Kuukausi: helmikuu 2026

IAM ja IGA käytännössä: Näin yhdistät sujuvan työnteon ja tiukan tietoturvan

Kuvitellaan tilanne: uusi työntekijä, Laura, aloittaa maanantaiaamuna taloushallinnossa. Hän saa itselleen työläppärin, sähköpostitunnukset sekä pääsyn useisiin järjestelmiin. Teoriassa kaiken pitäisi siis olla kuten pitääkin ja työn lähteä käyntiin sujuvasti.

Mutta kuka päätti, mihin järjestelmiin Laura pääsee käsiksi? Ja kuka varmistaa, että oikeudet pysyvät ajan tasalla myös puolen vuoden päästä, kun hänen roolinsa muuttuu?

Moni organisaatio törmää vastaaviin haasteisiin. Siinä vaiheessa esiin nousevat IAM ja IGA, jotka mainitaan usein yhdessä ja jotka myös sekoittuvat helposti keskenään.

IAM ja IGA liittyvät molemmat identiteetteihin ja käyttöoikeuksiin. Näkökulmat kuitenkin eroavat selvästi:

  • IAM vastaa kysymykseen, kuka käyttäjä on ja mihin hän pääsee.
  • IGA puolestaan arvioi, pitäisikö käyttäjällä ylipäätään olla kyseinen pääsy.

Toisin sanoen IAM myöntää käyttöoikeuden. IGA varmistaa, että oikeus perustuu sääntöihin ja vastaa organisaation linjauksia.

IAM mahdollistaa sujuvan käyttäjäelinkaaren hallinnan

IAM muodostaa identiteetinhallinnan teknisen perustan. Sen ytimessä toimivat käyttäjän tunnistaminen, valtuuttaminen ja pääsyn mahdollistaminen sovelluksiin.

Kun uusi työntekijä aloittaa ja saa tunnukset, roolit sekä pääsyn yrityksen palveluihin, hoitaa IAM prosessin. Se varmistaa, että kirjautuminen toimii, oikeudet osuvat kohdalleen ja käyttökokemus pysyy sujuvana. Samalla automaatio vähentää manuaalista työtä ja virheiden riskiä.

Lauran tapauksessa IAM käynnistää automaattisesti useita tapahtumia: järjestelmä luo käyttäjätunnuksen, liittää hänet oikeaan rooliin ja avaa pääsyn taloushallinnon sovelluksiin. Ensimmäinen kirjautuminen onnistuu ilman tukipyyntöjä, ja työ pääsee alkamaan heti.

Ilman IAM-ratkaisua samat vaiheet vaatisivat useita manuaalisia toimenpiteitä eri tiimeiltä. Yksi virhe riittäisi katkaisemaan pääsyn tai avaamaan oikeuksia liikaa.

IGA tuo käyttöoikeuksiin hallinnan ja valvonnan

Muutaman kuukauden kuluttua Laura siirtyy uuteen tehtävään. Osa vanhoista käyttöoikeuksista ei enää kuulukaan hänen rooliinsa, mutta ne eivät maagisesti katoa itsestään. Tässä vaiheessa IGA astuu kuvaan.

IGA ohjaa käyttöoikeuksien tarkastuksen, pyytää esihenkilöltä hyväksynnän ja poistaa tarpeettomat oikeudet. Samalla järjestelmä tallentaa audit trailin, josta selviää, kuka hyväksyi muutoksen ja millä perusteella.

IGA lähestyy käyttöoikeuksia governance-näkökulmasta. Se arvioi pääsyn oikeellisuutta ja turvallisuutta sen sijaan, että keskittyisi tekniseen toteutukseen. Tarkasteluun nousevat riskitasot, minimikäyttövaltuudet ja sääntelyn vaatimukset.

Samalla määritellään, kuka hyväksyy käyttöoikeuden ja kuka omistaa sen. Politiikat, sertifioinnit ja audit trailit kattavat oikeuksien koko elinkaaren ja estävät niiden huomaamattoman kasaantumisen.

Rajat hämärtyvät käytännössä

IAM ja IGA toimivat kuin työpaikan kulunvalvonta ja esihenkilön päätösvalta. IAM huolehtii siitä, että kulkukortti toimii ovella. IGA varmistaa, että kortti avaa juuri ne ovet, jotka työntekijän tehtävät edellyttävät.

Nykyisin raja IAM:n ja IGA:n välillä ei enää pysy yhtä selkeänä kuin aiemmin. IAM-ratkaisut sisältävät yhä useammin IGA:lle tyypillisiä toimintoja, kuten käyttöoikeuspyyntöjen hyväksyntäketjuja, kevyitä access review -toimintoja ja yksinkertaista riskilogiikkaa.

Samaan aikaan IGA-ratkaisut laajenevat IAM-alueelle. Ne lisäävät automaattista provisiointia, roolien teknistä orkestrointia ja identiteetin elinkaaren ohjausta taustajärjestelmiin. Toiminnot limittyvät teknisesti, vaikka lähestymistavat eroavat edelleen toisistaan.

