”Millä tunnuksella minun pitää kirjautua tänne?”, ”Mikä minun tunnukseni on järjestelmään?”, ”Olen unohtanut salasanani HR-järjestelmään”. Kuulostaako tutuilta lauseilta. Pienilläkin yrityksillä on käytössään useita eri järjestelmiä toimintojensa pyörittämiseen ja kuten hyviin tapoihin kuuluu, nämä ovat tunnus – salasana -yhdistelmän takana.

Pasi Jalonen | Frendy

Vielä tänäkin päivänä yllättävän usein törmäämme tilanteisiin, joissa käyttäjät ovat epätietoisia millä tunnuksella pitää kirjautua minnekin ja tämän vuoksi järjestelmien käyttö koetaan hankalana. Lisäksi on varsin mahdollista, että käyttäjien tunnukset ja salasanat ovat kirjoitettuna ”post-it” lapuille, salasanat ovat helposti arvattavissa tai jokaiseen järjestelmään on sama salasana, eikä meillä ole käytännössä mitään näkyvyyttä mistä ja milloin tunnuksia käytetään.

Yritykset ovat omaksuneet ohjelmistotalojen tarjoamien SaaS -palvelujen käyttöönoton hyvin. Miksi asennella järjestelmiä omille palvelimille, kun kaiken saa suoraan palveluntarjoajalta? Käyttöönotossa kuitenkin tyydytään palvelun sisältämään sisäiseen käyttäjätietokantaan ja sinne määritettyihin salasanoihin. Toimiva ratkaisu, mutta ei ehkä kovinkaan käyttäjäystävällinen. Käyttäjä joutuu kontaktoimaan palveluntarjoajan tukipalveluita, mikäli unohtaa salasanansa, ja kun uutta henkilökuntaa tulee yritykseen, joudutaan tunnukset tilaamaan palveluntarjoalta. Nämä edellä mainitut saattavat vielä luonnistuakkin suhteellisen kivuttomasti, mutta mitäs sitten kun käyttäjä päättääkin vaihtaa työpaikkaa: kuinka hyvin ollaan tietoisia mihin järjestelmiin käyttäjällä olikaan tunnukset, jotta tunnukset voidaan poistaa käytöstä?

Yllätyksekseni olen kohdannut myös useita myös suhteellisen suuria organisaatioita, joiden käyttäjillä on eri käyttäjätunnus yrityksen työasemille, mutta sitten esimerkiksi sähköpostiin, Teamsiin ja Sharepointiin joudutaan kirjautumaan erikseen. Yritykset ovat olleet ”aallon harjalla” ja ottaneet käyttöönsä Microsoftin 365 -ohjelmistot kaiken hypetyksen keskellä, mutta sitten on hiukan oikaistu ja palveluun on luotu käyttäjille tunnukset, joilla saadaan nämä palvelut käyttöön ja sitä myötä modernit työkalut.

Miltä kuulostasi, jos kaikki palvelut olisivatkin henkilölle käytettävissä yhdellä identiteetillä ja vielä turvallisesti?

Hybridi-identiteetti

Uskallan väittää, että nykypäivänä palveluntarjoajilla on mahdollisuus toteuttaa käyttäjätodennus EntraID:n tietoja vasten, jolloin palveluihin voidaan kirjautua yrityksen omalla identiteetillä ja tunnuksen hallinnointi on yrityksen tietohallinnon tai tukikumppanin tehtävissä. Luonnollisesti tämä vaatii, että EntraID sekä tarvittavat lisenssit ovat olemassa, mutta tämä lienee jo arkipäivää.

Pienillä yrityksillä, joilla ei ole paikallista aktiivihakemistoa käyttäjähallinta tehdään suoraan EntraID -palveluun, mistä sille voidaan luvittaa sovellusten käyttöoikeudet. Yrityksillä, joilla on olemassa paikallinen aktiivihakemisto, on mahdollista synkronoida tunnukset EntraID:n puolelle käyttämällä joko EntraID Connect ja EntraID Cloud Sync -työkaluja. Näiden ominaisuudet poikkeavat hiukan toisistaan, mutta eivät sulje pois toistensa käyttöä. Ideana kuitenkin, että yksi ja sama identiteetti saadaan käyttöön yrityksen tarvitsemiin palveluihin, on käyttäjän kannalta helppo käyttää, sekä kaiken lisäksi turvallinen.

EntraID:n Enterprise Applicationeilla voidaan luoda sovelluksen ja identiteetin välille integraatio (federaatio), joten kirjautuminen sovellukseen tapahtuu yrityksen tutulla ja turvallisella identiteetillä. EntraID:n puolella sovellus voidaan luvittaa käyttöön esimerkiksi ainoastaan yhdelle henkilölle tai vaihtoehtoisesti ryhmälle, kummassakin tapauksessa pääsynhallinta on yrityksen oman tietohallinnon käsissä. Kun ominaisuuteen lisätään vielä ehdollinen pääsynhallinta sääntöineen ja pakotettuna vahva tunnistautuminen (Multi-factor authentication), voidaan sovellusta ja siellä olevia tietoja käsitellä turvallisesti, eikä loppukäyttäjän tarvitse miettiä millä tunnuksella taas pitäisi kirjautua. Lisäksi hybridi-identiteettiin voidaan konfiguroida Single Sign-On (SSO) ominaisuus, jolloin kirjautuminen voidaan hoitaa Windows Helloa hyödyntäen.

