Diterbitkan: 4 April 2024
Kontributor: Matthew Kosinski, Amber Forrest
Identity orchestration adalah solusi peranti lunak untuk mengoordinasikan sistem manajemen identitas dan akses (IAM) yang berbeda dari beberapa penyedia identitas ke dalam alur kerja yang lancar.
Di era transformasi digital, organisasi semakin banyak mengadopsi solusi software-as-a-service (SaaS), beralih ke lingkungan multicloud hybrid, dan menerapkan pekerjaan jarak jauh. Ekosistem TI perusahaan saat ini terdiri atas berbagai macam aplikasi dan aset berbasis cloud dan on premises yang melayani berbagai pengguna, mulai dari karyawan dan kontraktor hingga mitra dan pelanggan.
Menurut sebuah laporan, rata-rata departemen bisnis menggunakan 87 aplikasi SaaS yang berbeda.1 Berbagai aplikasi ini sering kali memiliki sistem identitasnya sendiri, yang mungkin tidak mudah diintegrasikan satu sama lain. Akibatnya, banyak organisasi berurusan dengan lingkungan identitas yang terfragmentasi dan pengalaman pengguna yang canggung.
Sebagai contoh, seorang karyawan mungkin memiliki akun terpisah untuk sistem manajemen tiket dan portal manajemen hubungan pelanggan (CRM) perusahaan. Hal ini dapat membuat tugas sederhana, seperti menyelesaikan tiket layanan pelanggan, menjadi sulit. Pengguna harus menyulap identitas digital yang berbeda untuk mendapatkan detail tiket dari satu sistem dan catatan pelanggan yang terkait ke sistem lainnya.
Sementara itu, tim TI dan keamanan siber berjuang untuk melacak aktivitas pengguna dan menegakkan kebijakan kontrol akses yang konsisten di seluruh jaringan. Dalam contoh sebelumnya, karyawan dapat berakhir dengan hak istimewa lebih dari yang mereka butuhkan dalam sistem manajemen proyek, sementara izin CRM mereka terlalu rendah untuk mengakses catatan pelanggan yang mereka layani.
Peranti lunak identity orchestration membantu merampingkan manajemen identitas dan akses dengan mengatur layanan identitas dan autentikasi yang berbeda ke dalam alur kerja yang kohesif dan otomatis.
Semua alat bantu identitas perusahaan terintegrasi dengan peranti lunak orkestrasi, yang menciptakan dan mengelola koneksi di antara alat tersebut. Kemampuan ini memungkinkan organisasi untuk membangun arsitektur IAM khusus, seperti sistem masuk tunggal (SSO) agnostik vendor, tanpa mengganti atau memperbaiki sistem yang ada.
Kembali ke contoh sebelumnya, organisasi dapat menggunakan platform identity orchestration untuk menghubungkan akun karyawan di manajemen tiket dan sistem CRM ke platform SSO dan mengikat semuanya ke direktori pengguna pusat. Dengan cara ini, pengguna dapat masuk ke SSO satu kali untuk mengakses kedua aplikasi, dan direktori pusat secara otomatis memverifikasi identitas mereka dan menerapkan izin akses yang tepat untuk setiap layanan.
Dalam teknologi informasi, orkestrasi adalah proses menghubungkan dan mengoordinasikan alat yang berbeda untuk mengotomatiskan alur kerja multilangkah yang kompleks. Misalnya, dalam bidang orkestrasi keamanan, sebuah organisasi mungkin merangkai gateway email yang aman, platform intelijen ancaman, dan peranti lunak antimalware untuk menciptakan alur kerja deteksi dan respons phishing otomatis.
Identity orchestration menghubungkan dan mengoordinasikan kemampuan alat bantu identitas yang berbeda untuk menciptakan alur kerja identitas yang terpadu dan efisien.
Alat bantu identitas adalah alat yang digunakan organisasi untuk mendefinisikan, mengelola, dan mengamankan identitas pengguna, seperti sistem verifikasi dan platform identitas manajemen identitas dan akses pelanggan.
Alur kerja identitas adalah proses dengan pengguna yang bergerak melalui alat bantu identitas. Contoh alur kerja identitas termasuk login pengguna, orientasi, dan penyediaan akun.