Käytännössä Laura voi nyt pyytää uutta käyttöoikeutta suoraan portaalista. IAM hoitaa teknisen toteutuksen. IGA määrittää hyväksyntäketjun ja arvioi riskin. Käyttäjän näkökulmasta prosessi näyttäytyy yhtenä kokonaisuutena.

Molempia tarvitaan modernissa identiteettistrategiassa

IAM luo perustan identiteetin tekniselle hallinnalle ja sujuvalle pääsylle. IGA taas varmistaa, että pääsy pysyy hallittuna, läpinäkyvänä ja riskienhallinnan mukaisena.

Lauran työpäivä pysyy sujuvana vain silloin, kun pääsyt toimivat oikein ja oikeudet vastaavat todellista tarvetta. IAM mahdollistaa työnteon ja IGA varmistaa, että työ tapahtuu hallitusti ja turvallisesti.

Yhdessä ne muodostavat identiteettistrategian, joka tukee sekä liiketoimintaa että riskienhallintaa. Raja ei enää muistuta selkeää viivaa, vaan jatkumoa, jossa painotukset vaihtelevat organisaation tarpeiden mukaan.

Miten IAM ja käyttövaltuushallinta toimii – lyhyt oppimäärä käytännön esimerkein

Organisaatioissa on tärkeää, että oikeat ihmiset ja palvelut pääsevät oikeisiin tietoihin – mutta eivät enempään kuin on tarpeen. Tämä onnistuu, kun identiteetin- ja pääsynhallinta (IAM) sekä käyttövaltuushallinta (KVH) ovat kunnossa.

IAM kattaa kaiken sen, miten organisaation käyttäjät tunnistetaan ja miten heidän pääsyään tietoihin hallitaan. KVH on osa tätä kokonaisuutta: se keskittyy käyttöoikeuksien myöntämiseen, muuttamiseen ja poistamiseen elinkaaren eri vaiheissa.

Tieto on kaiken ydin ja omaisuus, jota IAM:n avulla suojellaan

Organisaation arvokkain omaisuus on tieto, kuten asiakastiedot, sopimukset, henkilöstödata ja suunnitelmat. Tietoaineistot ovat hajallaan eri järjestelmissä, mutta yhdessä ne muodostavat tietovarannon, jota IAM ja KVH suojaavat.

Käytännön esimerkkejä

  • Terveydenhuolto: Potilastiedot löytyvät potilastietojärjestelmästä, laboratoriotulokset erillisestä järjestelmästä ja kuvantamistiedot PACS-järjestelmästä. Lääkäri tarvitsee pääsyn kaikkiin näihin tietoihin hoitaakseen potilasta turvallisesti. KVH auttaa varmistamaan, että vain hoitohenkilökunta näkee tiedot ja vain silloin, kun heillä on siihen lupa.
  • Pankki: Asiakastiedot sijaitsevat CRM:ssä, maksutiedot maksujärjestelmässä ja luottopäätökset riskienhallintajärjestelmässä. Kassatyöntekijä pääsee maksutietoihin, mutta ei näe luottopäätöksiä, kun taas riskienhallintatiimi käsittelee luottopäätökset. IAM ja KVH pitävät tiedot turvassa ja varmistavat, että kukin pääsee vain tarpeelliseen tietoon.

Identiteetti ja sopimus luovat perustan

Kaikki alkaa identiteetistä – henkilöstä, palvelusta tai laitteesta. Kun henkilö liittyy organisaatioon, tehdään sopimus, jossa sovitaan esimerkiksi työ-/virkasuhteen ehdoista. Usein yhdellä henkilöllä voi olla useita sopimuksia, sillä hänellä voi olla useita rooleja tai erilaisia työsuhteita tai hän voi olla organisaation palveluksessa sekä suoraan että palveluntarjoajan kautta.

Vastaavasti IAM-maailmassa digitaalinen identiteetti syntyy samalla, kun siihen liitetään sopimukset, joiden perusteella myönnetään käyttöoikeuksia. Monisopimushallinta on olennainen osa toimivaa IAM-ratkaisua.

Käytännön esimerkkejä

  • Terveydenhuolto: Uusi lääkäri liittyy sairaalan henkilökuntaan ja saa automaattisesti pääsyn potilastietojärjestelmään, reseptipalveluun sekä hoitosuunnitelmiin. Hän pystyy heti tarkistamaan potilastiedot ja määräämään tarvittavat lääkkeet, ilman että IT-osaston täytyy käsin myöntää oikeuksia.
  • Julkishallinto: Uusi virkamies aloittaa virastossa ja saa heti pääsyn asianhallintajärjestelmään, sähköpostiin ja dokumenttiarkistoon. Hän voi osallistua kokouksiin, käsitellä asiakirjoja ja hoitaa tehtävänsä turvallisesti heti ensimmäisestä päivästä alkaen.
  • Koulutus: Uusi opettaja saa tunnukset oppimisympäristöön ja sähköiseen arviointijärjestelmään. Hän voi heti luoda oppitunteja, seurata opiskelijoiden suorituksia ja palauttaa arviointeja, ilman viiveitä tai ylimääräistä byrokratiaa.

