W świecie, gdzie każda organizacja staje się firmą technologiczną, zarządzanie tożsamością staje się jednym z kluczowych komponentów architektury bezpieczeństwa i doświadczenia użytkownika. IAM (Identity and Access Management) to już nie tylko uwierzytelnianie i kontrola dostępu, ale kręgosłup cyfrowych usług, platform i ekosystemów integrujących setki aplikacji, partnerów, klientów i pracowników.
Tymczasem wiele organizacji nadal zmaga się z rozproszonymi systemami, shadow access, technologicznym długiem oraz brakiem elastycznego, skalowalnego podejścia do zarządzania dostępami. Tradycyjne rozwiązania IAM okazują się zbyt sztywne, drogie lub trudne do wdrożenia w złożonym środowisku IT.
W odpowiedzi na te wyzwania coraz większą popularność zyskują opensourcowe, modularne i elastyczne rozwiązania, takie jak Keycloak – platforma IAM, która pozwala nie tylko centralizować zarządzanie tożsamością, ale także implementować nowe standardy bezpieczeństwa i tworzyć lepsze doświadczenia użytkowników końcowych.
O tym, dlaczego zarządzanie tożsamością to dziś strategiczny temat i co można zyskać, myśląc o IAM jako innowacji, rozmawiamy z Marcinem Parczewskim, CEO i współzałożycielem firmy Inteca, odpowiedzialnym za realizację zaawansowanych wdrożeń opartych o Keycloak w sektorze enterprise.
Na rynku mówi się coraz częściej o tzw. Identity-first security – podejściu, w którym zarządzanie tożsamością staje się fundamentem całej strategii bezpieczeństwa i operacji. Gartner wskazuje, że do 2026 roku ponad 70% organizacji przyjmie podejście oparte właśnie na tożsamości jako głównym kontrolerze dostępu w środowiskach hybrydowych i chmurowych. Czy według Ciebie widać już tą zmianę w podejściu firm, czy o IAM wciąż myśli się wyłącznie pod kątem technicznym – jako rozwiązaniu w zakresie bezpieczeństwa?
Tak, zdecydowanie widać zmianę – szczególnie w organizacjach, które przeszły już pierwszą falę transformacji cyfrowej. Coraz częściej pada pytanie nie „czy potrzebujemy IAM”, tylko „jak IAM może pomóc nam szybciej rozwijać biznes i poprawić doświadczenia klientów”. Bo przecież cały cyfrowy biznes zaczyna się od tożsamości – od momentu, w którym klient loguje się do aplikacji, przechodzi proces onboardingu, weryfikuje swoją tożsamość, a następnie uzyskuje dostęp do usług. Jeśli te procesy są nieintuicyjne, długie czy niespójne między różnymi kanałami, to cała reszta – nawet najlepszy produkt – traci na wartości.
Czy firmy tak wlaśnie to postrzegają?
Firmy zaczynają rozumieć, że IAM to nie tylko bezpieczeństwo, ale przede wszystkim element user experience i integracji ekosystemu biznesowego. Przykładowo: możliwość jednokrotnego zalogowania się i płynnego korzystania z usług własnych i partnerskich staje się dziś standardem. Tożsamość klienta powinna być rozpoznawalna w całym łańcuchu wartości – od banku, przez ubezpieczyciela, aż po serwisy e-commerce. Coraz więcej organizacji zauważa, że przyjazny onboarding i centralne zarządzanie tożsamościami to klucz do pozyskania i utrzymania klientów. Dlatego mówimy o identity-first security – nie jako o dodatkowej warstwie zabezpieczenia, ale jako o fundamencie budowania nowych usług cyfrowych i skalowania modeli biznesowych. W tym sensie IAM staje się realnym „enablerem” innowacji, a nie tylko technologią w tle.
Mówi się, że „IAM to nowe API” – wszystko w cyfrowych organizacjach musi się dziś uwierzytelniać, łączyć, nadawać uprawnienia – a jednocześnie użytkownicy oczekują, że wszystko „po prostu zadziała”… Tymczasem w wielu firmach logika dostępów jest rozsiana po różnych systemach, a zarządzania tożsamością wciąż bywa traktowane jak koszt techniczny. Jak według Ciebie powinien on być traktowany?
Dokładnie tak – dziś tożsamość staje się nowym API. Każdy proces, każda integracja, każdy dostęp zaczyna się od pytania „kto to jest i jakie ma prawa?”. Problem polega na tym, że w wielu dużych organizacjach ta logika jest rozproszona – dostępami zarządzają osobne systemy HR, CRM, ERP, systemy legacy, czasami nawet pojedyncze aplikacje biznesowe. Efekt? Chaos, brak spójności, ryzyko shadow access, a z punktu widzenia użytkownika – frustracja, bo musi pamiętać kilkanaście haseł i przechodzić wielokrotnie przez procesy logowania.
