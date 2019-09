We maken met z'n allen van steeds meer verschillende diensten gebruik, waar je op de een of andere manier toegang toe moet krijgen, als werknemer maar ook zeker als klant. Deze toegang dient uiteraard wel goed beveiligd te zijn. Daarvoor is access management bedacht. Aan de hand van gesprekken met Okta en Eneco (een klant van Okta) zijn we hier eens iets dieper ingedoken.

We spreken eerst met de VP EMEA van Okta, Jesper Frederiksen. Okta is namelijk al geruime tijd een van de leiders op het gebied van access management, als we Gartner mogen geloven. Nu kun je bij dat soort kwadranten altijd de nodige vraagtekens zetten, maar de voorsprong die Okta in de meest recente versie hiervan heeft is lastig te negeren. Heel veel hoger rechts bovenin het kwadrant kun je haast niet komen in ieder geval.

Jesper Fredeiksen, VP EMEA van Okta

Dat Okta zo hoog staat, is op zich niet enorm verwonderlijk, als je naar de ontstaansgeschiedenis kijkt. De oprichters van het bedrijf zijn namelijk afkomstig van Salesforce, een bedrijf dat als geen ander garen gesponnen heeft en nog steeds spint bij de transitie richting de cloud die veel organisaties gemaakt hebben of aan het maken zijn. Dat DNA zit dus ook vanaf de oprichting in 2009 verweven in Okta en zal ongetwijfeld een van de redenen zijn waarom het bedrijf zo hoog staat bij Gartner.

Standaardiseren van IAM

Zoals veel SaaS-diensten is ook Okta deels bedacht om zaken centraal wat meer te standaardiseren, in hun geval op het gebied van Identity and Access Management (IAM). "In het verleden werden er behoorlijk wat point-solutions gebruikt voor de verschillende stacks die je in je organisatie had, Okta maakt hier een einde aan," stelt Frederiksen. Hij noemt neutraliteit de voornaamste USP van het bedrijf. Dat moet ook wel, anders wordt standaardiseren ook een lastig verhaal uiteraard.

Om deze neutraliteit mogelijk te kunnen maken, moeten er koppelingen gemaakt worden met alle andere diensten die door een organisatie gebruikt worden. En dat zijn er nogal wat. Inmiddels zijn er al meer dan 5500 integraties beschikbaar, van Active Directory tot aan Sailpoint. De meeste van deze integraties zijn gedaan middels standaard protocollen (API's dus), al zijn er ook wel wat diepere integraties nodig af en toe. Die zijn dan niet gestandaardiseerd, maar moeten specifiek voor dat gebruiksdoel gebouwd worden.

Als cloud-gebaseerd platform (Okta draait bij AWS), is de integratie met andere applicaties die in de cloud draaien uiteraard een focusgebied. Dit betekent echter niet dat Okta niet met on-prem partijen overweg kan. Zo zijn er samenwerkingen met bijvoorbeeld VMware Workspace ONE en Palo Alto, twee partijen die stevig in de on-prem wereld staan. Frederiksen geeft overigens wel toe dat ze "binnen de firewall", zoals hij het noemt, nog wel wat te winnen hebben. Dat is een wat lastiger omgeving, omdat die een stuk minder API-gedreven/gestandaardiseerd is en eigenlijk alleen via strategische partnerships zoals die hierboven aangehaald met VMware en Palo Alto goed te bedienen is.

Zero trust als basis

Tijdens ons gesprek heeft Frederiksen het enkele malen over zero trust als basisprincipe waarvandaan men vertrekt bij Okta. Je zou kunnen zeggen dat een dergelijk principe hoort bij het deployment model van de dienst van Okta. Het platform draait immers in de cloud, dus buiten je eigen on-prem omgeving. Daar kun je nu eenmaal lastiger van een bepaalde mate van trust uitgaan. Eigenlijk accepteer je door het afnemen van een dergelijke dienst in de cloud dat je voorbij firewalls denkt. Dat is ook het punt dat Frederiksen maakt: "vergeet firewalls, de perimeter beveiligen is kansloos." Uiteraard voegt hij daar desgevraagd vervolgens aan toe dat firewalls nog wel degelijk hun nut hebben. Uiteindelijk zijn die echter een stuk minder belangrijk geworden. Toen we recent met Nathan Howe, Principal Architect van Zscaler spraken, kwam globaal hetzelfde argument bovendrijven. In een tijd van cloud moet je ook naar de cloud kijken om je security-vragen te beantwoorden, hoe paradoxaal dit ook klinkt.

De uitdaging bij access management is uiteraard om een goede balans te vinden tussen gebruiksgemak en beveiliging. Je wilt niet om de haverklap ergens een wachtwoord invullen. Single Sign-On (SSO) is dan ook een belangrijk onderdeel van wat Okta te bieden heeft. Daarnaast is ook passwordless een belangrijk onderdeel geworden. Hiervoor heeft Okta een vernuftig systeem opgetuigd. Het is een koppeling tussen Multifactor Authentication, Okta's eigen ThreatInsight - voor het real-time analyseren van een inlogproces - en context. Met name het laatste is belangrijk voor passwordless. De context waarin iemand wil inloggen bepaalt of dat überhaupt mogelijk is. Log je via je eigen apparaat in via het eigen netwerk, dan kun je met het eenvoudig accepteren van een melding via een app op je telefoon toegang krijgen. Doe je het elders, dan kan er bijvoorbeeld worden gevraagd om een U2F-token. De dynamiek van het aantal beschikbare authenticatiemethodes is cruciaal om passwordless goed te kunnen inzetten.

