(0275) 2974 127
Dalam lingkungan digital modern, organisasi menggunakan banyak aplikasi, sistem cloud, database, perangkat kerja, dan layanan internal. Setiap sumber daya tersebut perlu diakses oleh pengguna yang tepat, dengan hak akses yang sesuai, serta pada waktu yang diperlukan. Tanpa pengelolaan akses yang baik, risiko seperti kebocoran data, penyalahgunaan akun, akses ilegal, dan kesalahan pemberian izin akan meningkat.
Di sinilah Identity and Access Management (IAM) berperan. IAM membantu organisasi mengelola identitas digital pengguna dan mengatur siapa yang boleh mengakses sumber daya tertentu. Sistem ini menjadi salah satu fondasi penting dalam strategi keamanan siber karena memastikan akses diberikan secara terkontrol, dapat diaudit, dan sesuai kebijakan perusahaan.
Menurut NIST, IAM bertujuan memastikan orang maupun entitas yang tepat memperoleh akses yang tepat ke sumber daya yang tepat pada waktu yang tepat.
Identity and Access Management (IAM) adalah kumpulan kebijakan, proses, teknologi, dan kontrol keamanan yang digunakan untuk mengelola identitas digital serta mengatur hak akses pengguna terhadap sistem, aplikasi, data, jaringan, dan berbagai sumber daya organisasi. Dalam keamanan siber, IAM berperan penting untuk memastikan bahwa hanya pengguna yang memiliki izin yang dapat mengakses informasi atau layanan tertentu sesuai dengan tugas, peran, dan tingkat kewenangannya.
Secara sederhana, sistem IAM membantu organisasi menjawab pertanyaan penting seperti siapa yang mencoba mengakses sistem, apakah identitas pengguna tersebut valid, sumber daya apa yang boleh diakses, kapan akses dapat dilakukan, serta dari perangkat atau lokasi mana pengguna melakukan akses. IAM juga memungkinkan perusahaan mencatat dan memantau aktivitas akses agar setiap tindakan pengguna dapat diawasi, ditelusuri, dan dievaluasi apabila terjadi insiden keamanan.
Penerapan Identity and Access Management tidak hanya ditujukan untuk karyawan internal. IAM juga dapat digunakan untuk mengelola akses pelanggan, mitra bisnis, vendor, administrator, perangkat Internet of Things (IoT), aplikasi, layanan otomatis, hingga akun mesin. Dengan pengelolaan akses yang terpusat, organisasi dapat mengurangi risiko akses tidak sah, penyalahgunaan akun, kebocoran data, dan kesalahan pemberian izin.
Dalam lingkungan perusahaan, IAM mencakup pengelolaan identitas individu, peran kerja, kredensial login, hak akses istimewa, autentikasi, otorisasi, serta pencatatan aktivitas pengguna. Oleh karena itu, IAM menjadi salah satu fondasi penting dalam strategi keamanan digital, terutama bagi organisasi yang menggunakan banyak aplikasi, layanan cloud, sistem internal, dan data sensitif.
Penggunaan aplikasi cloud, sistem kerja jarak jauh, perangkat pribadi, dan layanan digital membuat identitas pengguna menjadi target utama serangan siber. Penyerang sering kali tidak perlu membobol sistem secara langsung jika mereka berhasil mencuri username, password, token akses, atau kredensial administrator. IAM penting karena membantu organisasi mengurangi risiko tersebut melalui pengendalian akses yang lebih ketat.
IAM terdiri dari beberapa komponen yang bekerja bersama untuk mengelola identitas dan akses.
1. Identity Management
Identity Management adalah komponen IAM yang berfungsi untuk mengelola seluruh siklus hidup identitas digital pengguna, mulai dari pembuatan, penyimpanan, pembaruan, hingga penghapusan akun. Identitas digital dalam sistem IAM biasanya mencakup informasi penting seperti nama pengguna, email perusahaan, nomor identitas karyawan, jabatan, departemen, lokasi kerja, peran pengguna, status kerja, grup akses, dan atribut keamanan lainnya. Data tersebut menjadi dasar bagi organisasi untuk menentukan hak akses yang sesuai bagi setiap pengguna.