Dlatego uważam, że IAM nie powinno być traktowane jako koszt techniczny, ale jako strategiczna inwestycja – tak samo jak CRM w sprzedaży czy ERP w finansach. Nowoczesne podejście do zarządzania tożsamością to szansa na uporządkowanie całego krajobrazu IT, a jednocześnie na stworzenie fundamentu dla rozwoju nowych usług cyfrowych.
A co Twoim zdaniem jest w tym podejściu najważniejsze?
Kluczowe jest to, że IAM staje się podstawą do realizacji dwóch największych trendów w cyfryzacji:
- Zero Trust Security – gdzie dostęp nie jest przyznawany na podstawie lokalizacji czy sieci, ale zawsze weryfikowany dynamicznie przez pryzmat tożsamości i kontekstu użytkownika. Bez centralnego, elastycznego IAM takie podejście jest w praktyce niewykonalne.
- Boundaryless Information Flow – czyli możliwość swobodnego, bezpiecznego przepływu informacji pomiędzy aplikacjami, organizacjami i partnerami biznesowymi. To właśnie IAM umożliwia spójne zarządzanie uprawnieniami i tożsamościami w całym ekosystemie, nie tylko wewnątrz pojedynczej firmy.
Jakie w takim razie niesie to korzyści z punktu widzenia biznesu?
W tym sensie IAM to nie „techniczne wdrożenie”, ale element strategii rozwoju biznesu cyfrowego. Firmy, które tak na to spojrzą, zyskują znacznie więcej:
- Efektywność operacyjną – mniej systemów do utrzymania, mniej incydentów, niższe koszty,
- Przyspieszenie time-to-market – nowe aplikacje od razu korzystają z jednego standardowego IAM,
- Lepsze doświadczenie użytkownika – klient czy pracownik loguje się raz i ma spójny dostęp do usług,
- Otwartość na partnerów – łatwiej budować wspólne platformy i marketplace’y w oparciu o zunifikowane tożsamości.
Z wielu raportów, w tym m.in. wspomnianego Gartnera, wynika, że rola systemów IAM rośnie z roku na rok. Co jest tego przyczyną i czy nadal mówimy tylko o zarządzaniu dostępem i tożsamościami, czy IAM faktycznie zaczyna pełnić inną – bardziej strategiczną – funkcję?
Rola IAM rośnie, bo zmienia się sam sposób działania organizacji. Każda firma staje się firmą technologiczną. Nawet bank, ubezpieczyciel czy operator logistyczny musi działać jak dostawca cyfrowych usług, gdzie kluczowe procesy przenoszą się do aplikacji i kanałów online. To oznacza, że punktem startu każdej interakcji jest uwierzytelnienie i tożsamość klienta, pracownika czy partnera.
Mamy rosnącą złożoność ekosystemów. Firmy już nie działają w izolacji. Coraz częściej tworzą wspólne platformy z partnerami, wchodzą w modele marketplace’owe czy integrują się z zewnętrznymi dostawcami. Żeby to było możliwe, potrzebne jest spójne i elastyczne zarządzanie tożsamościami w całym ekosystemie – inaczej rozwój biznesu hamuje.
Nowe modele pracy i bezpieczeństwa. Praca zdalna, hybrydowa, wykorzystanie chmury, podejście Zero Trust – to wszystko sprawia, że nie możemy już „zabezpieczać sieci”. Musimy zabezpieczać tożsamość i kontekst użytkownika, bo to one stają się granicą organizacji. Dlatego mówienie dziś o IAM wyłącznie jako o zarządzaniu dostępem jest zdecydowanie za wąskie.
A potraktowanie go szerzej jakie stwarza możliwości?
IAM staje się strategiczną warstwą, która:
- Kształtuje doświadczenie klienta – od onboarding’u po codzienne korzystanie z usług,
- Umożliwia innowacje i nowe modele biznesowe – bo integracja z partnerami i szybkie uruchamianie nowych usług są możliwe tylko przy spójnej tożsamości,
- Zapewnia zgodność i bezpieczeństwo – centralnie, a nie punktowo w każdym systemie,
- Wspiera otwarty przepływ informacji (boundaryless information flow) – bo tożsamość użytkownika może być rozpoznawana i zarządzana w wielu domenach jednocześnie.
Możliwości to jedno, ale firmy pewnie bardziej interesują konkretne wyzwania, z którymi muszą się mierzyć. Jakie Twoim zdaniem są dziś największe bolączki dużych organizacji w kontekście IAM?