Alat bantu identitas tidak selalu terintegrasi dengan mudah, terutama ketika organisasi berurusan dengan alat bantu SaaS yang dihosting pada cloud yang berbeda atau mencoba menjembatani kesenjangan antara sistem on premises dan sistem berbasis cloud. Platform identity orchestration dapat menghubungkan berbagai alat bantu ini bahkan ketika mereka tidak dibangun untuk diintegrasikan.
Platform identity orchestration bertindak sebagai bidang kontrol pusat untuk semua sistem identitas dalam jaringan. Setiap alat bantu identitas terintegrasi dengan platform orkestrasi, menciptakan arsitektur identitas yang komprehensif yang disebut dengan susunan identitas.
Organisasi tidak perlu melakukan hardcode terhadap salah satu dari integrasi ini. Sebaliknya, platform orkestrasi menggunakan campuran konektor bawaan, antarmuka pemrograman aplikasi (API) dan standar umum seperti SAML dan OAuth untuk mengelola koneksi antar alat bantu.
Setelah sistem identitas dijalin ke dalam struktur identitas, organisasi dapat menggunakan platform orkestrasi untuk mengoordinasikan aktivitas mereka dan mengontrol cara pengguna bergerak di antara alat bantu selama alur kerja identitas. Yang terpenting, platform orkestrasi memisahkan autentikasi dan otorisasi dari masing-masing aplikasi sehingga memungkinkan terjadinya alur kerja identitas yang kompleks.
Seperti yang telah disebutkan sebelumnya, sistem identitas yang berbeda mungkin tidak dapat berbicara satu sama lain tanpa adanya solusi orkestrasi. Jika, misalnya, organisasi menggunakan alat manajemen hubungan pelanggan (CRM) dan sistem manajemen dokumen (DMS) dari vendor terpisah, setiap aplikasi mungkin memiliki sistem IAM sendiri.
Pengguna harus mengelola akun terpisah di setiap aplikasi. Untuk mengakses salah satu aplikasi, pengguna akan langsung masuk ke layanan tersebut. Autentikasi dan otorisasi akan terjadi di dalam sistem IAM masing-masing aplikasi yang berbeda dan tidak akan berpindah antar aplikasi.
Dengan solusi orkestrasi, segalanya menjadi berbeda. Ketika pengguna mengakses salah satu aplikasi, permintaan akan melewati solusi orkestrasi terlebih dahulu. Solusi ini merutekan permintaan ke layanan pemeriksaan identitas dan kontrol akses yang tepat, yang bisa berupa direktori pusat di luar kedua aplikasi.
Setelah pengguna diautentikasi dan disahkan oleh direktori pusat, platform orkestrasi memicu aplikasi untuk mengizinkan pengguna masuk dengan izin yang benar.
Untuk mengimplementasikan identity orchestration dalam praktiknya, organisasi menggunakan platform identity orchestration untuk membangun alur kerja identitas. Disebut juga “perjalanan pengguna,” alur kerja identitas adalah proses yang menentukan cara pengguna bergerak melalui alat identitas—dan cara alat bantu tersebut berinteraksi—dalam situasi yang ditentukan, seperti saat masuk ke aplikasi.
Alur kerja bisa langsung atau relatif kompleks, dengan logika kondisional dan jalur percabangan. Hal ini dapat melibatkan banyak sistem yang berbeda, termasuk beberapa sistem yang tidak sepenuhnya dianggap sebagai alat identitas, seperti layanan email dan situs media sosial.
Solusi identity orchestration memungkinkan organisasi membangun perjalanan pengguna tanpa menulis kode baru. Solusi ini memiliki antarmuka visual, no-code, seret dan lepas yang dapat menentukan peristiwa, menghubungkan alat bantu identitas, dan membangun jalur pengguna.
Untuk memahami apa itu alur kerja identitas, mungkin membantu untuk melihat contoh. Berikut ini adalah alur kerja orientasi dan login karyawan baru yang dapat dibangun oleh organisasi melalui platform orkestrasi.
- Pertama, karyawan baru membuat akun di portal SDM layanan-mandiri. Hal ini memicu alur kerja orientasi untuk dimulai.
- Platform identity orchestration memicu pembuatan identitas pengguna unik untuk karyawan baru di layanan direktori pusat organisasi. Karyawan baru juga secara otomatis diberikan serangkaian hak akses berbasis peran.
