1. Består målgruppen av externa, anställda eller båda?
Innan man skaffar en IAM-lösning bör organisationen ha tänkt igenom vem målgruppen är. Om du har externa användare, såsom B2C- eller B2B-kunder, bör du överväga en Customer IAM solution (CIAM), med funktioner särskilt lämpade för självbetjäningsanvändarregistrering, inhämtning av samtycke och användarvänliga inloggningsfunktioner.
Behöver du däremot en lösning för medarbetarna så är du sannolikt mer mån om integrationsmöjligheter med befintliga system såsom HR, produktivitetsystem eller eventuella verksamhetsspecifika system samt möjlighet till självbetjäningsbeställning och godkännandeflöden om fler åtkomster behövs.
En tilltagande trend är att företag vill kombinera åtkomstkontroll för både externa och interna användare i samma plattform. Detta är först och främst kostnadseffektivt – en plattform är trots allt billigare än två. Det förenklar applikationshanteringen och är i princip givet om båda användargrupperna ska ha tillgång till samma applikation.
2. Endast moln, lite moln eller on-premise?
Med denna fråga siktar vi på leveransmodellen. IAM-tjänster tillhandahålls som offentliga molntjänster baserade på en mikrotjänstarkitektur (Public cloud / Software as a Service). Men också som privat tillgängliga molntjänster (Privat moln) baserade på en monolitisk arkitektur. Båda kallas ofta för "molntjänster", men det är bra att vara medveten om skillnaderna.
En offentlig molntjänst är ofta billigare i drift och förnyas oftare (utan driftstopp), medan en privat molntjänst kan anpassas i större utsträckning. Den sistnämnda bygger på lokala lösningar, som hittills varit den vanligaste leveransmodellen för de mest funktionsrika och flexibla lösningarna.
Det ska även sägas att eftersom containertekniken har blivit aktuell även för IAM-plattformar, förväntas detta kombinera fördelarna med de tidigare nämnda molnvarianterna. Vad som i slutändan är det bästa valet för ditt företag beror helt på kraven på funktionalitet, behovet av anpassning, samt den föredragna förvaltningsmodellen.
3. Säker inloggning, identitetshantering eller båda?
För att kunna välja en lämplig lösning bör man känna till de olika funktionsområden som lösningarna omfattar. Om du till exempel vill förenkla och säkra inloggningen till molntjänster, så letar du efter en annan grundläggande funktionalitet än den för hantering av beställning, auktorisering och revision av applikationsåtkomst.
Alla leverantörer i denna bransch har "Identity" i sin produktbeskrivning. Detta kan vara förvirrande, eftersom termen täcker ett stort ämnesområde och få av lösningarna täcker allt.
Om det är önskvärt att lösningen erbjuder Single Sign-On, så letar du förmodligen efter en IAM, IAMAaS eller helt enkelt en AM-lösning. A:et i dessa förkortningar står för Access som i Access Management, dvs. åtkomstkontroll.
Å andra sidan står A:et i förkortningen IGA för "Administration" som i Identity Governance and Administration. En IGA-lösning erbjuder inte funktioner som Single Sign-On eller multifaktorautentisering, men har sina styrkor inom identitetshantering, och särskilt Identity Governance. Det kan vara förvirrande, men det är viktigt att vara medveten om, så att du vet exakt vad du letar efter.
4. Login med BankID, Freja eID eller Meta?
Om kunder, partners eller leverantörer ska logga in på företagets tjänster bör detta beaktas i kravspecifikationen. Genom integration med externa identitetstjänster som BankID, Freja eID och Meta förenklas inloggningen. Vissa identitetstjänster är också väl lämpade för att verifiera nya användares identitet.
På senare tid har vi sett en betydande ökning av efterfrågan på sådana lösningar inom både B2C och B2B, men också för företagen själva.