Największym problemem, który widzimy w organizacjach, jest to, że IAM bardzo długo było traktowane punktowo, a nie systemowo. Efekt jest taki, że w dużych firmach mamy często kilkanaście czy kilkadziesiąt systemów uwierzytelniania i autoryzacji – osobne dla HR, dla aplikacji legacy, dla portali klientów, dla partnerów. To prowadzi do kilku poważnych bolączek:
Rozproszenie logiki dostępów – brak jednego miejsca, gdzie można zobaczyć „kto ma dostęp do czego”. To generuje ryzyko shadow access i utrudnia audyty zgodności.
Trudny onboarding i słabe doświadczenie użytkownika – klient musi zakładać wiele kont, pracownik loguje się kilkanaście razy dziennie, partner nie ma spójnego dostępu do platformy. A dziś użytkownicy oczekują, że tożsamość „po prostu działa” i że logowanie jest tak samo proste, jak w serwisach konsumenckich.
Technologiczny dług – wiele organizacji wciąż używa przestarzałych, monolitycznych systemów IAM, które są kosztowne w utrzymaniu i trudne w integracji z nowoczesnymi architekturami mikroserwisowymi czy chmurowymi.
Brak elastyczności i skalowalności – tradycyjne rozwiązania często nie nadążają za tempem zmian biznesowych. Uruchomienie nowego kanału czy aplikacji oznacza miesiące integracji i dodatkowe koszty.
Presja regulacyjna – RODO, PSD2, DORA, eIDAS – wymagają precyzyjnego zarządzania tożsamością, uprawnieniami i zgodnością procesów. Bez nowoczesnego IAM spełnianie tych wymagań jest coraz trudniejsze i kosztowniejsze.
Organizacje cierpią dziś przede wszystkim na rozproszenie i brak centralnej strategii IAM. To nie tylko utrudnia życie użytkownikom, ale też realnie blokuje biznes – bo bez spójnej tożsamości trudno skalować platformy, wprowadzać innowacje i budować zaufanie klientów.
A gdzie najczęściej dochodzi do zaniedbań lub ryzyk – takich jak np. shadow access, rozproszony dostęp, brak centralizacji?
Najwięcej ryzyk pojawia się tam, gdzie brakuje centralnego spojrzenia na tożsamości i uprawnienia. W praktyce widzimy kilka powtarzających się obszarów:
Shadow access i brak recertyfikacji – pracownicy często zmieniają role, projekty, zespoły, ale ich dostęp do starych systemów zostaje. To klasyczny przykład nadmiarowych uprawnień, które w skrajnych przypadkach mogą być furtką do nadużyć.
Rozproszony dostęp w wielu systemach – logika autoryzacji rozsiana jest w HR, CRM, ERP i aplikacjach legacy. Brakuje jednego miejsca, w którym można odpowiedzieć na proste pytanie: „kto ma dostęp do czego?”. To utrudnia audyty i powoduje realne ryzyka bezpieczeństwa.
Brak centralnego IAM dla kanałów klienta i partnera – firmy często mają świetne procesy bezpieczeństwa wewnętrznego, ale klient czy partner musi zakładać osobne konta do różnych usług. To nie tylko psuje doświadczenie użytkownika, ale także zwiększa powierzchnię ataku.
Niedopasowanie do modelu Zero Trust – wiele organizacji wciąż opiera się na koncepcji „zaufanej sieci”. Tymczasem w modelu pracy hybrydowej i chmurowej granice znikają, a tożsamość staje się jedyną wiarygodną warstwą kontroli. Brak nowoczesnego IAM sprawia, że Zero Trust jest niemożliwy do wdrożenia w praktyce.
Brak automatyzacji w offboardingu – odejście pracownika, koniec współpracy z partnerem czy wygaśnięcie roli nie zawsze oznacza natychmiastowe odebranie uprawnień. W wielu organizacjach to proces manualny i rozproszony – a to ogromne ryzyko.
A w jakich sytuacjach tzw. „zły IAM” realnie spowalnia lub utrudnia biznes?
„Zły IAM” to nie tylko kłopot dla działu bezpieczeństwa – to coś, co realnie potrafi zatrzymać rozwój biznesu. Przykłady widać bardzo jasno:
Onboarding klientów – jeśli rejestracja w aplikacji czy bankowości online wymaga 10 kroków, kilku maili i wizyty w oddziale, to klient często rezygnuje. Wrażenie „pierwszego kontaktu” decyduje o tym, czy zostanie na platformie.
Time-to-market nowych usług – kiedy firma uruchamia nową aplikację albo kanał sprzedaży, a każda integracja IAM trwa miesiącami, biznes traci przewagę konkurencyjną. Widzieliśmy sytuacje, gdzie projekt marketingowy był gotowy, ale nie mógł wystartować, bo IAM nie nadążał.