Voor werknemers én klanten

Okta is in eerste instantie opgericht om interne problemen rondom access management op te lossen. Werknemers moeten eenvoudiger en veiliger toegang krijgen tot applicaties die men gebruikt in de organisatie, waarbij zoals al aangegeven SSO en 2FA/MFA de speerpunten zijn. Dit is overigens niet alleen belangrijk bij het toegang verlenen van werknemers tijdens hun dienstverband, maar ook zeker voor het ontzeggen van die toegang als ze eenmaal niet meer werkzaam zijn bij een organisatie die het gebruikt.

Naast werknemers is er echter nog een doelgroep van IAM-tools zoals Okta. Klanten van bedrijven met bijvoorbeeld gepersonaliseerde portals kunnen hier ook zeker voordeel bij hebben. Met de focus op klanttevredenheid en zaken zoals NPS-scores die er tegenwoordig bij bedrijven is, kun je met een goede ervaring een voordeel behalen.

Om eens te horen wat er in de praktijk gedaan wordt met Okta voor klanten, hebben we met Michiel van Praat, tech lead voor de online platformen van Eneco, gesproken. De rest van het artikel wijden we aan dat gesprek.

Centrale voordeur bij Eneco

Bij een bedrijf zoals Eneco heeft de afgelopen jaren een duidelijke transitie plaatsgevonden als het gaat om klantcontact. Waar het voorheen ging om niet meer dan 6 minuten aan contact per jaar ging, primair voor probleemoplossing en voor gesprekken over de energierekening, is dat nu voor een deel van de klanten een bijna dagelijkse aangelegenheid geworden. Klanten komen in contact als ze de Toon-thermostaat gebruiken en deze willen beheren en willen meer advies rondom energie. Daarnaast is er nog het forum, waar men de nodige zaken onderling kan bespreken.

Let wel, niet iedereen maakt zo intensief gebruik van de platformen van Eneco, benadrukt Van Praat. "Het grootste gedeelte van de gebruikers is nog tamelijk basaal, sommigen hebben niet eens een e-mailadres. Deze mensen zoeken maar een keer per jaar contact via de website," stelt hij. "Voor zowel deze mensen als voor de meer intensieve gebruiker willen we een centrale voordeur maken, waar vanuit alle kanalen die Eneco aanbiedt verbinding mee gemaakt kan worden." Die voordeur wordt verzorgd door Okta.

Ten tijde van ons gesprek waren er 1,3 miljoen klanten van Eneco geregistreerd in Okta. Zodra je als klant op de 'Mijn Eneco'-pagina komt, kom je in de omgeving van Okta. Er wordt dan ook een token gestuurd door de API naar bijvoorbeeld een facturatiesysteem of een CRM, om zo een zo goed mogelijk beeld te krijgen van de klant.

Ook bij het aanmelden voor een dienst van Eneco speelt Okta een belangrijke rol. Er kan dan namelijk meteen een klant aangemaakt worden binnen Okta, die ook in kan loggen en kan communiceren met Eneco, ook al is er nog geen sprake van facturatie en dergelijke. Je creëert dan meteen meer engagement met de potentiële klant.

Als klant profiteer je onder de streep ook van wat Okta op de achtergrond doet. De prestaties van Okta zijn beduidend beter dan die van het oude inlogsysteem. Er wordt per inlog een tijdwinst geboekt van drie seconden. Daarnaast hoeven klanten door het gebruik van SSO minder vaak in te loggen. "Dat vinden klanten vervelend. We hebben dan ook goede feedback gekregen op de overgang," aldus Van Praat.

Uitbreidingen

Eneco heeft de nodige kanalen waarmee het met klanten in contact komt. De 'Mijn Eneco'-pagina is er daar een van, maar er ook nog de door Quby geleverde dienst voor de Toon-thermostaat en het forum van Eneco. Het idee is om ook die kanalen toegankelijk te maken via de centrale voordeur die Okta heet. In het geval van Toon vervangt Okta dan een tamelijk ingewikkelde VPN-constructie tussen de twee diensten. Voor het forum betekent de integratie dat men dan ook niet-klanten een account aan laat maken, die ze dan vervolgens in de database hebben staan en gepaste aanbiedingen kunnen doen. Zo is Okta tot op zekere hoogte ook een marketinginstrument.

Verder is Eneco aan het kijken wat de mogelijkheden zijn om via Okta meerdere accounts per huishouden aan te maken, voor zowel ouders als kinderen. Daar heb je uiteraard goede access management policies voor nodig, omdat er een persoon aansprakelijk moet zijn binnen een gezin. Voor bedrijven zijn ze naar iets soortgelijks aan het kijken overigens, maar consumenten lopen wat verder voor qua digitalisering.

Samen optrekken

Eneco houdt goed in de gaten wat er zoal op de roadmap van Okta staat en wat men daar eventueel mee kunt. Zo staat de hierboven beschreven mogelijkheid om meerdere accounts per huishouden aan te maken erop. Zodra dit ook daadwerkelijk klaar voor productie is, zullen ze daar ook zeker serieus naar gaan kijken. Let wel, het kan zijn dat een nieuwe feature niet meteen optimaal werkt voor een specifieke klant. Dat is een logisch gevolg van de wens om allerlei tamelijk complexe processen in een 'standaard' platform aan te bieden. Soms zal er samen met de klant nog een paar keer goed naar gekeken moeten worden.

Al met al is de inlogervaring bij Eneco er met behulp van Okta een stuk beter op geworden voor de klanten. We staan echter nog maar aan het begin van deze transitie richting een omnichannel en uniforme ervaring. We zijn dan ook benieuwd hoe dit verder zal gaan en of Okta alle wensen van Eneco in kan vullen.