Kimlik orkestrasyonu nasıl çalışır
Çoğu kurum tek bir kimlik sistemi kullanmaz. Bir çalışan dizini, bir veya birden fazla bulut kimlik sağlayıcısı, kendi giriş ekranlarına sahip eski uygulamalar ve kendi kimlik bilgileriyle gelen dış paydaşlar vardır. Kimlik orkestrasyonu bu sistemlerin üzerinde bir koordinasyon katmanı olarak çalışır ve kullanıcının izleyeceği yolculuğu tanımlar: kullanıcı hangi kimlik sağlayıcıya yönlendirilecek, hangi doğrulama adımları istenecek ve bir adım başarısız olursa ne yapılacak.
Orkestrasyon platformları bu yolculukları genellikle kimlik doğrulama, MFA sorgusu, risk kontrolü, onay ekranı ve öznitelik sorgusu gibi yeniden kullanılabilir adımlardan oluşan akışlar olarak modeller. Akış mantığı her uygulamada ayrı ayrı değil orkestrasyon katmanında tutulduğu için ekipler bir giriş yolculuğunu tek seferde değiştirip her yerde geçerli kılabilir. SAML ve OpenID Connect gibi standart protokoller bu katmanı hem uygulamalara hem de üstteki kimlik sağlayıcılara bağlar.
Kimlik orkestrasyonu neden önemli
Orkestrasyon olmadan, giriş deneyimindeki her değişiklik uygulamalara tek tek dokunmayı gerektirir; her birleşme, geçiş veya yeni kimlik sağlayıcı uzun bir entegrasyon projesine dönüşür. Orkestrasyon, uygulamaları arkalarındaki kimlik sistemlerinden ayırır; böylece kurum dizin değiştirebilir, yeni bir MFA yöntemi ekleyebilir veya satın aldığı bir şirketi kullanıcı erişimini bozmadan bünyesine katabilir.
Ayrıca güvenlik tutarlılığını yükseltir. Risk kontrolleri, kademeli doğrulama ve dolandırıcılık sinyalleri tek bir katmanda uygulandığında hiçbir uygulama bunları yanlışlıkla atlayamaz. Her ekibin kimlik mantığını elle bağladığı bir ortamda bu tutarlılığı sağlamak zordur.
Uygulamada kimlik orkestrasyonu
Pratik bir başlangıç noktası, bugün var olan giriş yolculuklarını haritalamaktır: çalışan girişi, müşteri kaydı, iş ortağı erişimi ve hesap kurtarma akışları. Ekipler daha sonra en yoğun kullanılan yolculuğu önce orkestrasyon katmanına taşır, ilgili kimlik sağlayıcıları bağlar ve koşullu MFA veya cihaz kontrolü gibi eksik olan politika adımlarını ekler.
En sık yapılan hata, akışları bildirimsel ve yeniden kullanılabilir tutmak yerine sabit kodlanmış mantığı akışların içinde yeniden üretmektir. İyi tasarlanmış akışlar ortak adımları paylaşır, her kararı denetim için kaydeder ve üstteki bir sağlayıcı erişilemez olduğunda kontrollü biçimde geriler. Monosign hem SAML hem OIDC tarafında kimlik sağlayıcı ve servis sağlayıcı olarak çalışabildiği için karma kimlik ortamlarında doğrulamayı aracılayıp sıralayabilir.