Sebagai contoh, ketika karyawan baru bergabung, tim HR dapat memasukkan data karyawan ke dalam sistem perusahaan. Sistem IAM kemudian menggunakan data tersebut untuk membuat akun email, akun aplikasi kerja, serta memberikan akses ke sistem berdasarkan jabatan, departemen, dan tanggung jawab karyawan. Dengan Identity Management yang terpusat, organisasi dapat mengurangi risiko akun ganda, data identitas yang tidak konsisten, serta kesalahan dalam pemberian akses pengguna.
2. Authentication
Authentication adalah proses verifikasi identitas pengguna sebelum pengguna diizinkan masuk ke sistem, aplikasi, jaringan, atau data organisasi. Dalam IAM, autentikasi digunakan untuk memastikan bahwa pihak yang mencoba mengakses sumber daya digital benar-benar merupakan pengguna yang sah. Proses ini penting untuk mencegah akses ilegal, pencurian akun, dan penyalahgunaan kredensial.
Metode authentication yang umum digunakan meliputi username dan password, PIN, One-Time Password atau OTP, aplikasi authenticator, kode verifikasi melalui email atau SMS, biometrik seperti sidik jari dan pengenalan wajah, security key, sertifikat digital, serta smart card. Semakin kuat metode autentikasi yang diterapkan, semakin kecil risiko akun pengguna diakses oleh pihak yang tidak berwenang. Dalam praktiknya, banyak organisasi menerapkan Multi-Factor Authentication atau MFA untuk menambahkan lapisan keamanan di luar password.
3. Authorization
Authorization adalah proses dalam IAM yang menentukan sumber daya, aplikasi, data, atau tindakan yang boleh diakses oleh pengguna setelah identitasnya berhasil diverifikasi melalui authentication. Jika authentication menjawab pertanyaan “Siapa Anda?”, maka authorization menjawab pertanyaan “Apa yang boleh Anda lakukan?”. Dengan mekanisme ini, organisasi dapat memastikan bahwa setiap pengguna hanya memperoleh akses sesuai dengan peran, tanggung jawab, dan kebutuhan pekerjaannya.
Sebagai contoh, staf HR dapat diberikan izin untuk mengakses data karyawan, tim keuangan dapat membuka laporan keuangan, tim IT dapat mengelola perangkat dan akun pengguna, sedangkan administrator sistem dapat melakukan perubahan konfigurasi server. Sementara itu, pelanggan biasanya hanya dapat mengakses informasi akun miliknya sendiri. Authorization membantu menerapkan prinsip least privilege, yaitu memberikan hak akses minimum yang diperlukan agar pengguna dapat menjalankan tugasnya tanpa membuka risiko keamanan yang berlebihan.
4. Access Control
Access Control adalah mekanisme keamanan yang digunakan untuk menerapkan kebijakan akses dalam sistem IAM. Komponen ini menentukan apakah permintaan akses pengguna terhadap aplikasi, data, jaringan, atau sumber daya tertentu dapat diizinkan atau harus ditolak. Access control bekerja berdasarkan aturan dan kebijakan keamanan yang telah ditetapkan oleh organisasi untuk melindungi data sensitif serta mencegah akses tidak sah.
Keputusan akses dapat mempertimbangkan berbagai faktor, seperti identitas pengguna, peran pengguna, grup pengguna, lokasi akses, perangkat yang digunakan, waktu akses, tingkat risiko, status keamanan perangkat, dan jenis data yang ingin dibuka. Contohnya, pengguna mungkin dapat mengakses sistem perusahaan dari perangkat kerja yang terdaftar, tetapi akses akan ditolak jika dilakukan dari perangkat yang tidak aman atau lokasi yang mencurigakan. Dengan access control yang efektif, organisasi dapat membatasi akses berdasarkan kondisi dan tingkat risiko secara lebih akurat.
