Identitetsstyring (IAM)

Identitetsstyring (Identity and Access Management, IAM) er de rammer og teknologier, der styrer digitale identiteter og kontrollerer adgang til systemer og data. IAM sikrer, at de rigtige personer har den rigtige adgang til de rigtige ressourcer på det rigtige tidspunkt.

Tilbage til ordbog

Hvad er identitetsstyring?

Identitetsstyring handler om at styre, hvem der har adgang til hvad i organisationens IT-miljø. Det omfatter oprettelse af brugerkonti, tildeling af rettigheder, autentificering af brugere og nedlæggelse af adgang, når den ikke længere er nødvendig.

IAM er tæt forbundet med adgangskontrol, men de to begreber dækker forskellige aspekter. Identitetsstyring handler om "hvem er du?", mens adgangskontrol handler om "hvad må du?". Sammen med multifaktorautentificering og privilegeret adgangsstyring udgør IAM fundamentet for organisationens sikkerhedsarkitektur.

I en zero trust-arkitektur er IAM særligt vigtigt, fordi hver adgangsanmodning verificeres uanset placering. Uden stærk identitetsstyring kan zero trust ikke fungere.

IAM-komponenter

Et IAM-system består typisk af flere komponenter:

Directory service: Den centrale database over brugere, grupper og deres attributter. Active Directory og Azure AD er de mest udbredte.
Autentificering: Verifikation af brugerens identitet. Kombinér passwords med multifaktorautentificering (MFA) for stærkere sikkerhed.
Single Sign-On (SSO): Giver brugere adgang til flere systemer med én login. Forbedrer brugeroplevelsen og reducerer password-træthed.
Rollebaseret adgangskontrol (RBAC): Tildeler adgang baseret på roller i stedet for individuelle rettigheder. Forenkler administration af adgangsrettigheder.
Provisioning og deprovisioning: Automatiseret oprettelse og nedlæggelse af brugerkonti og rettigheder.
Access governance: Regelmæssig gennemgang af adgangsrettigheder for at sikre, at de stadig er nødvendige og passende.

Identitetens livscyklus

En digital identitet gennemgår flere faser:

Onboarding: Ny medarbejder oprettes i directory service. Baseret på rolle tildeles adgang til relevante systemer automatisk. Sikkerhedstræning gennemføres inden adgang gives til følsomme systemer.

Rolleændring: Når medarbejderen skifter rolle, skal gamle adgange fjernes og nye tilføjes. Dette er ofte det svageste punkt, da gamle adgange glemmes, og medarbejderen over tid akkumulerer for mange rettigheder (privilege creep).

Offboarding: Ved fratrædelse deaktiveres alle konti og adgange straks. Automatiseret offboarding via integration med HR-systemer sikrer, at intet overses.

Adgangsgennemgang: Regelmæssige reviews, hvor ledere verificerer, at deres medarbejdere har de korrekte adgange. Logning af adgangsændringer og overvågning af unormal adgangsadfærd understøtter governance.

For servicekonti og automatiserede processer gælder de samme principper. Privilegeret adgangsstyring er særligt vigtigt for konti med høje rettigheder.

Regulativer og standarder

GDPR kræver, at kun autoriserede personer har adgang til persondata. IAM er den primære mekanisme til at sikre dette og dokumentere, hvem der har adgang til hvad.

ISO 27001 og Annex A indeholder flere kontroller for identitetsstyring: adgangskontrolpolitik (A.5.15), brugerregistrering (A.5.16), privilegeret adgang (A.8.2) og adgangsrettigheder (A.5.18). Et ISMS skal definere IAM-processer som del af de tekniske og organisatoriske foranstaltninger.

NIS2 og DORA stiller krav til adgangsstyring og autentificering. CIS 18 dedikerer kontrol 5 og 6 til kontostyring og adgangskontrol.

Ofte stillede spørgsmål om identitetsstyring (iam)

Hvad er forskellen på identitetsstyring og adgangskontrol?

Identitetsstyring handler om at oprette, vedligeholde og nedlægge brugeridentiteter. Adgangskontrol handler om at afgøre, hvad en given identitet har adgang til. Sammen udgør de IAM (Identity and Access Management).

Hvad er SSO (Single Sign-On)?

SSO giver brugere mulighed for at logge ind én gang og derefter tilgå flere systemer uden at logge ind igen. Det forbedrer brugeroplevelsen og reducerer risikoen for svage adgangskoder, da brugere kun behøver at huske ét stærkt password.

Hvorfor er offboarding vigtig i IAM?

Når en medarbejder forlader organisationen, skal alle adgange deaktiveres hurtigt. Forglemmede konti (orphaned accounts) er en sikkerhedsrisiko, da de kan misbruges uden at blive opdaget. Automatiseret offboarding reducerer denne risiko.

Hvad er rollebaseret adgangskontrol (RBAC)?

RBAC tildeler adgang baseret på brugerens rolle i organisationen i stedet for individuelle rettigheder. En HR-medarbejder får automatisk adgang til HR-systemer. Det forenkler administration og sikrer konsistens.