Pääsy perustuu rooleihin ja tehtäviin

Oikeudet määräytyvät työtehtävien mukaan. Näin varmistetaan, että jokainen pääsee vain siihen tietoon, mitä tehtävissään tarvitsee. Käyttöoikeudet koostetaan usein rooleihin, jotka voivat olla esimerkiksi ”HR-asiantuntija” tai ”IT-tuki”. Roolit puolestaan jaetaan usein ryhmien kautta, jolloin hallinta helpottuu.

Käytännön esimerkkejä:

  • Pankki: Kassatyöntekijä käsittelee asiakasmaksutapahtumia kassalla. Hän näkee kaikki maksutiedot, mutta ei pääse lukemaan tai muuttamaan luottopäätöksiä. Tämä varmistaa, että arkaluonteiset päätökset pysyvät riskienhallintatiimin vastuulla.
  • Teollisuus: Huoltoteknikko pääsee käsiksi koneiden huoltotietoihin ja huoltokirjauksiin. Hän ei näe tuotannon suunnittelujärjestelmää, joten suunnittelutiedot pysyvät hallinnon vastuulla. Näin tuotannon tiedot pysyvät turvassa ja virheet vähenevät.

Politiikat ja ehdot täydentävät rooleja

Roolien kautta annettujen oikeuksien tarkkuus ei aina riitä. Politiikat (Policy-Based Access Control, PBAC) ja ehdot (Attribute-Based Access Control, ABAC) tuovat käyttöoikeuksiin joustavuutta ja turvallisuutta.

Käytännön esimerkkejä

  • Attribute-Based Access Control (ABAC): Terveydenhuollossa lääkäri pääsee käsiksi potilastietoihin vain, jos hän työskentelee sairaalan verkossa ja potilas kuuluu hänen hoitovastuulleen. Näin lääkäri voi hoitaa potilasta turvallisesti, mutta ulkopuoliset eivät pääse tietoihin edes vahingossa.
  • Policy-Based Access Control (PBAC): Pankissa luottopäätöksiä saa tehdä vain riskienhallintaryhmän jäsen, joka on kirjautunut sisäverkon kautta. Politiikka yhdistää useita ehtoja yhdeksi kokonaisuudeksi ja estää väärinkäytökset, samalla kun oikeat käyttäjät voivat hoitaa tehtävänsä sujuvasti.

Käyttövaltuushallinta (KVH) hallitsee elinkaaren

KVH prosessi varmistaa, että oikeudet ovat ajan tasalla. Se sisältää muun muassa: JML-prosessin (Joiner, Mover, Leaver), pääsypyynnöt ja hyväksynnät, provisioinoinnin eri järjestelmiin sekä säännölliset tarkastukset ja auditoinnit

Käytännön esimerkkejä

  • Terveydenhuolto: Kun sijaislääkäri lähtee, käyttövaltuushallinta poistaa automaattisesti kaikki hänen käyttöoikeutensa, jotta potilastiedot pysyvät turvassa, eikä kukaan ulkopuolinen pääse niihin käsiksi.
  • Teollisuus: Työntekijän siirtyessä tuotannosta hallintoon vanhat oikeudet poistuvat ja uudet lisätään automaattisesti. Näin hän pääsee heti kiinni hallinnon tehtäviin, mutta ei enää vahingossakaan muokkaa tuotantotietoja.
  • Koulutus: Kun opiskelija valmistuu, hänen tunnuksensa poistetaan kaikista järjestelmistä, mikä estää pääsyn koulun tietoihin ja varmistaa tietoturvan.

IAM ja KVH integroivat teknologian ja turvallisuuskulttuurin. Kun identiteetit, roolit ja politiikat toimivat oikein, organisaatio pystyy suojaamaan tietonsa ja tekemään työnsä tehokkaasti.

Kun kaikki on hallinnassa

Kun identiteetit, roolit ja oikeudet on määritelty selkeästi, arki sujuu ilman turhia esteitä – ja tieto pysyy turvassa.

Hyvin rakennettu IAM ja käyttövaltuushallinta tukevat organisaation toimintaa monella tasolla: ne nopeuttavat uusien työntekijöiden aloitusta, helpottavat tehtävävaihdoksia, vähentävät virheitä ja tukevat tietosuojavaatimusten noudattamista. Kun oikeudet pysyvät ajan tasalla ja prosessit toimivat automaattisesti, työ tehostuu, työntekijöiden tyytyväisyys paranee ja myös IT:n kuorma kevenee.

Tärkeintä on ymmärtää, että IAM ei ole kertaluonteinen projekti, vaan jatkuva prosessi – osa organisaation hyvää hallintoa ja tietoturvakulttuuria. Kun identiteettien ja käyttöoikeuksien hallinta on kunnossa, tieto on oikeissa käsissä oikeaan aikaan – ja kaikki toimii niin kuin pitääkin.