Współpraca z partnerami – w modelu ekosystemowym kluczowe jest szybkie podłączenie partnera. Jeżeli wymaga to tworzenia osobnych kont i ręcznych procesów, partnerzy niechętnie wchodzą w takie integracje, a firmy tracą możliwość rozszerzania swojej oferty.
Praca hybrydowa i mobilność – słaby IAM oznacza konieczność stosowania VPN-ów, wielu haseł i procedur, które frustrują pracowników i zmniejszają produktywność. W erze pracy zdalnej to realna bariera operacyjna.
Compliance i regulacje – brak centralnego IAM oznacza trudności w raportowaniu „kto miał dostęp do czego”. Audyty ciągną się miesiącami, a ryzyko kar regulacyjnych jest bardzo wysokie.
Porozmawiajmy w takim razie o Keycloaku, czyli konkretnym rozwiązaniu IAM w ekosystemie Red Hata, które zyskuje na popularności. Co sprawia, że tak wiele firm się na niego decyduje i czym ono się wyróżnia?
Keycloak wyróżnia się przede wszystkim tym, że odpowiada na największe wyzwania, z jakimi mierzą się dziś organizacje – i robi to w sposób prostszy, bardziej elastyczny i kosztowo efektywny niż wiele tradycyjnych rozwiązań IAM.
Open source i brak vendor lock-in – firmy, które korzystają z Keycloak, mają pełną kontrolę nad rozwiązaniem i mogą je dostosowywać do własnych potrzeb, bez ograniczeń licencyjnych czy zależności od jednego dostawcy. To daje elastyczność i swobodę, szczególnie w dużych środowiskach enterprise.
Szybka integracja z nowoczesnymi architekturami – Keycloak „z pudełka” wspiera standardy takie jak OpenID Connect, OAuth2, SAML – dzięki temu łatwo łączy się z aplikacjami webowymi, mobilnymi, chmurowymi czy mikroserwisami. Dla biznesu oznacza to, że nowe usługi można uruchamiać szybciej i bez wielomiesięcznych projektów integracyjnych.
Lepsze doświadczenie użytkownika – Keycloak oferuje gotowe mechanizmy Single Sign-On, logowania wieloskładnikowego, federacji z innymi źródłami tożsamości (np. Active Directory, Azure AD, eIDAS). Klient czy pracownik loguje się raz i może korzystać ze wszystkich usług – a to dziś klucz do utrzymania użytkownika.
Skalowalność i modularność – Keycloak sprawdza się zarówno w małych projektach, jak i w złożonych ekosystemach z milionami użytkowników. Można go rozwijać krok po kroku – zaczynając od centralizacji logowania, a kończąc na budowie spójnej platformy tożsamości w modelu Zero Trust.
Opłacalność – w świecie, gdzie tradycyjne systemy IAM potrafią kosztować miliony w licencjach i wdrożeniu, Keycloak daje porównywalne możliwości w oparciu o model open source, co przekłada się na dużo lepszy stosunek kosztów do wartości biznesowej.
Firmy wybierają Keycloak, bo to rozwiązanie otwarte, elastyczne i przyszłościowe, które łączy bezpieczeństwo z doświadczeniem użytkownika. Dzięki temu IAM przestaje być barierą, a staje się katalizatorem rozwoju biznesu.
A dla jakich organizacji będzie to najlepsze rozwiązanie?
Keycloak jest najbardziej naturalnym wyborem dla organizacji, które:
Mają złożony ekosystem aplikacji i partnerów – np. banki, ubezpieczyciele, telekomy. Tam, gdzie mamy setki systemów, kanały klienta, aplikacje mobilne i integracje z partnerami – centralne IAM oparte na Keycloak pozwala wreszcie uporządkować tożsamości i wdrożyć spójne standardy.
Budują platformy cyfrowe lub marketplace’y – gdzie jednym z kluczowych wymagań jest łatwe i bezpieczne logowanie różnych typów użytkowników: klientów, partnerów, dostawców. Keycloak świetnie obsługuje takie scenariusze dzięki federacji tożsamości i SSO.
Chcą wdrożyć model Zero Trust – czyli odejść od „zaufanej sieci” na rzecz kontroli dostępu opartej na tożsamości i kontekście. Keycloak jako centralny broker tożsamości jest fundamentem tego podejścia.
Potrzebują elastyczności open source – np. firmy technologiczne, software house’y, integratorzy. Dla nich możliwość dostosowania IAM do własnych procesów, bez ograniczeń licencyjnych, to ogromna przewaga.
Są pod silną presją regulacyjną – np. sektor finansowy, energetyka, administracja publiczna. Keycloak pozwala łatwo spełniać wymagania w zakresie audytu, raportowania, silnego uwierzytelniania i zgodności z normami typu PSD2 czy eIDAS.