5. User Provisioning dan Deprovisioning
User Provisioning dan Deprovisioning adalah proses penting dalam IAM untuk mengelola pemberian dan pencabutan akses pengguna. User provisioning merupakan proses pembuatan akun, pemberian kredensial, serta pengaturan hak akses ketika pengguna baru bergabung dengan organisasi atau membutuhkan akses ke sistem tertentu. Proses ini dapat mencakup pembuatan akun email, akun aplikasi, akses ke folder kerja, akses cloud, dan izin terhadap sistem internal perusahaan.
Sebaliknya, deprovisioning adalah proses mencabut akun, kredensial, dan hak akses ketika pengguna tidak lagi membutuhkan akses tersebut. Proses ini perlu dilakukan saat karyawan resign, kontrak kerja berakhir, pengguna pindah divisi, vendor selesai bekerja sama, atau akses sementara telah habis masa berlakunya. Provisioning dan deprovisioning yang dilakukan secara cepat dan terkontrol membantu mencegah akun lama, akun tidak aktif, atau akun mantan karyawan tetap memiliki akses ke sistem perusahaan.
6. Directory Services
Directory Services adalah komponen IAM yang berfungsi sebagai tempat penyimpanan terpusat untuk data identitas pengguna, grup, perangkat, akun, dan atribut akses. Directory service membantu organisasi menyimpan informasi pengguna secara terstruktur sehingga sistem dapat mengenali siapa pengguna tersebut, peran apa yang dimiliki, grup mana yang diikuti, serta akses apa yang dapat diberikan.
Dengan directory services, organisasi dapat menerapkan kebijakan akses secara konsisten di berbagai aplikasi dan sistem. Misalnya, ketika seorang pengguna dipindahkan dari departemen pemasaran ke departemen keuangan, data peran dan grup aksesnya dapat diperbarui dalam directory service. Perubahan tersebut kemudian dapat diterapkan secara otomatis ke aplikasi atau sistem yang terhubung dengan IAM. Hal ini membantu mengurangi proses manual, meningkatkan akurasi data identitas, dan mempercepat pengelolaan akses pengguna.
7. Audit dan Monitoring
Audit dan Monitoring dalam IAM adalah proses pencatatan, pengawasan, dan analisis aktivitas akses pengguna terhadap sistem organisasi. Komponen ini penting untuk membantu tim keamanan mendeteksi aktivitas mencurigakan, melakukan investigasi insiden, memenuhi kebutuhan audit internal, serta mendukung kepatuhan terhadap kebijakan keamanan dan regulasi perlindungan data.
Data audit dalam sistem IAM dapat mencakup waktu login, lokasi login, alamat IP, perangkat yang digunakan, aplikasi yang diakses, permintaan akses, perubahan hak akses, percobaan login gagal, hingga aktivitas yang dilakukan oleh administrator. Dengan adanya audit trail yang lengkap, organisasi dapat mengetahui siapa yang mengakses sistem, kapan akses dilakukan, sumber daya apa yang dibuka, dan apakah aktivitas tersebut sesuai dengan kebijakan keamanan. Monitoring secara berkelanjutan juga membantu organisasi merespons potensi ancaman lebih cepat sebelum berkembang menjadi insiden keamanan yang lebih serius.
Berikut adalah beberapa fungsi utama IAM dalam organisasi.
IAM mengelola identitas pengguna sejak akun dibuat hingga akun dihapus. Siklus hidup identitas ini mencakup proses onboarding, perubahan peran, perpindahan departemen, pemberian akses sementara, hingga penghentian akses.