5. Automatisera manuella processer
Alla IAM-lösningar erbjuder automatisering, men i olika utsträckning. I sin enklaste form tillhandahåller de automatiskt skapande och borttagning av användarkonton. Men ibland kanske detta inte är tillräckligt. Kanske vill du att åtkomsten ska skapas en anställds första dag eller 24 timmar i förväg, och inte samma dag som medarbetaren registrerades i HR-systemet.
Det finns många andra exempel där automatisering sparar tid. Det kan till exempel vara lämpligt att automatisera licenstilldelningen i MS Office 365 eller spara licenskostnader genom att ta bort åtkomst till applikationer för användare som inte har loggat in under de senaste 180 dagarna.
Behovet av logiska operationer och manipulering av identitetsattribut, såsom namn, position eller användarnamn i tillhörande applikationer, är ett annat viktigt område som ofta förbises. En IAM-lösning flyttar identitetsinformation mellan olika system och då uppstår förr eller senare behov av att anpassa information längs vägen.
Stödet för automatisering varierar mycket mellan IAM-lösningar. Vissa erbjuder stor frihet, vissa erbjuder ett "no-code"-gränssnitt, medan andra är begränsade till inbyggda automationsfunktioner.
6. Integrationer
En IAM-lösning är integrerad med ett företags applikationer. Implementering och hantering förenklas om nödvändiga integrationer följer med lösningen, men ofta täcker de inte alla företagets system. Då är det viktigt att lösningen stödjer expansioner med tredjeparts- eller egenutvecklade integrationer.
Ett råd i sammanhanget är att prioritera vilka applikationer som ska integreras, eftersom det sällan är lämpligt att koppla upp sig till absolut alla applikationer. Här bör man väga vinsten mot kostnaden, och överväga att strunta i applikationer som bara används av ett fåtal.
Det är också viktigt att vara medveten om behovet av integrationsdjup: Ska IAM-plattformen bara skapa användarkonton, eller ska den också tilldela och stämma av rättigheter i den tillhörande applikationen? Kravspecifikationen bör därför åtminstone innehålla en översikt över företagets relevanta applikationer, gärna även den funktionalitet som förväntas av integrationen
7. Skapa en identitetsstrategi
Identitetsprojekt kan ha ganska olika ambitionsnivåer. Att introducera Single Sign-On till ett par molnapplikationer är ett mycket enklare initiativ än ett program för att introducera rollbaserad åtkomstkontroll, självbetjäningsbeställning av applikationer och åtkomstrevision. Initiativen kan sträcka sig från relativt enkla till mer krävande IT-projekt, vissa även med inslag av organisatoriska förändringsprojekt.
Möjligheterna är många och därför är den bästa rekommendationen att förbereda en identitetsstrategi inför anskaffandet. Strategin görs utifrån organisationens behov, ramvillkor och prioriteringar. Den kan också innehålla en "Identity Roadmap" om det finns behov av att sprida Identity-initiativen över tid. Processen hjälper företaget att definiera en realistisk ambitionsnivå och därmed kraven på IAM-lösningen.
8. Tillgång till professionella konsulter
En IAM-produkt är ett verktyg, och framgången för ett Identity-initiativ beror på korrekt användning av detta verktyg. Alla IAM-lösningar ska anpassas, både till organisation, processer och företagets övriga system. Det är lika viktigt att detta arbete utförs på rätt sätt, som att du väljer rätt verktyg för jobbet.
I många fall kommer även en IAM-lösning behöva anpassas, och troligen även byggas ut under plattformens livscykel. De flesta företags applikationsportfölj är mer eller mindre i ständig förändring och organisationsstrukturer och arbetsuppgifter förändras då och då.
När man väljer en IAM-lösning bör man därför överväga tillgången på ämnes- och produktkompetens hos olika integratörer på marknaden, eftersom denna kompetens med hög sannolikhet kommer att behövs förr eller senare. Huruvida det är önskvärt att denna expertis finns lokalt eller i princip levereras från var som helst, styrs av företagets preferenser och riktlinjer.