Jasper Spaan Geschreven door Jasper Spaan op maandag 23 juli 2018

Volg ons

Wat is Identity & Access management?

14 minuten, 20 seconden leestijd Wat is Identity & Access management?

Wat is identiteit?

Identiteit heb je al vanaf het moment dat je geboren wordt. Het is dat wat uniek of eigen is aan iets, iemand of bijvoorbeeld een bedrijf. Identiteit kun je opsplitsen in twee niveaus: het persoonlijke niveau en het groepsniveau. Het persoonlijke niveau is puur wat jou uniek maakt. Denk hierbij aan officiële gegevens als je naam, leeftijd en adres. Ook je karakter en imago behoren hiertoe. Onder het persoonlijke niveau kan je ook nog een onderscheid maken wat je IT identiteit is. Denk aan je gebruikersnaam, wachtwoord en beveiligingsvragen. Zo zijn er nog tal van onderdelen die jouw IT identiteit bepalen.

Op groepsniveau is het juist datgene wat je bindt aan anderen, zoals taal, cultuur, locatie, relatie, bedrijf en beroep. Binnen het groepsniveau heb je nog drie onderdelen: bedrijf, afdeling en rol.

Bedrijf: Bij welk bedrijf ben je in dienst en in welke branche is het bedrijf actief?
Afdeling: Binnen welke afdeling(en) ben je werkzaam?
Rol: Onder groepsniveau wordt ook steeds vaker de term “rol” gebruikt. Dit komt voort uit RBAC, ofwel Role Based Access Control. Denk hierbij aan een rol (functie) die je hebt binnen een bedrijf. Daar horen bepaalde rechten en permissies bij.

Wat is Identity & Access management?

Access Management

Bij Identity & Access management draait het om de vraag: “Wie heeft toegang tot wat, tot hoever en vanaf waar?”. Het wordt ingezet om meer controle te krijgen over welke personen toegang hebben tot de bedrijfsdata.

Authenticatie, autorisatie en Accounting

Identity & Access management bestaat uit authenticatie, autorisatie en Accounting. In de IT wordt hier vaak de term AAA voor gebruikt.

Authenticatie draait om het kenbaar maken en kunnen bewijzen van jou als persoon, voordat je toegang hebt tot de data of applicatie. Je kunt het zien als een grenscontrole.

Autorisatie bepaalt je toegang tot verschillende onderdelen en met welke rechten. Dit kan afhangen van bijvoorbeeld je dienstverband, functie, tijd en plaats. Niet iedere medewerker heeft namelijk dezelfde taken en toegangsrechten.

Accounting is gericht op het verzamelen - ook wel logging genoemd - van bepaalde data om dit vervolgens te kunnen verwerken in rapportages. Aan de hand daarvan kun je bijvoorbeeld een beleid aanscherpen of juist wat versoepelen.

Problemen en vraagstukken

Bedrijven maken steeds meer gebruik van applicaties in de cloud. Dit zegt echter niet dat er een toename is in het gebruik van applicaties. Traditioneel gezien is alles on-premise (op een eigen locatie) en verbonden aan de AD, waarbij je eigenlijk een soort Single Sign-On (zie het volgende hoofdstuk voor uitleg) had. Nu alles zich naar de cloud verplaatst, zijn er verschillende organisaties die allemaal “eigen” identiteiten aanmaken voor iedere gebruiker.

Er worden dus steeds meer cloud applicaties gebruikt binnen een bedrijf. Voor veel van deze applicaties moet een gebruiker zich identificeren voordat hij/zij daar gebruik van kan maken. Naast het continu moeten inloggen, wat vervelend is, heb je ook te maken met verschillende soorten beleid bij de verschillende applicaties. Denk aan een username, e-mail, een wachtwoord dat moet voldoen aan bepaalde eisen of een two factor authenticatie. Iedere app is opzichzelfstaand en bepaalt dus zelf het beleid.

Daarnaast worden er ook steeds meer identiteiten gecreëerd waarmee je kunt identificeren. Denk hierbij aan Google, Facebook en SalesForce. Je ziet het namelijk steeds vaker dat je ergens kunt inloggen met je Google account, zonder dat je bij die specifieke applicatie een account hoeft aan te maken.

Het probleem is dan ook dat er teveel identiteiten zijn per persoon. Om te voorkomen dat er allerlei briefjes - ofwel sticky notes - ontstaan met wachtwoorden en dergelijke, kun je mensen het beste een handvat bieden om zo min mogelijk last te hebben van dit probleem.

