Etätyöaika on vauhdittanut Microsoftin pilvipalveluiden käyttöönottoja kunnissa, valtionhallinnossa ja yrityksissä. Sähköpostit, Teams-palaverit ja muut päivittäiset tehtävät hoituvat kätevästi samoilla tunnuksilla. WordPressin ylläpitokirjautumisen osalta kaikki eivät kuitenkaan ole vielä hyödyntäneet olemassa olevien palveluiden kertakirjautumisen (SSO) mahdollisuuksia.

Pilvipalveluiden yleistymisen myötä myös käyttäjähallinnan osalta perinteiset itse ylläpidetyt AD- ja ADFS-palvelimet ovat pääosin jääneet historiaan ja useat organisaatiot ovat siirtyneet joko täysin pilvipohjaiseen ratkaisuun tai hybridiratkaisuun, jossa sisäverkon AD:sta synkronoidaan vähintään kirjautumisen vaatimat tiedot Azure AD:hen. 

Verrattuna perinteiseen AD/ADFS -yhdistelmään Azure AD tarjoaa useita etuja:

1. Liittyminen on mahdollista usealla tavalla. Esimerkiksi SAML 2.0 -protokollalla tai OpenID Connectilla
2. Applikaatioon voidaan suoraan valita ryhmät tai henkilöt, joilla on oikeus kirjautua
3. Kirjautumiseen voidaan helposti liittää vahva tunnistautuminen (Multi Factor Authentication), kun kirjaudutaan muualta kuin organisaation verkosta

Käyttöönotto on helppoa

Olemme rakentaneet omana tuotekehityksenä SAML 2.0 -protokollaan pohjautuvan integraatiolisäosan, joka mahdollistaa kertakirjautumisen tarvittaessa useampaa identiteettipalvelinta vasten. Usean identiteettipalvelun tuki on olennaista esimerkiksi kunnille ja kaupungeille, joissa hallinnon ja koulutuspuolen tunnukset on usein eriytetty. Lisäosa myös toimii WordPressin multisite-ympäristössä ja tukee useampaan eri domainiin kirjautumista saman integraation kautta.

Kehittämämme lisäosa helpottaa jo kymmenien verkko- ja intranetsivustojen käyttäjähallintaa. Sen käyttöönotto on helppoa ja säästää merkittävästi ylläpitäjien käyttäjätunnushallintaan kuluvaa aikaa ja samalla parantaa tietoturvaa huomattavasti.

AD-integraatio hyödyttää jo koulutusvaiheessa

Uusissa projekteissa AD-integraatiosta saadaan hyötyä jo koulutusvaiheessa, kun asiakasorganisaation ylläpitäjien ei tarvitse luoda jopa satoja käyttäjätunnuksia koulutuksia varten. Koulutettavat voivat saapua suoraan koulutukseen ja kirjautua omilla tutuilla tunnuksilla. Ensimmäisellä kirjautumiskerralla käyttäjän rooli voidaan asettaa sopivalle lähtötasolle, jolloin töihin päästään ilman isompaa tunnussäätöä.

AD-tunnusten lisäksi voi yhtäaikaisesti olla käytössä myös julkaisujärjestelmän paikallisia käyttäjätunnuksia organisaation ulkopuolisia henkilöitä varten. Myös pääkäyttäjällä voi olla paikallinen tunnus hätätilanteita varten, esimerkiksi jos yhteys identiteettipalvelimeen jostain syystä katkeaa.

AD:n ryhmien hyödyntäminen on mahdollista myös jatkuvasti, mutta useimmissa tapauksissa on järkevämpää käyttää AD-integraatiota ainoastaan käyttäjän tunnistamiseen ja asettaa käyttöoikeudet ensimmäisen kirjautumisen jälkeen julkaisujärjestelmän työkaluilla. Tällöin esimerkiksi jokaista samassa multisitessä olevaa sivustoa varten ei tarvitse ylläpitää AD:ssa omaa ryhmää.

Myös jälkiasennus ja käyttäjätilien yhdistäminen on mahdollista

Vaikka sivuston käyttöönottovaihe olisi jo tehty, lisäosa on mahdollista ottaa käyttöön jälkiasennuksena. Mikäli samalla sähköpostiosoitteella on jo olemassa käyttäjätunnus, se voidaan yhdistää AD-tunnukseen sähköpostin perusteella aikaisemmat käyttöoikeudet säilyttäen. 

AD-integraatio parantaa tietoturvaa

Käyttäjähallinnassa saatavan ajansäästön lisäksi keskitetystä käyttäjähallinnasta on myös useita tietoturvahyötyjä. Esimerkiksi työsuhteen päättyessä ei tarvitse erikseen muistaa käydä lakkauttamassa paikallisia tunnuksia eri järjestelmistä, vaan keskitetyn tunnuksen poistaminen käytöstä riittää.

Myös työtehtävien muuttuessa organisaation sisällä, kirjautumisoikeutta voidaan rajata ryhmäpohjaisesti tai jopa yksittäisen käyttäjätunnuksen tasolla.

Lisäksi Azure AD-kirjautumiseen voidaan lisätä monivaiheinen todennus (MFA), kun kirjautuminen tapahtuu muualta kuin organisaation luotettavaksi merkitsemistä verkoista. Tämä parantaa tietoturvaa merkittävästi siinä tapauksessa, mikäli käyttäjätunnus ja salasana joutuu vääriin käsiin.

Mikäli organisaatiossasi on käytössä Azure AD, mutta sitä ei hyödynnetä ylläpitäjien kertakirjautumiseen, sopiva aika käyttöönotolle on nyt.