- Platform orkestrasi kemudian menyediakan akun untuk karyawan baru di semua layanan yang relevan, termasuk aplikasi yang akan mereka gunakan dalam pekerjaan dan sistem back-office seperti peranti lunak penggajian. Akun ini dikaitkan dengan identitas pengguna utama karyawan baru di direktori pusat.
- Sekarang setelah karyawan berada dalam sistem, mereka dapat masuk ke aplikasi email perusahaan mereka. Alih-alih langsung melalui aplikasi email, permintaan login masuk ke platform orkestrasi.
- Platform orkestrasi merutekan permintaan melalui sistem deteksi penipuan, mencari tanda-tanda perilaku yang mencurigakan. Karena karyawan baru ini masuk ke akun email mereka untuk pertama kalinya, mereka ditandai sebagai risiko lebih tinggi.
- Selanjutnya, permintaan login dikirim ke platform SSO organisasi. Karena perekrutan baru ditandai sebagai risiko yang lebih tinggi, autentikasi adaptif dimulai. Perekrutan baru harus menggunakan autentikasi multifaktor (MFA) untuk masuk ke akun mereka.
- Karyawan baru menyelesaikan tantangan autentikasi, dan mereka diautentikasi dan diotorisasi oleh direktori pusat. Platform orkestrasi menyampaikan informasi ini ke platform SSO, yang memungkinkan karyawan baru masuk ke akun email mereka—dan semua aplikasi lain di belakang SSO—dengan hak istimewa yang tepat.
Meskipun ada beberapa langkah di sini, namun perlu dicatat bahwa semua ini terjadi secara otomatis di latar belakang tanpa disadari oleh pengguna. Platform orkestrasi mengawasi proses dari awal hingga akhir. Selain itu, login di masa mendatang bahkan lebih efisien. Pengguna masuk ke SSO, yang sekarang mengenali mereka dan memberi mereka akses ke semua yang mereka butuhkan.
Platform identity orchestration tidak menggantikan sistem identitas yang ada. Mereka menciptakan koneksi antara sistem ini, memungkinkan berbagai aplikasi dan alat untuk bekerja bersama meskipun tidak dirancang untuk itu. Fungsi ini dapat membantu organisasi mengatasi beberapa masalah umum.
Banyak organisasi menggunakan beberapa alat penyedia cloud dan on premises dari vendor yang berbeda. Ketika sistem ini tidak terintegrasi, organisasi kehilangan visibilitas ke dalam perilaku pengguna di seluruh jaringan. Tim TI dan keamanan tidak dapat melacak satu pengguna pun antara Microsoft Azure dan Amazon Web Services, misalnya, karena mereka menggunakan akun terpisah untuk masing-masing cloud.
Lingkungan yang terfragmentasi ini juga dapat menyulitkan untuk menegakkan kebijakan akses dan kontrol keamanan yang konsisten pada semua aplikasi dan aset perusahaan.
Kesenjangan dalam visibilitas dan keamanan ini menciptakan peluang bagi peretas dan orang dalam yang jahat untuk mendatangkan kerusakan tanpa terdeteksi. Taruhannya sangat besar jika menyangkut sistem identitas, yang merupakan target utama penjahat siber. Menurut X-Force Threat Intelligence Index, serangan siber yang menggunakan kredensial yang dicuri atau disusupi meningkat sebesar 71% antara tahun 2022 dan 2023.
Secara hipotetis, organisasi dapat menghindari silo identitas dengan hanya menggunakan alat dari satu vendor atau hanya menggunakan alat yang dirancang untuk berintegrasi. Namun, hal itu berarti organisasi tidak akan selalu bebas memilih alat yang tepat untuk pekerjaan tersebut.
Identity orchestration dapat memecah silo identitas dan memulihkan visibilitas tanpa perubahan besar pada sistem yang ada. Organisasi dapat membuat direktori terpusat untuk mendukung identitas digital tunggal untuk setiap pengguna, memungkinkan perusahaan melacak perilaku dan menemukan ancaman secara real time di seluruh aplikasi dan aset. Perusahaan juga dapat menggunakan orkestrasi untuk menerapkan kontrol akses yang seragam di seluruh jaringan.
Selain itu, platform identity orchestration dapat memusatkan manajemen siklus hidup identitas untuk semua jenis pengguna, termasuk karyawan, pelanggan, dan lainnya. Organisasi dapat menghadirkan kontrol keamanan siber yang kuat ke aset yang berhadapan langsung dengan konsumen tanpa mengganggu pengalaman pelanggan.