A jakie przypadki użycia są dla niego najczęstsze?
Jeśli chodzi o przypadki użycia, to najczęściej są to:
- Single Sign-On dla pracowników i klientów w całym ekosystemie firmy,
- Federacja tożsamości – np. integracja z Azure AD, LDAP, systemami krajowymi czy europejskimi (np. eIDAS),
- Onboarding klientów online – logowanie społecznościowe, uwierzytelnianie wieloskładnikowe, weryfikacja tożsamości,
- Zarządzanie dostępem do API i mikroserwisów – szczególnie w nowoczesnych architekturach chmurowych,
- Scenariusze B2B i B2B2C – gdy firma musi obsłużyć różne typy użytkowników w jednej platformie.
A jak wygląda wdrożenie, z jakimi obawami najczęściej przychodzą klienci i jak sobie z nimi radzicie w Intece?
Wdrożenie Keycloak w dużych organizacjach zawsze robimy etapowo – zaczynamy od jednego kluczowego procesu, np. logowania klientów do portalu czy centralnego SSO dla pracowników. Dopiero później rozszerzamy to na kolejne systemy i kanały. Dzięki temu organizacja ma kontrolę nad zmianą i szybko widzi pierwsze efekty.
Najczęstsze obawy klientów są dość podobne:
„Open source – czy to na pewno bezpieczne i stabilne?”
Wielu CIO ma przekonanie, że open source to „projekt społecznościowy”. Tymczasem Keycloak jest rozwijany przez Red Hat i wdrażany w największych korporacjach na świecie. W naszych projektach dodatkowo podkreślamy, że w krytycznych wdrożeniach utrzymanie realizujemy wspólnie – my jako Inteca, a także Red Hat w ramach komercyjnego supportu. To daje pełne bezpieczeństwo i przewidywalność.
„Integracja z naszym krajobrazem IT będzie koszmarem”
To naturalny lęk, bo w wielu firmach działa setki systemów, w tym sporo legacy. Nasze doświadczenie pokazuje, że większość integracji da się obsłużyć dzięki standardom (OIDC, OAuth2, SAML), a w trudniejszych przypadkach budujemy adaptery. Przykład: systemy oparte na CAS, które nie wspierają nowoczesnych protokołów – jesteśmy w stanie połączyć je z Keycloak bez ingerencji w kod aplikacji.
„IAM to krytyczna warstwa – czy nie sparaliżuje biznesu?”
To jedno z najważniejszych pytań. Dlatego zawsze projektujemy wdrożenia w modelu wysokiej dostępności, z redundancją i testami obciążeniowymi. Kluczowe jest to, że rollout robimy stopniowo – najpierw pilotaż, potem kolejne aplikacje – nigdy nie ma ryzyka „big bang”, które mogłoby zatrzymać działanie organizacji.
„Kto to będzie utrzymywał?”
Działy IT obawiają się, że zabraknie im kompetencji do rozwijania platformy IAM. Dlatego w praktyce najczęściej utrzymanie i rozwój krytycznych wdrożeń realizujemy my, zapewniając klientowi SLA i monitoring 24/7. W przypadku klientów, którzy chcą dodatkowego wsparcia, współpracujemy z Red Hatem, który oferuje komercyjny support i długoterminowe wersje Keycloak.
Wszystkie te obawy najczęściej znikają po pierwszych miesiącach – kiedy klienci widzą, że Keycloak działa stabilnie, dobrze integruje się nawet ze starszymi systemami i realnie poprawia doświadczenie użytkownika.
A czy możesz podać kilka bardziej nietypowych lub zaawansowane przypadków użycia, które zrealizowaliście przy pomocy Keycloaka?
Rzeczywiście, wiele osób kojarzy Keycloak tylko z ekranem logowania i SSO. Tymczasem w praktyce jest to platforma tożsamości, którą można wykorzystać do budowania bardzo zaawansowanych i innowacyjnych scenariuszy biznesowych. Kilka przykładów z naszych projektów:
- Onboarding klientów z weryfikacją tożsamości i podpisem elektronicznym
W sektorze finansowym wdrożyliśmy proces, w którym klient przechodzi pełne potwierdzenie tożsamości (KYC) i od razu może podpisać dokument kwalifikowanym podpisem (np. umowę kredytową). Keycloak zarządza step-up uwierzytelnieniem – czyli użytkownik dostaje dodatkowe MFA tylko w momencie podpisu.
Efekt biznesowy: skrócenie czasu onboardingu z kilku dni do kilkunastu minut, wyższa konwersja klientów.
- Delegowana administracja w modelu B2B
W jednym z projektów partnerskich wdrożyliśmy model, w którym każda firma partnerska sama zarządza swoimi użytkownikami i rolami w ramach platformy klienta. Centralne IT nie musi już ręcznie tworzyć kont i nadawać uprawnień.