IAM memungkinkan organisasi memberikan hak akses berdasarkan peran atau jabatan pengguna. Pendekatan ini membantu memastikan bahwa akses diberikan sesuai tanggung jawab pekerjaan. Contohnya, pengguna dengan peran “Customer Service” dapat mengakses sistem tiket pelanggan, sedangkan pengguna dengan peran “Developer” dapat mengakses repositori kode dan lingkungan pengembangan.
MFA menambahkan lapisan keamanan di luar password. Pengguna mungkin perlu memasukkan password dan kode OTP, menyetujui notifikasi pada aplikasi authenticator, atau menggunakan security key. MFA penting karena password dapat dicuri melalui phishing, credential stuffing, malware, atau kebocoran data.
Single Sign-On memungkinkan pengguna masuk satu kali untuk mengakses beberapa aplikasi yang telah terintegrasi. Manfaat SSO antara lain:
Akun dengan hak akses tinggi, seperti administrator sistem, database administrator, atau cloud administrator, perlu diawasi lebih ketat. IAM dapat membantu membatasi, memantau, dan mencatat penggunaan akses istimewa tersebut.
IAM menghasilkan log yang dapat digunakan untuk menjawab pertanyaan seperti:
Cara kerja Identity and Access Management (IAM) dimulai ketika organisasi membuat identitas digital untuk setiap pengguna, seperti karyawan, vendor, pelanggan, atau administrator. Identitas tersebut berisi data penting, seperti nama, email, jabatan, departemen, dan peran pengguna. Setelah itu, pengguna diberikan kredensial login, misalnya username, password, kode OTP, atau metode Multi-Factor Authentication (MFA), untuk membuktikan identitasnya saat ingin mengakses sistem.
Ketika pengguna membuka aplikasi, data, atau layanan perusahaan, sistem IAM akan melakukan authentication untuk memverifikasi identitas pengguna. Jika proses login berhasil, IAM melanjutkan ke tahap authorization untuk memeriksa apakah pengguna memiliki izin mengakses sumber daya yang diminta. Penilaian ini dapat didasarkan pada peran pengguna, departemen, perangkat yang digunakan, lokasi akses, dan kebijakan keamanan perusahaan.
Jika pengguna memiliki hak akses yang sesuai, IAM akan menerapkan access control dan memberikan izin sesuai kebutuhan. Contohnya, staf keuangan dapat melihat laporan keuangan, tetapi tidak dapat mengubah data atau mengakses sistem administrator. Sebaliknya, jika pengguna tidak memiliki izin, akses akan ditolak atau pengguna perlu mengajukan permintaan akses tambahan.
Selain mengatur akses, IAM juga mencatat aktivitas penting, seperti login berhasil, login gagal, perubahan password, dan perubahan hak akses. Pencatatan ini membantu organisasi memantau aktivitas pengguna, mendeteksi akses mencurigakan, serta melakukan investigasi apabila terjadi insiden keamanan.
Bayangkan seorang karyawan bernama Rina bekerja sebagai staf keuangan.
IAM dapat menggunakan beberapa model kontrol akses sesuai kebutuhan organisasi.
Dalam Identity and Access Management (IAM), organisasi dapat menggunakan beberapa model access control untuk mengatur siapa yang dapat mengakses data, aplikasi, sistem, dan sumber daya tertentu. Setiap model memiliki cara kerja yang berbeda dan dapat dipilih sesuai kebutuhan keamanan organisasi.
1. Role-Based Access Control (RBAC)
Role-Based Access Control (RBAC) adalah model kontrol akses yang memberikan izin berdasarkan peran atau jabatan pengguna dalam organisasi. Dalam model ini, setiap peran memiliki hak akses tertentu sesuai tanggung jawab pekerjaannya.
Contohnya, administrator dapat mengelola sistem, manager dapat melihat laporan tim, staf HR dapat mengakses data karyawan, staf keuangan dapat membuka laporan keuangan, developer dapat mengakses lingkungan pengembangan, dan auditor dapat melihat data untuk kebutuhan audit. RBAC banyak digunakan karena lebih mudah dikelola, terutama pada organisasi yang memiliki banyak pengguna dengan tugas dan jabatan yang berbeda.
