Online dienstverlening kan alleen effectief zijn als klanten ook daadwerkelijk toegang hebben tot je applicaties. Dat is echter een koorddansoefening: aan de ene kant heb je vrijheid en gemak voor de gebruiker, aan de andere kant de veiligheid en integriteit van de omgeving. Het belang van Customer Identity & Access Management (CIAM) mag niet worden overschat.
CIAM gaat om het mechanisme dat gebruikt kan worden om de juiste gebruikers toegang te geven tot de juiste bronnen op het juiste moment en om de juiste redenen, stelt bureau Gartner. Niemand wil dat onbevoegden toegang hebben tot de applicaties van een bedrijf. Tegelijkertijd mag authenticatie de bevoegde gebruikers niet in de weg zitten. Weinig dingen zijn irritanter dan bij herhaling een wachtwoord in moeten vullen om iets gedaan te krijgen.
Daarom zetten organisaties identiteit- en toegangsbeheer in. In eerste instantie deden ze dat voor medewerkers. Zij identificeren zich op deze manier om toegang te krijgen tot bedrijfsapplicaties en data. Deze oplossing, bekend onder de afkorting IAM (Identity & Access Management), zorgt voor een veilige verificatie van interne gebruikers.
Van IAM naar CIAM
Maar organisaties moeten allang niet meer alleen identiteiten van medewerkers controleren. Klanten doen ondertussen vrijwel alles online. Van onschuldige handelingen, zoals het stellen van een vraag via de chat, tot het uitvoeren van financiële transacties.
Hier komt CIAM om de hoek kijken. CIAM bouwt voort op hetzelfde principe als IAM. Waar IAM op de eigen medewerkers is gericht, is CIAM gericht op de buitenwereld: klanten en particulieren. Klanten verschillen op enkele zeer belangrijke punten van medewerkers. Klanten hebben andere behoeften en verwachtingen, en houden zich niet aan interne procedures.
CIAM richt zich daarom onder meer op de volgende kenmerken:
1. Registratie moet gemakkelijk en snel
Nieuwe klanten willen aan de slag kunnen op het moment dat ze de website bezoeken. Ook als het midden in de nacht is. Het registratieproces, of onboarding, moet dus efficiënt en automatisch, zonder dat er een beheerder aan te pas komt.
2. Nadruk op gebruiksvriendelijkheid
Medewerkers klagen hooguit wanneer de inlogprocedures te omslachtig zijn en hen belemmeren. Klanten lopen echter weg naar concurrenten en komen niet meer terug.
3. Het moet flexibeler
Klanten komen en gaan en gebruiken de dienst iedere keer voor compleet andere diensten, vaak zelfs met een ander apparaat. Het is in veel gevallen overdreven om multifactorauthenticatie te vragen als een gebruiker alleen een forumreactie achter wil laten. Aan de andere kant wil je ook niet dat een gebruiker financiële transacties kan uitvoeren door alleen met sociale media in te loggen. Intern moeten die inlogmiddelen ook naadloos in elkaar overgaan. Het systeem moet doorhebben dat de gebruiker die zojuist met Facebook is ingelogd dezelfde is die nu via sms of de app een verificatiecode ontvangt.
4. Meer verantwoordelijkheid
Klanten vertrouwen het bedrijf gevoelige persoonsgegevens toe. Een incident betekent dat criminelen de middelen krijgen om grootschalige identiteitsfraude te plegen. Hierdoor lopen bedrijven bovendien het risico op boetes in het kader van de Algemene verordening gegevensbescherming (AVG).
One Size Does Not Fit All
De inzet van IAM is dus niet meer voldoende om aan de behoeften van klanten te voldoen. Toegangsbeheer voor klanten vraagt immers om een andere aanpak dan die voor medewerkers. Hier is Connectis in gespecialiseerd. Maar medewerker of klant, het onderliggende doel is altijd hetzelfde: alleen bevoegden mogen toegang hebben tot applicaties en data, zonder dat de controle hierop hen hindert.
Raymond Roelands is IT Director bij Connectis.