

BLOGI
IAM-asioissa törmää jatkuvasti tilanteisiin, joissa käytetään tuttuja termejä, mutta niillä tarkoitetaan eri asioita. Koska aihepiirissä ei ole mitään ihmeellistä, niin päätin ylimpänä (tuntemanani) IAM-auktoriteettina tehdä globaalin suomenkielisen sanaston.
IAM (Identity and Access Management) eli käyttövaltuuksien ja pääsyjen hallinta tarkoittaa nykyään IGA:aa. IAM on vain kattotermi mille tahansa, mikä liittyy identiteetteihin, käyttöoikeuksiin, henkilöihin, pääsyihin tai ylipäänsä IT:n pimeisiin sopukoihin. Varsinaiseen pääsynhallintaan IAM ei siis liity muuten kuin yläkäsitteenä, vaikka termistä itsessään voisi muuta käsittää.
IDM - Identiteetinhallinta
Yleiskielessä tämä termi on synonyymi IAM:lle. Me asiantuntijat kuitenkin erotamme tämän IAM:stä, mutta emme oikein kykene yleistajuisesti selittämään miksi. Jotenkin se liittyy siihen, että tässä on kyse henkilön sähköisestä identiteetistä, eikä henkilön käyttövaltuuksista, vaikka kuitenkin osittain on.
IGA - Käyttövaltuushallinta
Tämä termi IGA (Identity Governance and Administration) voidaan suomentaa myös identiteettien hallinnoinniksi, mikä on kuitenkin turhan suppea käännös. Oikeasti IGA:ssa on kyse vanhasta kunnon IAM:sta, eli käyttöoikeusprosessien automatisoinnista, hallinnasta ja raportoitavuudesta. On ammattitaidon osoitus puhua IGA:sta eikä IAM:sta, jonka kaikki muut ymmärtäisivät. Lisää rispektiä saa kertomalla todellisen IGA:n ja IAM:n erot.
AM - Pääsynhallinta
Kun IAM/IDM/IGA hoitaa luvituksen eli auktorisoinnin, hoitaa AM (Access Management) autentikoinnin. SSO, 2FA, MFA ja federoinnit liittyvät käytännössä aina pääsynhallintaan. Pääsynhallinta on aina todella yksinkertaista, sillä tähän liittyvät prosessit ovat käytännössä pelkkää tekniikkaa, toisin kuin IGA:ssa. Kaikkihan tekniikkaa osaavat.
PAM - Pääkäyttäjäoikeuksien hallinta
Käytännössä "PAM:it" (Privileged Access Management) voivat olla mitä tahansa korotettuja tai ei-tavallisia käyttöoikeuksia. Nämä oikeudet eivät ole kovinkaan tärkeitä, sillä niitä on vain harvoilla henkilöillä, joista näistäkin moni on ulkoisia (eli usein IT-toimittajan) henkilöitä. Jos tietoturvallisuuden kannalta kriittisimmät oikeudet kuitenkin tuntuvat olennaisilta, on hyvä tietää, että PAM käsittää monesti sekä pääkäyttäjäoikeuksien hallintaprosessit että pääkäyttäjien pääsynhallintaprosessit. Mikä on aika näppärää.
SAM - Palvelutunnusten hallinta
Tämä voi olla PAM:n alakategoria tai sitten ei. SAM:issa (Service Account Management) kyse on siis teknisten tunnusten hallinnasta ja esimerkiksi salasanakierrosta järjestelmien ja palveluiden välisessä kommunikaatiossa.
GRC - Hyvä hallintotapa, riskienhallinta ja vaatimustenmukaisuus
GRC (Governance, Risk and Compliance) on lähtökohtaisesti organisaation hallinnollinen viitekehys tai muistilista. Tietyt asiat vain pitää hoitaa, jotta toiminta täyttää laadukkaan toiminnan, lainsäädännön, läpinäkyvyyden ja jatkuvuuden vaatimukset. IAM on käytännön väline, minkä avulla GRC-hallintaa voidaan toteuttaa organisaatiossa.
CIAM - Asiakas- tai loppukäyttäjäidentiteettien hallinta
Käytännössä CIAM (Customer Identity and Access Management) viittaa aina kuluttajaidentiteetteihin. Ja toisin kuin perus IAM:ssa, pääsynhallinta oikeasti kuuluu tähän samaan prosessiin. Eli kyse on siitä, kuinka tavallinen ihminen pääsee käyttämään vaikkapa jonkun ison firman julkaisemaa kännykkäappia. Kuinka siihen rekisteröidytään, kuinka henkilö tunnistetaan, kuinka hän kokee firman palvelut yhtenä kokonaisuutena ja kuinka hän toistuvasti kirjautuu palveluihin kännykällään tai läppärillään. Jokainen vähänkin isompi suomalainen on siis kokenut CIAM-asiantuntija, halusi tai ei.
Vaikka termit yllä onkin tyhjentävästi ja oikein määritelty, voi silti yhden henkilön IAM tai IGA poiketa täysin toisen henkilön vastaavista. Joskus IAM:ia on luoda käyttäjätili toiseen järjestelmään, joskus kyse onkin pääsynhallinnan toteutuksesta tilausportaaliin ja joskus taas hienojakoisesta Azure-pohjaisesta roolienhallinnan toteutuksesta.
Helppoahan tämä on!
(Kirjoittaja pidättää pilke silmäkulmassa oikeuden muuttaa määrityksiä sitä mukaa, kuin aika opettaa tai joku kertoo kuinka asiat oikeasti ovat)
Henrik Nykänen Telialta