Efekt biznesowy: ogromna oszczędność czasu po stronie działu IT oraz szybsze uruchamianie współpracy z nowymi partnerami biznesowymi.
- Risk-based authentication i step-up MFA
W systemach obsługujących płatności wdrożyliśmy polityki dynamiczne: jeśli użytkownik loguje się z nowego urządzenia lub składa wniosek na dużą kwotę, Keycloak automatycznie wymaga silniejszego uwierzytelnienia.
Efekt biznesowy: wyższe bezpieczeństwo transakcji bez obniżania wygody użytkowników w codziennych operacjach.
- Boundaryless information flow w ekosystemie partnerów
Dla jednej z platform branżowych zbudowaliśmy federację tożsamości, dzięki której partnerzy mogą korzystać ze swoich własnych IdP i płynnie logować się do aplikacji klienta.Efekt biznesowy: szybkie dołączanie partnerów do platformy i możliwość rozwoju modeli marketplace bez utraty kontroli nad bezpieczeństwem.
A co z bardziej złożonymi systemami? Czy Keycloak może wspierać transformację cyfrową lub np. tworzenie cyfrowych usług złożonych z wielu komponentów (MACH, microservices)?
Keycloak idealnie wpisuje się w potrzeby transformacji cyfrowej, szczególnie w organizacjach, które budują usługi w oparciu o architekturę MACH czy mikroserwisy. Dlaczego? Bo w takich środowiskach tożsamość staje się wspólnym „klejem”, który spina setki niezależnych komponentów.
W tradycyjnych monolitach autoryzacja była zaszyta w aplikacji. W świecie mikroserwisów to podejście się nie sprawdza – mamy dziesiątki niezależnych serwisów, API i frontów, które muszą wspólnie rozpoznać użytkownika i działać spójnie. Keycloak pełni tu rolę centralnego brokera tożsamości, który:
- Zapewnia Single Sign-On i spójne uwierzytelnianie – użytkownik loguje się raz i ma dostęp do całego ekosystemu mikroserwisów, API i aplikacji, bez względu na to, w ilu chmurach działają.
- Dostarcza tokeny z kontekstem biznesowym – dzięki mapperom i scope’om mikroserwisy nie muszą budować własnych systemów uprawnień. W tokenie od Keycloak dostają wszystkie potrzebne informacje (rola, grupa, atrybuty biznesowe).
- Obsługuje federację i różne źródła tożsamości – co jest kluczowe, gdy cyfrowa usługa korzysta z danych zewnętrznych dostawców, partnerów albo logowania społecznościowego.
- Umożliwia wdrażanie Zero Trust w praktyce – dostęp jest przyznawany dynamicznie, w zależności od kontekstu (kto, z jakiego urządzenia, do jakiego serwisu, w jakim momencie).
- Przyspiesza time-to-market – nowe mikroserwisy nie muszą budować własnego uwierzytelniania, tylko „doklejają się” do standardowego IAM.
Z perspektywy biznesu oznacza to, że organizacja może szybciej rozwijać nowe usługi cyfrowe, bez chaosu w zarządzaniu dostępami i bez utraty kontroli nad bezpieczeństwem. Keycloak pozwala też łatwo tworzyć cyfrowe usługi kompozytowe – np. platformy branżowe czy aplikacje łączące dane z wielu źródeł – gdzie tożsamość użytkownika i jego uprawnienia są rozpoznawane w całym ekosystemie.
Przejdźmy do kwestii użyteczności, czy IAM można traktować jako element UX – np. budowania lepszego doświadczenia użytkownika końcowego?
Zdecydowanie tak – i to jest jedna z największych zmian w podejściu do IAM w ostatnich latach. Jeszcze niedawno systemy tożsamości były „niewidoczną warstwą bezpieczeństwa”. Dziś tożsamość i sposób logowania stają się pierwszym doświadczeniem użytkownika z usługą cyfrową – i często decydują o tym, czy zostanie na platformie.
Z perspektywy UX IAM odpowiada m.in. za:
- prosty onboarding – szybka rejestracja, integracja z logowaniem społecznościowym czy weryfikacja eID lub mObywatel zamiast skomplikowanych formularzy,
- Single Sign-On – użytkownik nie musi pamiętać pięciu haseł ani logować się do każdej aplikacji osobno,
- płynne i kontekstowe MFA – dodatkowe uwierzytelnienie pojawia się tylko wtedy, gdy naprawdę jest potrzebne, zamiast utrudniać każdą operację,
- personalizację i federację tożsamości – użytkownik może korzystać z usług firmy i jej partnerów, nie tworząc dziesiątek kont,
- kontrolę nad własnymi danymi i zgodami – użytkownik widzi, jakie atrybuty udostępnia, i może samodzielnie nimi zarządzać.
