I en verksamhet finns oftast policys som beskriver regelverk för vad som är tillåtet eller inte. Dessa utgör också ofta grunden för vem som skall få tillgång till vad i organisationen. Därmed är de också fundamentala för att man skall kunna tilldela behörigheter så att personer får komma åt information och resurser för att utföra sitt arbete.
Men, en av grundförutsättningarna för att kunna tilldela en behörighet till en person är att man har definierat upp vad den behörigheten faktiskt gäller. Återigen, man måste börja i rätt ända och titta på vilken information och vilka resurser som finns. Det kan handla såväl om applikationer och system som fysiska resurser som lokaler, poolbilar, datorer och telefoner etc.
När man har kontroll över informationen och resurserna kommer den komplicerade biten, att med hjälp av sin policy bestämma vem som får tillgång till vad. Lämpligtvis gör man detta utifrån ett personoberoende perspektiv och använder sig av roller och positioner. För det första, man måste nämligen räkna med att personer byts ut i verksamheten. Det andra skälet är att om man börjar tilldela behörigheter direkt till personer, så får man snart en ohållbar situation när det gäller att hålla reda på vad respektive person har behörighet till eller ej.
När man kommit så här långt i scenariot, vi har koll på vilka personer som finns i verksamheten, vi har definierat upp vilka behörigheter de kan få och vi har tilldelat de behörigheter de behöver i överensstämmelse med våra olika policys, då kan vi också börja kontrollera deras åtkomst. Det vill säga, att de är de som de säger sig vara och att de har rättighet att komma åt det de behöver för att kunna utföra sina arbetsuppgifter.
Kontakta mig gärna om du vill höra mer om Identitets- och Behörighetshantering (Identity and Access Management - IAM)