SSO memungkinkan pengguna masuk ke beberapa sistem dengan satu set kredensial, tetapi tidak setiap platform SSO mungkin kompatibel dengan semua aplikasi dan aset perusahaan. Ini karena SSO yang berbeda dapat menggunakan standar yang berbeda, seperti SAML atau OIDC, untuk bertukar informasi autentikasi antar sistem. Jika aplikasi atau aset tidak dapat menggunakan standar yang sama dengan SSO tertentu, aplikasi atau aset tidak dapat berkomunikasi dengan SSO tersebut.
Platform identity orchestration dapat menghubungkan SSO dengan aplikasi yang tidak terintegrasi secara asli. Aplikasi dan SSO terintegrasi dengan platform identity orchestration, bukan satu sama lain secara langsung. Platform identity orchestration kemudian menangani komunikasi antar sistem, sehingga memungkinkan organisasi untuk membawa semua aplikasi dan aset mereka di bawah SSO yang sama, terlepas dari kompatibilitasnya.
Organisasi sering ingin memperluas langkah-langkah keamanan baru seperti MFA atau autentikasi tanpa kata sandi ke aplikasi lama. Namun, upaya modernisasi seperti itu bisa jadi memakan banyak biaya dan waktu, sering kali membutuhkan kode khusus atau penggantian sistem secara total.
Identity orchestration dapat menyederhanakan proses. Organisasi dapat menggunakan antarmuka visual platform orkestrasi untuk mendesain alur kerja identitas yang menghadirkan alat keamanan terbaru ke aplikasi lama. Hal ini memungkinkan organisasi untuk menyatukan aset berbasis cloud dan on premises dalam arsitektur zero-trust tunggal.
Organisasi membutuhkan visibilitas ke dalam perilaku pengguna untuk mematuhi peraturan seperti Peraturan Perlindungan Data Umum (GDPR) atau Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).
Peraturan ini mengharuskan organisasi menerapkan kebijakan kontrol akses yang ketat ke data sensitif, seperti nomor kartu kredit dan informasi perawatan kesehatan, dan melacak apa yang dilakukan pengguna dengan data ini. Ketika pengguna memiliki beberapa identitas digital, mungkin sulit untuk memastikan bahwa hanya orang yang tepat yang mengakses data yang tepat untuk alasan yang tepat.
Identity orchestration dapat membantu organisasi memenuhi persyaratan kepatuhan dengan mempermudah melacak perilaku pengguna dan menerapkan izin akses yang konsisten. Beberapa platform orkestrasi juga menyimpan log alur kerja identitas, yang dapat membantu jika terjadi audit.
Rangkaian IBM Security Verify memberikan kemampuan otomatis berbasis cloud dan on premises untuk menerapkan tata kelola identitas, mengelola identitas dan akses tenaga kerja dan konsumen, serta mengendalikan berbagai akun yang memiliki hak istimewa.
IBM Security Verify memberikan blok bangunan dasar yang memungkinkan klien untuk membangun struktur identitas efektif yang terdiri atas IBM dan solusi pihak ketiga yang ada.
Merampingkan upaya IAM dengan pakar identitas dan keamanan untuk membantu Anda menentukan dan mengelola solusi di seluruh lingkungan cloud hybrid, mengubah alur kerja tata kelola, dan mendemonstrasikan kepatuhan.
Manajemen identitas dan akses (IAM) adalah disiplin keamanan siber yang berhubungan dengan cara pengguna mengakses sumber daya digital dan apa yang dapat mereka lakukan dengan sumber daya tersebut.
IBM menugaskan Forrester Consulting untuk melakukan studi Total Economic Impact (TEI) yang meneliti potensi laba atas investasi (ROI) yang dapat direalisasikan oleh organisasi dengan penerapan IBM Security Verify sebagai solusi identity-as-a-service (IDaaS) yang bekerja berpasangan dengan infrastruktur IAM on premises.
Untuk mengatasi tantangan identitas yang diciptakan oleh lingkungan hybrid saat ini, perusahaan membutuhkan solusi serbaguna yang melengkapi solusi identitas yang sudah ada sekaligus secara efektif mengintegrasikan berbagai silo manajemen identitas dan akses (IAM) ke dalam satu kesatuan yang kohesif.
Catatan kaki
1 Tren SaaS 2023 (tautan berada di luar ibm.com), Produktif, 21 Juni 2023