Dobrze zaprojektowany IAM działa jak cichy enabler – użytkownik ma poczucie, że wszystko „po prostu działa”, a jednocześnie korzysta z najwyższych standardów bezpieczeństwa. Można więc powiedzieć, że jest to dziś element strategii customer experience – tak samo ważny jak interfejs aplikacji czy jakość obsługi klienta. Firmy, które to rozumieją, budują przewagę konkurencyjną, bo łączą bezpieczeństwo z wygodą, a to właśnie tego oczekują dzisiejsi klienci.
Jak Twoim zdaniem będzie wyglądać przyszłość zarządzania tożsamością? W jakim kierunku rozwija się rynek i czy rosnąca rola AI, rozproszonych architektur i edge computing wpływa na to, jak trzeba myśleć o zarządzaniu tożsamością?
Przyszłość zarządzania tożsamością to IAM inteligentne, rozproszone i użytkocentryczne. Tożsamość stanie się uniwersalnym API biznesu cyfrowego – czymś, co pozwala budować nowe modele usług i współpracy, a nie tylko zabezpieczać systemy. Moim zdaniem przyszłość zarządzania tożsamością to trzy główne kierunki:
AI w służbie bezpieczeństwa i UX– tożsamość będzie coraz częściej weryfikowana i chroniona z wykorzystaniem mechanizmów sztucznej inteligencji – od rozpoznawania zachowań użytkowników (behavioural biometrics), po automatyczne wykrywanie anomalii i ryzyk w dostępie. Dzięki temu IAM stanie się bardziej „inteligentne”: zamiast zmuszać wszystkich do wieloskładnikowego logowania na każdym kroku, system sam zdecyduje, kiedy trzeba podnieść poziom bezpieczeństwa, a kiedy można przepuścić użytkownika bez tarć.
Rozproszone architektury i edge computing – granice organizacji znikają. Mamy chmurę, edge, IoT, urządzenia mobilne i partnerów zewnętrznych. W takim środowisku nie ma już jednej „zaufanej sieci” – jest tylko tożsamość, która musi być rozpoznawana i respektowana wszędzie. IAM będzie ewoluować w stronę rozproszonych modeli, opartych o federację, standaryzację i dynamiczne polityki dostępu działające także na brzegu sieci.
Tożsamość użytkownika w rękach samego użytkownika – coraz większą rolę będą odgrywać rozwiązania typu self-sovereign identity oraz narzędzia państwowe, jak eID czy mObywatel, które pozwalają użytkownikowi kontrolować, jakie dane i w jakim kontekście udostępnia. Organizacje będą musiały nauczyć się pracować w modelu, gdzie to użytkownik jest „właścicielem” swojej tożsamości, a firma tylko korzysta z jej potwierdzenia.
Jakie będą najbardziej strategiczne aspekty IAM w ciągu najbliższych 2–3 lat?
Patrząc na to, jak zmienia się rynek i wymagania biznesu, powiedziałbym, że w perspektywie najbliższych 2–3 lat strategiczne będą cztery aspekty IAM:
Zero Trust w praktyce – nie jako hasło marketingowe, ale jako realny standard. Firmy będą odchodzić od modelu „zaufanej sieci” i przechodzić na ciągłą weryfikację tożsamości oraz kontekstu użytkownika. Tożsamość stanie się główną granicą bezpieczeństwa.
User experience jako element przewagi konkurencyjnej – IAM nie może już być wyzwaniem dla użytkownika. Prosty onboarding (np. z eID czy mObywatel), płynne logowanie, passwordless i inteligentne MFA będą różnicą pomiędzy firmą, która pozyska klienta, a tą, która go straci.
Integracja z ekosystemami i partnerami – organizacje będą musiały otwierać się na współpracę w modelach platformowych. Tożsamość stanie się kluczem do budowania zaufania pomiędzy firmami i umożliwi boundaryless information flow w całych branżach.
Zarządzanie tożsamością maszynową i API – obok ludzi, coraz większą rolę odgrywają serwisy, mikroserwisy i urządzenia, które również muszą mieć swoją tożsamość. IAM musi ewoluować tak, by centralnie zarządzać zarówno użytkownikami, jak i „non-human identities”.
Krótko mówiąc, IAM w najbliższych latach będzie fundamentem nie tylko bezpieczeństwa, ale też strategii rozwoju biznesu cyfrowego. Firmy, które już dziś zaczną traktować je jako warstwę strategiczną, a nie tylko technologię w tle, dużo szybciej zbudują nowe modele usług i ekosystemów.