2. Attribute-Based Access Control (ABAC)
Attribute-Based Access Control (ABAC) adalah model kontrol akses yang menentukan izin berdasarkan atribut pengguna, atribut sumber daya, jenis tindakan yang dilakukan, serta kondisi lingkungan. Atribut tersebut dapat mencakup departemen pengguna, jabatan, perangkat yang digunakan, lokasi akses, waktu akses, tingkat otorisasi, dan tingkat sensitivitas data.
Sebagai contoh, seorang pengguna dapat mengakses dokumen tertentu apabila berasal dari departemen yang sesuai, menggunakan perangkat perusahaan, terhubung ke jaringan internal, dan melakukan akses pada jam kerja. ABAC memberikan kontrol akses yang lebih fleksibel dan detail karena keputusan akses dapat disesuaikan dengan berbagai kondisi keamanan.
3. Discretionary Access Control (DAC)
Discretionary Access Control (DAC) adalah model kontrol akses yang memberikan wewenang kepada pemilik sumber daya untuk menentukan siapa yang dapat mengakses data atau file tertentu. Dalam model ini, pemilik file dapat membagikan dokumen kepada pengguna lain dan mengatur jenis izin yang diberikan, seperti hanya melihat, mengedit, mengunduh, atau menghapus data.
DAC umumnya digunakan pada sistem berbagi file atau aplikasi kolaborasi karena pemilik data dapat mengatur akses secara langsung. Namun, organisasi tetap perlu menerapkan kebijakan keamanan agar pemberian akses tidak dilakukan secara sembarangan.
4. Mandatory Access Control (MAC)
Mandatory Access Control (MAC) adalah model kontrol akses dengan kebijakan keamanan yang lebih ketat. Dalam MAC, akses tidak ditentukan oleh pengguna atau pemilik data, melainkan oleh aturan keamanan yang telah ditetapkan oleh organisasi atau sistem. Data biasanya dikelompokkan berdasarkan tingkat klasifikasi, seperti public, internal, confidential, secret, dan top secret.
Pengguna hanya dapat mengakses data apabila memiliki tingkat izin atau clearance yang sesuai dengan klasifikasi data tersebut. Model MAC sering digunakan pada organisasi dengan kebutuhan keamanan tinggi, seperti instansi pemerintah, militer, sektor pertahanan, dan lingkungan yang mengelola informasi sangat sensitif.
| Aspek | IAM | Authentication | Authorization |
|---|---|---|---|
| Pengertian | Sistem dan proses untuk mengelola identitas serta akses | Proses verifikasi identitas pengguna | Proses penentuan izin akses pengguna |
| Pertanyaan utama | Siapa yang dapat mengakses apa dan bagaimana akses dikelola? | Siapa Anda? | Apa yang boleh Anda akses atau lakukan? |
| Contoh | Pengelolaan akun, SSO, MFA, RBAC, audit | Login dengan password dan OTP | Izin membuka, mengubah, atau menghapus file |
| Cakupan | Luas dan menyeluruh | Bagian dari IAM | Bagian dari IAM |
Beberapa teknologi yang sering digunakan dalam implementasi IAM meliputi:
Teknologi tersebut dapat digunakan secara terpisah atau dikombinasikan dalam satu ekosistem IAM.
Identity and Access Management (IAM) merupakan bagian penting dari Zero Trust Security, yaitu pendekatan keamanan yang tidak langsung mempercayai pengguna, perangkat, atau jaringan. Dalam Zero Trust, setiap permintaan akses harus diverifikasi terlebih dahulu sebelum pengguna dapat membuka aplikasi, data, atau sistem perusahaan.
IAM membantu Zero Trust dengan memeriksa identitas pengguna, peran, perangkat, lokasi akses, dan tingkat risiko sebelum memberikan izin. Sistem juga menerapkan prinsip least privilege, yaitu pengguna hanya memperoleh akses sesuai kebutuhan pekerjaannya.
