Kesän aikana Microsoftilta on tullut tasaiseen tahtiin tuotejulkistuksia Entra-tuoteperheen alle. Yksi niistä kantaa nimeä ”Entra External ID for customers”. Tässä blogissa selviää, mikä olio tuon nimirimpsun taakse kätkeytyy.
Microsoftin ratkaisu asiakkaiden ja kuluttajien identiteetin ja pääsynhallintaan (Customer/Consumer Identity and Access Management eli CIAM) on jo useamman vuoden ajan ollut Azure AD B2C. Kehittäjien joukossa tämä ratkaisu tullut tunnetuksi jähmeästä muokattavuudestaan.
Oli kyse sitten tunnistustapojen eri polkujen konffauksesta tai tunnistuksen käyttäjäkokemuksen (UX) hieromisesta, ovat kehittäjät joutuneet konfiguroimaan nämä monimutkaisiin XML-tiedostoihin, joissa yksi virhe johtaa koko järjestelmän toimimattomuuteen. Myös virheen selvittely ko. tiedostoista on ollut työlästä vajavaisten tai vaikeasti tulkittavien virhelogitusten takia.
Microsoft on kuitenkin kuunnellut kehittäjiä ja ilmeisesti tämä on ollut siemenenä uuden ratkaisun kehityksen aloittamiselle.
”We’ve listened to many customers who, like you, have shared that custom policies are too hard to build and manage. Our next generation platform will resolve the need for intricate custom policies. In addition to many other platform and feature improvements, you’ll have equivalent functionality in the new platform but a much easier way to build and manage it.”
Lähde: https://learn.microsoft.com/en-gb/azure/active-directory/external-identities/customers/faq-customers
Mikä Microsoft CIAM -ratkaisujen tilanne tällä hetkellä on?
Entra External ID for customers on Microsoftin seuraavan sukupolven CIAM-ratkaisu asiakkaiden ja kuluttajien identiteettien suojaamiseen.
Tällä hetkellä tärkeintä on hahmottaa eri ratkaisujen elinkaari: Azure AD B2C:hen ei Microsoftin mukaan enää tehdä aktiivista ominaisuuksien kehitystä, vaan kehityspanos on siirtynyt uusien Entra -palveluiden puolelle. Entra External ID for customers on kuitenkin preview-tilassa, ja sitä ei voi kutsua tuotantovalmiiksi. Raa’assa kyvykkyysvertailussa se ei myöskään pärjää markkinoilla oleville vaihtoehdoille.
Microsoft pystyy halutessaan käyttämään paljon kehitysvoimaa, joten sikäli Entra External ID for customers voi kehittyä kilpailukykyiseksi hyvinkin nopeasti. Tämä selvinnee syksyn ja talven aikana. Toivoisin, että kehityksessä panostetaan seuraaviin asioihin:
- Käyttöliittymän helppo ja laaja muokattavuus
- Monipuolinen tuki eri autentikointitavoille, myös FIDO2 -pohjaisille tekniikoille (kuten WebAuthN & Passkey)
- Laajempi protokollien tuki (esim. tällä hetkellä Entra External ID for customers ei tue SAML:ia)
Mitä tämä tarkoittaa CIAM-toteutusta pohtivan näkökulmasta?
Identiteetinhallinnan konsultin roolissa en pysty tällä hetkellä suosittelemaan kumpaakaan Microsoftin CIAM-ratkaisua uuteen projektiin varauksetta. Azure AD B2C tulee poistumaan jollain aikajänteellä ja Entran puolelta taas puuttuu oleellisia ominaisuuksia (katso lista kehityskohteista yllä). Joihinkin suppeampiin käyttötarpeisiin ratkaisu voi jo olla riittävä.
Jos sinulla on mahdollisuus odottaa CIAM-hankkeesi kanssa, nyt voi olla oikea hetki sille. Entra External ID for customers voi olla varteenotettava ratkaisu jo puolen vuoden – vuoden sisällä.
Mielestäni Microsoftin kannattaisi avata tiekarttaansa ja tulevaisuuden näkymiään pidemmälle. Identiteetinhallintaan liittyvät hankkeet ovat yrityksissä yleensä strategisia ja elinkaariltaan pitkiä. Nykyisellään Microsoft tekee strategisen suunnittelun erittäin vaikeaksi, kun tietoa tulevaisuudesta tai tuotteiden jatkuvuudesta on rajatusti saatavilla.
Jos tarvitset apua CIAM-projektisi suunnittelussa ja toteutuksessa, ota yhteyttä. Kokeneet osaajamme varmistavat teille hyvän lopputuloksen tässäkin tilanteessa.