A w jakim kierunku rozwijacie swoje usługi IAM?
W Inteca widzimy, że IAM staje się jednym z najbardziej strategicznych elementów cyfrowej transformacji – dlatego inwestujemy w ten obszar bardzo mocno. Rozwijamy nasze usługi w kilku kierunkach:
Wdrożenia klasy enterprise oparte na Keycloak i Red Hat: to dla nas naturalny fundament – dostarczamy projekty, które centralizują zarządzanie tożsamością w złożonych ekosystemach i budują pod to spójne strategie Zero Trust.
Usługi zarządzane (Managed IAM): coraz więcej klientów mówi „nie chcemy tylko wdrożenia, chcemy, żebyście także utrzymywali IAM w trybie 24/7”. Dlatego oferujemy model, w którym bierzemy pełną odpowiedzialność za stabilność, bezpieczeństwo i rozwój platformy IAM – często wspólnie z Red Hatem.
Innowacyjne scenariusze biznesowe: nie ograniczamy się do logowania – integrujemy IAM z procesami onboardingu klientów, weryfikacją tożsamości (np. eID, mObywatel), kwalifikowanym podpisem czy zarządzaniem dostępem do API i mikroserwisów. Naszym celem jest to, żeby IAM realnie wspierało sprzedaż, marketing i customer experience, a nie było tylko „kosztem IT”.
Przygotowanie na przyszłość: widzimy rosnące znaczenie AI w bezpieczeństwie, tożsamości maszynowych i zarządzania dostępem w środowiskach edge. Już dziś eksperymentujemy z tymi obszarami, żeby być gotowym na kolejną falę zmian w IAM.
Chcemy, aby Inteca była dla naszych klientów partnerem strategicznym w całym cyklu życia IAM – od analizy i architektury, przez wdrożenie i integrację, aż po stałe utrzymanie i rozwój. Dzięki temu nasi klienci mogą traktować IAM nie jako problem techniczny, ale jako narzędzie rozwoju biznesu.
Jakim klientom Inteca jest w stanie dostarczyć największą wartość?
Dla nas najbardziej interesujące są projekty, w których IAM ma wymiar strategiczny, a nie tylko techniczny. Chodzi o firmy, które rozumieją, że tożsamość jest fundamentem dla rozwoju nowych usług cyfrowych i budowy przewagi konkurencyjnej.
- Duże organizacje w sektorze enterprise: banki, ubezpieczyciele, telekomy, firmy energetyczne czy administracja publiczna. Tam mamy do czynienia z ogromną skalą użytkowników, rozproszonymi systemami i presją regulacyjną – a to idealne środowisko, by pokazać siłę centralnego IAM.
- Projekty platformowe i ekosystemowe. Szczególnie interesujące są dla nas inicjatywy, w których firma buduje wspólną platformę z partnerami albo usługi B2B2C. W takich projektach tożsamość użytkownika musi być rozpoznawalna w całym łańcuchu wartości – i właśnie tam Keycloak sprawdza się najlepiej.
- Projekty innowacyjne, gdzie IAM wychodzi poza „logowanie” i wspiera procesy biznesowe – np. onboarding klienta z wykorzystaniem eID lub mObywatel, integrację z podpisem kwalifikowanym, czy zarządzanie dostępem do API i mikroserwisów w architekturze MACH.
Interesują nas przede wszystkim klienci, którzy chcą patrzeć na IAM nie jak na koszt utrzymania bezpieczeństwa, ale jak na enablera biznesu cyfrowego. Tam właśnie możemy dostarczyć największą wartość.
Jeśli ktoś dziś szuka wsparcia w obszarze Keycloaka – czego może się spodziewać we współpracy z Inteca?
Jeśli ktoś przychodzi do nas z tematami IAM i Keycloak, to przede wszystkim może liczyć na praktyczne podejście. Nie sprzedajemy „technologii dla technologii” – zawsze zaczynamy od zrozumienia, jaki problem biznesowy chcemy rozwiązać: czy to przyspieszenie onboardingu klientów, uporządkowanie dostępu w dużej organizacji, czy otwarcie platformy na partnerów.
Klienci cenią nas za to, że potrafimy szybko przełożyć strategię na działające rozwiązanie – w małych krokach, bez ryzyka wielkich i kosztownych projektów. Stawiamy na stabilność (HA, testy, monitoring), a jednocześnie dajemy przestrzeń na innowacje, jak passwordless, risk-based MFA czy integrację z mObywatel.
No i najważniejsze – nie zostawiamy klientów po wdrożeniu. W krytycznych środowiskach przejmujemy utrzymanie i rozwój Keycloak, często wspólnie z Red Hatem, żeby organizacja mogła skupić się na biznesie, a nie na infrastrukturze IAM.
