Manajemen identitas dan akses (terbuka di tab baru) (IAM) adalah istilah umum untuk solusi teknis, proses, dan kebijakan yang digunakan organisasi untuk mengelola identitas pengguna dan mengatur akses pengguna ke jaringan perusahaan. Tujuan utama IAM adalah untuk melindungi aset perusahaan dengan memastikan bahwa hanya pengguna yang tepat yang dapat mengaksesnya, dalam konteks yang tepat.
Sementara kata “pengguna” dapat memunculkan gambar orang yang duduk di depan komputer atau menatap ponsel mereka, tidak semua “pengguna” adalah manusia. Perangkat keras komputer dan perangkat Internet of Things (IoT) harus diautentikasi sebelum mengakses jaringan. Banyak aplikasi harus mengautentikasi ke aplikasi atau layanan lain agar berfungsi, seperti aplikasi yang melakukan panggilan API.
Baik manusia atau mesin, sistem IAM memberikan identitas digital yang unik kepada setiap pengguna. Identitas ini tidak hanya mencakup siapa atau apa penggunanya, tetapi juga tingkat akses apa yang diberikan kepada mereka dalam sistem dan aplikasi. Karena peran pengguna biasanya berubah sepanjang waktu dengan organisasi, identitas digital tidak statis. Mereka harus dipantau, dipelihara, dan diamankan selama pengguna memiliki akses jaringan.
komponen IAM
Paling sederhana, sistem IAM harus mencakup:
Manajemen kata sandi
Karena lebih dari 80% pelanggaran data yang berhasil disebabkan oleh kata sandi yang lemah atau disusupi, manajemen kata sandi merupakan inti dari sistem IAM mana pun. Dengan mengharuskan penggunaan pengelola kata sandi (terbuka di tab baru)organisasi dapat membuat dan menegakkan keamanan kata sandi yang kuat di seluruh organisasi, seperti penggunaan kata sandi yang kuat dan unik untuk semua akun, dan memastikan bahwa kata sandi disimpan dengan aman.
Kontrol akses berbasis peran (RBAC)
Manajemen kata sandi dan RBAC dapat dianggap sebagai kepala dan leher sistem IAM; tanpa satu, yang lain tidak bisa berfungsi. Sementara manajemen kata sandi memastikan keamanan kata sandi pengguna, kontrol akses berbasis peran (terbuka di tab baru) mengelola akses pengguna. Dengan menggunakan RBAC, administrator TI dapat membatasi hak akses pengguna sesuai dengan peran pekerjaan dan menerapkan akses hak istimewa, yang berarti bahwa pengguna harus diberi tingkat akses minimum yang mutlak diperlukan untuk menjalankan peran pekerjaan mereka, dan tidak lebih.
Misalnya, tidak ada alasan bagi setiap orang untuk memiliki akses ke platform pengembangan organisasi; akses harus dibatasi untuk pengembang dan admin TI. Di seluruh organisasi, pengguna dapat diberikan akses hanya-baca ke beberapa dokumen sementara hak istimewa untuk mengedit dan menghapus sepenuhnya diizinkan bagi orang lain.
Autentikasi multifaktor (MFA)
Saat sistem atau aplikasi diamankan melalui MFA (terbuka di tab baru), pengguna memerlukan lebih dari satu faktor “otentikasi” untuk masuk. Biasanya, ini adalah sesuatu yang diketahui pengguna, seperti kata sandi atau PIN, ditambah sesuatu yang dimiliki pengguna, seperti key fob atau kode yang dikirim ke perangkat seluler mereka, atau sesuatu yang merupakan bagian dari tubuh pengguna, seperti sidik jari. Ini memberikan tingkat keamanan ekstra jika kata sandi pengguna disusupi; penjahat dunia maya tidak akan dapat masuk tanpa faktor otentikasi kedua.
Sistem Masuk Tunggal (SSO) – Opsional
Meskipun single sign-on (SSO) bukan keharusan untuk IAM, banyak sistem IAM menyertakannya. SSO memungkinkan pengguna untuk masuk ke beberapa situs web atau aplikasi cloud menggunakan satu set kredensial masuk. SSO berbasis sesi; setelah pengguna login ke SSO, mereka tidak perlu login lagi selama sesi tersebut.
Namun, tidak semua aplikasi mendukung SSO, atau setidaknya bukan protokol SSO tertentu yang digunakan organisasi. Artinya, karyawan harus melacak kata sandi untuk situs dan aplikasi yang tidak mendukung SSO atau penerapan SSO khusus Anda. Karena alasan ini, SSO bukanlah solusi terbaik untuk setiap organisasi.
Manfaat IAM
Manfaat yang paling jelas dari solusi IAM yang kuat adalah peningkatan keamanan, terutama di dunia pasca-pandemi di mana pekerjaan jarak jauh adalah norma, bukan pengecualian. Sistem IAM memungkinkan administrator TI untuk mengontrol akses pengguna di mana pun karyawan bekerja atau perangkat apa yang mereka gunakan.
Demikian pula, IAM juga memungkinkan organisasi untuk memberikan akses sistem kepada pengguna di luar organisasi, seperti mitra, kontraktor, dan vendor, tanpa membahayakan keamanan. Sistem IAM yang tangguh juga:
- Meningkatkan kepatuhan dengan memaksa organisasi untuk secara jelas menentukan kebijakan dan prosedur akses pengguna mereka, yang diwajibkan oleh sejumlah mandat kepatuhan, termasuk pedoman HIPAA, Sarbanes-Oxley, dan NIST. Banyak solusi IAM menyediakan alat audit dan pelaporan yang dirancang khusus untuk audit kepatuhan.
- Memberikan bukti kepatuhan dan uji tuntas jika suatu organisasi dilanggar.
- Mengurangi beban kerja meja bantuan dengan meniadakan permintaan pengaturan ulang kata sandi dan memungkinkan administrator TI mengotomatiskan banyak tugas rutin.
- Mendorong inovasi dengan memungkinkan organisasi memperluas akses jaringan dengan aman ke berbagai aplikasi lokal dan SaaS.
- Meningkatkan produktivitas dengan mempermudah karyawan untuk mengakses sistem yang mereka perlukan untuk melakukan pekerjaan mereka, serta menghilangkan kebutuhan mereka untuk melacak kata sandi secara manual.
Sementara beberapa usaha kecil mungkin berpikir bahwa solusi IAM berada di luar jangkauan mereka karena kendala anggaran, IAM tidak harus menjadi upaya yang mahal. Banyak organisasi kecil dapat memperoleh perlindungan komprehensif menggunakan pengelola kata sandi, RBAC, MFA, dan mungkin solusi SSO.