Sama koskee myös Microsoftin tarjoamia palveluja kuten sähköposti, Teams ja Sharepoint. Yksi ja sama tunnus toimii kaikkiin palveluihin ja näin ollen parantaa oleellisesti käyttömukavuutta. Lisäksi EntraID kerää tiedot kirjautumisista niin tarpeen mukaan voidaan myös omatoimisesti selvittää mahdollisia väärinkäyttöyrityksiä. Pilvi-identiteettien suojaamiseen löytyy erittäin hyviä metodeja muun muassa: Defender for Identity, EntraID Identity Protection ja Conditional Access.

Kun henkilö lopettaa yrityksen palveluksessa, tunnus voidaan poistaa yrityksen aktiivihakemistosta ja samalla pääsy SaaS -palveluihin poistuu automaattisesti. Sama luonnollisesti koskee, kun uusi henkilö aloittaa työsuhteen: luodaan tunnus ja liitetään se eri sovellusten ryhmiin, niin luvitukset on tehty ja uusi työntekijä pääsee heti tuottavaan työhön.

Ulkopuoliset käyttäjät

Moni organisaatio kipuilee kuitenkin edelleen niin sanottujen ext-tunnusten kanssa. Nämä ovat henkilöitä, jotka eivät ole yrityksen palveluksessa vaan tekevät töitä esimerkiksi vuokratyöntekijöinä tai konsultteina. Tieto- tai henkilöstöhallinto ei välttämättä ole oikea yksikkö tietämään tarvitseeko kyseinen henkilö vielä tunnuksia.

Kuinka näitä tunnuksia tulisi sitten käsitellä? Mitään oikeaa tapaa tuskin onkaan, mutta itse näkisin että tunnukseen liitetään tieto, kenen yrityksen työntekijän toimeksiannosta tunnus on luotu ja tämä on vastuullinen tiedottamaan tietohallintoa tunnuksen elinkaaren päättymisestä. Sekä paikallisessa aktiivihakemistossa, että EntraID:ssa tunnuksen alta löytyy Manager -kenttä, jota voi helposti hyötykäyttää tämä tiedon tallentamiseen. Tietohallinnon vastuulle jäisi näin ollen esimerkiksi puolivuosittain tehtävä tunnusten katselmointi ja tiedustelu tunnuksen tarpeellisuudesta.

On hyvä muistaa, että näille ext-tunnuksille voidaan myös pakottaa samat vaatimukset kirjautumisiin kuin oman henkilökunnan tunnuksille.

Kaikki on kiinni lisensoinnista

Microsoft EntraID / M365 tarjoaa monipuolisen kattauksen erilaisia tietoturvakomponentteja, millä suojata identiteettejä. Hiukan huolestuneena olen kuitenkin seurannut vallitsevaa ajatusmallia: ”otetaan halvin, koska tuohan on vain kuluerä”. Omassa ajatusmaailmassani tietoturvakomponentit ja niiden käyttöönotto vastaa meille jokaiselle tuttuja vakuutuksia. Auto-, asunto- ja vapaa-ajanvakuutukset otetaan ja maksetaan kiltisti vuosittain, vaikka samalla toivotaan, että niitä ei tarvitsisi koskaan käyttää. Sama ajatus tulisi olla identiteetin suojaamisessa: ostetaan suojausmekanismit ja toivotaan, ettei kukaan ulkopuolinen taho yritä käyttää tunnuksiamme vääriin tarkoituksiin. Pahimmassa tapauksessa yksi väärinkäyttö voi johtaa seuraamuksiin, mitä ei rahalla enää saa jälkikäteen korjattua, tai ainakin se tulee huomattavasti kalliimmaksi kuin tilanne, että olisimme ennakoineet asian.

PK-yrityksille Microsoftin Business Premium -paketti tarjoaa erinomaisia tietoturvakomponentteja ilman lisäinvestointeja. Tietoturvaominaisuudet tulee kuitenkin ottaa käyttöön ja tässä it-kumppani auttaa mielellään.

Osaava IT-asiantuntijatalo pystyy auttamaan organisaatioita valitsemaan oikean tasoiset lisenssit, ottamaan tietoturvakomponentit käyttöön sekä kouluttamaan henkilöstönne turvalliseen toimimiseen nykypäivän IT-palveluviidakossa.

Haluatko kuulla lisää? Varaa maksuton IT-kartoitus frendyiltä.