.

Arkkitehtuuri: kuusi elintä

Arkkitehtuuri on rakennettu kehon metaforan ympärille. Jokainen osa tekee yhden asian hyvin:

Heart: Identiteetti. Jokainen käyttäjä on yksi "Golden Record" johon kaikki HR-lähteet yhdistyvät. Yksi totuus, ei kymmeniä kopioita eri järjestelmissä.

Brain: Politiikka. Sääntömoottori joka päättää automaattisesti, mitä oikeuksia käyttäjä saa roolinsa, osastonsa ja sijaintinsa perusteella. Ei käsityötä, ei arvailua.

Hands: Konnektorit. "Tyhmät putket" jotka kirjoittavat kohdejärjestelmiin. Konnektori ei päätä mitä tehdään, vaan toteuttaa. Kaikki äly asuu politiikkakerroksessa. Tällä hetkellä viisi konnektoria: pilviympäristö, hakemistopalvelu, viestintä, pilvi-infrastruktuuri ja pilvioikeuksien hallinta.

Eyes: Täsmäytys. Vertaa jatkuvasti toivottua tilaa todelliseen tilaan. Jos joku muuttaa käsin oikeuksia kohdejärjestelmässä, silmät havaitsevat sen ja laukaisevat korjauksen.

Safety: Simulaatio. Jokainen muutos ajetaan ensin dry-run-analyysin läpi. Järjestelmä laskee muutoksen vaikutusalueen ennen kuin mitään tapahtuu tuotannossa.

Nerves: Orkestraatio. Temporal-työnkulut ohjaavat koko ketjun: onboarding, offboarding, roolinvaihto, pilvianalyysi. Jokainen vaihe on seurattavissa ja uudelleen ajettavissa.

Päävirta: mitä tapahtuu kun uusi työntekijä aloittaa

Konkreettisesti ketju toimii näin:

  1. HR-järjestelmä lähettää tiedon uudesta työntekijästä
  2. Data validoidaan ja yhdistetään Golden Recordiksi (Heart)
  3. Politiikkamoottori päättää käyttöoikeudet roolin perusteella (Brain)
  4. Simulaatio laskee vaikutukset ja varmistaa ettei mitään odottamatonta tapahdu (Safety)
  5. Orkestraattori käynnistää onboarding-työnkulun (Nerves)
  6. Konnektorit luovat tunnukset kohdejärjestelmiin (Hands)
  7. Täsmäytys varmistaa, että kaikki meni oikein (Eyes)

Koko ketju on automaattinen. Ei tikettejä, ei sähköposteja, ei "Pekka hoitaa kun ehtii".

Laajuus

Tämä ei ole hello world -demo. Alustan laajuus numeroina:

Backend: noin 20 moduulia (identiteetti, politiikka, konnektorit, täsmäytys, pilvioikeudet, etuoikeutettu pääsy, riskipisteytys ja muut). Viisi konnektoria kohdejärjestelmiin. Neljä Temporal-työnkulkua. Frontend: React-dashboard analytiikalla. 19 tietoturvasääntöä koodissa. Compliance-mappaukset: GDPR, SOC 2 Type II, NIST 800-53.

Miksi tämä on merkittävää

Ei siksi, että rakentaisin kilpailijan SailPointille. Vaan siksi, että tämä kertoo jotain oleellista siitä, missä tekniikka menee juuri nyt.

Yksi ihminen, kaksi viikkoa, toimiva järjestelmä. Modernit työkalut ja tekoäly mahdollistavat asioita, jotka vielä pari vuotta sitten vaativat tiimin ja kuukausien työn. Mutta vain jos tietää mitä on rakentamassa.

Arkkitehtuuri ratkaisee, ei budjetti. Oikeilla perusperiaatteilla (Golden Record, politiikkapohjainen provisiointi, tyhmät konnektorit, simulaatio ennen toteutusta) saa toimivan ytimen murto-osassa siitä mitä kaupallinen ratkaisu maksaa. Tekoäly nopeuttaa toteutusta, mutta se ei korvaa kokemusta käyttötapauksista ja järjestelmäarkkitehtuurista.

IAM ei ole mystistä. Se on prosessin hallintaa: kuka saa mitä, milloin ja miksi. Kun periaatteet ovat kunnossa, teknologia on vain työkalu.

Lopuksi

Parasta tässä projektissa ei ole yksittäinen ominaisuus. Parasta on se, että koko ketju toimii: HR-muutos kulkee validoinnin, politiikan, simulaation ja provisioinnin läpi automaattisesti — ja järjestelmä korjaa itsensä, jos kohdejärjestelmässä joku tekee manuaalisen muutoksen.

Tämä on se "itsestään parantuva IT-ympäristö" käytännössä.

Jos identiteetinhallinta tai käyttöoikeuksien automaatio kiinnostaa, tai haluatte selvittää, missä teidän ympäristön IAM-tilanne on, aloitetaan keskustelusta.

Haluatko tietää, missä kunnossa ympäristönne identiteetinhallinta on? IT-kuntokartoitus kattaa myös IAM:n. Riippumattomasti.