Identitetsinfrastruktur er blevet en central del af moderne arkitektur. Den står i centrum for autentifikation, API-sikkerhed og adgang på tværs af applikationer.

Alligevel vælges en identitetsudbyder ofte som standard, fordi den følger med en anden platform eller allerede er kendt i organisationen. Det kan efterlade vigtige spørgsmål om ejerskab, hosting, deployment, migration og driftsansvar ubesvarede.

For europæiske organisationer bør valget af identitetsplatform være en bevidst arkitekturbeslutning.

Se ud over datacentrets placering

Europæisk hosting er vigtig, men det er kun én del af beslutningen.

En identitetsplatform kan gemme data i Europa og samtidig være ejet og kontrolleret uden for EU. Ejerskab, placeringen af teamet, der udvikler og driver tjenesten, de gældende kontraktvilkår og de tilgængelige deploymentmodeller kan alle have betydning for sikkerheds-, indkøbs- og complianceteams.

FoxIDs har en EU-first tilgang:

  • FoxIDs er dansk og EU-ejet
  • Platformen udvikles i Danmark
  • FoxIDs Cloud hostes i Europa
  • Den samme platform kan være self-hosted i kundens eget miljø
  • Cloud og kundekontrollerede miljøer kan kombineres i en hybrid deployment

Disse forhold fjerner ikke behovet for kundens egen juridiske vurdering samt risiko- og compliancevurdering. De giver konkrete oplysninger om deployment og ejerskab, som kan indgå i vurderingen.

Identitet er en langsigtet afhængighed

Identitetslaget forbinder applikationer, API'er, brugere, partnere og eksterne identitetsudbydere. Når applikationer først er afhængige af platformens tokens, claims, identifikatorer og loginflows, kræver et platformsskifte omhyggeligt arbejde.

Derfor er portabilitet og arkitektur vigtige fra begyndelsen.

Relevante spørgsmål omfatter:

  • Hvilke applikationer bruger OpenID Connect, OAuth 2.0, SAML 2.0 eller WS-Federation?
  • Hvilke claims og brugeridentifikatorer skal forblive stabile?
  • Kan applikationerne flyttes gradvist?
  • Kan platformen udføre protocol bridging under overgangen?
  • Hvor gemmes eller valideres brugere og adgangskoder?
  • Hvilken deploymentmodel passer til kravene til drift og compliance?
  • Hvad er rollback planen, hvis et migrationstrin fejler?

En platform baseret på åbne standarder gør ikke migration automatisk, men den gør integrationer og tillidsrelationer lettere at forstå. FoxIDs understøtter OpenID Connect, OAuth 2.0, SAML 2.0 og WS-Federation, inklusive protocol bridging, når moderne og ældre systemer skal fungere side om side.

Vælg deploymentmodel med omtanke

Organisationer har forskellige behov for driftsmæssig kontrol.

FoxIDs Cloud hostet i Europa

FoxIDs driver platformen og den tilhørende hosting. Det er relevant for teams, der ønsker en administreret tjeneste og ikke selv vil drive identitetsinfrastrukturen.

Self-hosted i eget miljø

Kunden driver FoxIDs i infrastruktur, som kunden selv kontrollerer. Det kan være relevant, når sikkerhedspolitik, indkøb, netværksarkitektur eller driftskrav kræver kundekontrolleret hosting.

Self-hosting medfører også ansvar. Kunden er fortsat ansvarlig for infrastruktur, adgang, overvågning, backup, kapacitet, certifikater, netværk og relaterede afhængigheder.

Hybrid deployment

FoxIDs Cloud og kundekontrollerede miljøer kan kombineres. En hybrid model kan understøtte trinvis migration, separate tillidsgrænser eller applikationer, der ikke kan flyttes samtidig.

Den rigtige model afhænger af organisationens arkitektur, compliancekrav og driftskapacitet. Sammenlign FoxIDs deploymentmuligheder, før cloud eller self-hosting vælges som standardsvar.

Migration er en del af platformbeslutningen

Valget af en ny identitetsudbyder er ikke fuldt afklaret, før der findes en troværdig vej fra den nuværende platform.

Migration kan omfatte:

  • Applikationsregistreringer og protokolændringer
  • Brugerprofiler og stabile identifikatorer
  • Claims, grupper, roller og adgangsoplysninger
  • Sessioner samt login- og logoutadfærd
  • MFA-registrering og autentifikationsniveau
  • Passwordstrategi
  • Testmiljøer, trinvis cut-over og rollback

Adgangskoder kræver særlig omhu. Eksisterende adgangskoder kan i nogle tilfælde bevares eller valideres mod en eksisterende kilde under overgangen, hvor det er teknisk muligt og sikkerhedsmæssigt forsvarligt. I andre tilfælde er en kontrolleret nulstilling af adgangskoden den sikrere løsning.

FoxIDs understøtter gradvise forløb. Applikationer kan migreres efter protokol, miljø eller udrulningsgruppe, og separate miljøer i en tenant kan bruges til at validere forløbet før ændringer i produktion. Se tilgangen til identitetsmigration for de driftsmæssige spørgsmål, der bør afklares.

Europæisk identitet uden isolation

En EU-first identitetsplatform skal stadig fungere sammen med det bredere identitetslandskab.

Organisationer kan have behov for at have tillid til Microsoft Entra ID, AD FS, nationale identitetsudbydere, partneres identitetsudbydere, sociale udbydere eller eksisterende kataloger. Applikationerne kan spænde fra moderne API'er og webapplikationer til ældre virksomhedssystemer.

FoxIDs forbinder disse systemer gennem standardprotokoller. Platformen kan fungere som identitetsudbyder for applikationer, have tillid til eksterne identitetsudbydere og udføre protocol bridging efter behov. Europæisk ejerskab og hosting skal supplere interoperabilitet, ikke erstatte den.

En praktisk evaluering

Når identitetsudbydere sammenlignes, bør hele det sammenhængende system vurderes frem for kun en funktionsliste:

  1. Kortlæg applikationer, API'er, identitetsudbydere, kataloger og brugergrupper.
  2. Identificér de protokoller, claims og identifikatorer, som hver applikation er afhængig af.
  3. Sammenlign ansvaret ved cloud, self-hosted og hybrid deployment.
  4. Gennemgå krav til ejerskab, hosting, kontrakter og compliance.
  5. Design migrationsforløbet for brugere, adgangskoder og applikationer.
  6. Afprøv arkitekturen i separate testmiljøer.
  7. Definér cut-over til produktion, overvågning, support og rollback.

Det giver et bedre beslutningsgrundlag end kun at spørge, hvor tjenesten hostes.

Konklusion

En europæisk identitetsudbyder er vigtig, når ejerskab, europæisk hosting, kundekontrolleret deployment og mindre platformafhængighed har betydning for organisationen.

FoxIDs kombinerer disse valgmuligheder med åbne standarder og en praktisk tilgang til arkitektur, integration og migration. Formålet er ikke at påstå, at enhver europæisk platform automatisk er det rigtige valg. Formålet er at give organisationer en teknisk troværdig EU-first mulighed og tilstrækkelig kontrol over deployment til at vælge den model, der passer til deres krav.