Selain itu, IAM memungkinkan organisasi menggunakan Multi-Factor Authentication (MFA), kontrol akses berbasis peran, serta pemantauan aktivitas pengguna. Dengan kombinasi IAM dan Zero Trust Security, perusahaan dapat mengurangi risiko akses tidak sah, kebocoran data, dan penyalahgunaan akun.
Implementasi IAM yang baik dapat memberikan manfaat berikut:
Walaupun penting, penerapan IAM juga memiliki sejumlah tantangan.
Agar Identity and Access Management (IAM) berjalan efektif, organisasi perlu memberikan hak akses sesuai kebutuhan pengguna melalui prinsip least privilege. Artinya, pengguna hanya mendapatkan akses minimum untuk menjalankan tugasnya dan tidak diberikan izin administrator jika tidak diperlukan.
Penerapan Multi-Factor Authentication (MFA) juga penting, terutama untuk akun administrator, email perusahaan, aplikasi cloud, VPN, database, dan sistem keuangan. MFA membantu melindungi akun meskipun password pengguna bocor atau dicuri.
Organisasi juga perlu melakukan review hak akses secara berkala, terutama saat pengguna pindah jabatan, berganti divisi, atau keluar dari perusahaan. Proses onboarding dan offboarding sebaiknya diotomatisasi melalui integrasi IAM dengan sistem HR agar pembuatan, perubahan, dan pencabutan akses dapat dilakukan lebih cepat.
Selain itu, aktivitas akses perlu dipantau melalui log untuk mendeteksi login mencurigakan, percobaan akses gagal, atau perubahan izin tanpa persetujuan. Akun administrator dan akun dengan akses tinggi juga harus dikelola lebih ketat dengan MFA, pembatasan waktu akses, serta pencatatan aktivitas. Jika organisasi masih menggunakan password, pastikan password kuat, unik, dan tidak digunakan ulang pada banyak layanan.
Identity and Access Management (IAM) adalah sistem penting dalam keamanan siber yang digunakan untuk mengelola identitas digital dan mengontrol akses pengguna terhadap aplikasi, data, jaringan, serta sumber daya organisasi. IAM bekerja melalui proses pembuatan identitas, pemberian kredensial, autentikasi, otorisasi, penerapan kontrol akses, serta pencatatan aktivitas pengguna.
Dengan penerapan IAM, organisasi dapat memastikan bahwa hanya pengguna yang tepat yang memperoleh akses ke sumber daya yang tepat sesuai kebutuhan dan kebijakan keamanan. Sistem ini juga membantu meningkatkan keamanan, mengurangi risiko akses tidak sah, mempercepat pengelolaan akun, mendukung kepatuhan, serta melindungi data penting dari penyalahgunaan.
Di era cloud computing, kerja jarak jauh, dan ancaman siber yang terus berkembang, IAM menjadi fondasi penting untuk membangun lingkungan digital yang lebih aman dan terkontrol. Untuk mendapatkan informasi menarik lainnya seputar keamanan siber, teknologi, website, hosting, dan tips digital, kunjungi Blog Hosteko.
Industri startup dikenal sebagai ekosistem yang bergerak cepat, penuh inovasi, dan memiliki peluang pertumbuhan besar.…
Di era digital yang semakin terhubung, keamanan data menjadi salah satu aspek yang sangat penting.…
Perkembangan teknologi digital terus menghadirkan inovasi baru yang mengubah cara manusia berinteraksi, bekerja, dan menikmati…
Di dunia blogging, ada banyak cara untuk meningkatkan traffic dan membangun hubungan dengan sesama blogger.…
Di era digital saat ini, menghasilkan karya yang original menjadi hal yang sangat penting. Baik…
CVE (Common Vulnerabilities and Exposures): Pengertian, Fungsi, Cara Kerja, dan Contohnya Dalam dunia cyber security,…