De vraagstukken voor IT zijn:

  1. Hoe beperk ik het aantal login momenten, gebruikersnamen en wachtwoorden?
  2. Hoe houden we controle op wie er toegang heeft tot wat?
  3. Hoe zorgen we ervoor dat het aanmaken van en verwijderen van gebruikers geen dagtaak wordt?
  4. Om aan een compliance check te voldoen moet je een overzicht hebben van toegang etc. Dat moet toch geen handwerk/excelsheet worden?

Waar bestaat Identity & Access management uit?

Identity Management

Binnen Identity & Access management zijn er een aantal onderdelen die ervoor kunnen zorgen dat je makkelijker en toch veiliger kunt inloggen, waarbij je ook nog eens een duidelijk overzicht krijgt waar je een bepaald beleid op kunt inrichten.

Dit zijn de belangrijkste onderdelen:

  • Single Sign-On
  • Multi-Factor Authentication
  • Lifecycle Management
  • Single Point of Truth
  • API Access Management
  • Self Service

Hieronder komen de belangrijkste punten aanbod, waarbij wordt verteld wat het doet, hoe je het kunt inzetten en wat de voordelen zijn.

Plan snel een demo!

En ontdek wat Identity & Access management voor jouw organisatie kan betekenen. Plan de demo!

Single Sign-On

SSO

Hiermee voeg je voor een groot deel gebruiksgemak toe. Met Single Sign-On hoef je nog maar één keer in te loggen om vervolgens naar al je applicaties te navigeren. Vervolgens is het één druk op de knop en je hebt toegang tot de applicatie. Je hoeft dan ook niet nog eens in te loggen.

Naast gebruiksgemak verhoog je ook de veiligheid. Er zijn geen sticky notes meer nodig rondom je werkplek waar allemaal wachtwoorden opstaan. Je gebruikt de wachtwoorden namelijk niet meer.

Het betekent overigens niet dat elke app vervolgens hetzelfde wachtwoord heeft door Single Sign-On. Je gebruikt Single Sign-On om in te loggen in een portal, wat het startpunt is, om vervolgens naar je applicaties te navigeren. Hier moet je dan alleen nog het wachtwoord van onthouden. Vervolgens wordt jouw identiteit kenbaar gemaakt bij de applicatie waar jij toegang tot wilt hebben. Dit kan door “onderwater” de inloggegevens te versturen en automatisch in te laten vullen, maar dat kan ook door een koppeling te leggen met de applicatie. Is dit tussen twee verschillende organisaties, dan spreken we van federatieve toegang. En moet er eerst een “Trust” (vertrouwensrelatie) opgezet worden om vervolgens federatief toegang te kunnen krijgen.

Door middel van federatie tussen de portal en de applicaties hoeven er geen gegevens meer heen en weer gestuurd te worden. Je maakt op deze manier kenbaar dat de portal waar jij vandaan komt te vertrouwen is. Dus als de portal zegt dat deze persoon is wie hij is, mag hij toegang hebben tot de applicatie met bepaalde rechten.

Nu je alles op één plek hebt, krijg je er een hoop gemak en veiligheid van. Hoewel het wel het risico vergroot dat als er iets fout gaat iemand direct toegang kan hebben tot alle applicaties. Om dit te voorkomen heb je Multi-Factor Authentication nodig.

Multi-Factor Authentication

MFA

Met dit onderdeel zorg je ervoor dat er een extra factor nodig is om toegang te krijgen tot een applicatie. Naast je username en wachtwoord heb je ook een token, mobiele telefoon of vingerafdruk nodig. Er zijn nog meer varianten om te gebruiken als extra factor.

Bij Multi-Factor Authentication gaat het er vooral om dat het niet alleen iets is wat je weet, zoals een username en wachtwoord, maar ook wat je hebt. Een mobiele telefoon bijvoorbeeld. Door deze twee componenten toe te passen, wat je weet en wat je hebt, voeg je een extra factor toe waardoor de veiligheid wordt verhoogd.

Op deze manier verklein je dan ook het risico dat iemand toegang kan krijgen tot jouw applicatie. Al heb je nog een sticky note aan je scherm hangen met een wachtwoord erop, dan nog komt iemand anders niet in jouw applicatie aangezien ze niet in jouw mobiele telefoon kunnen of niet de juiste vingerafdruk hebben. Het is eigenlijk een simpele maar zeer effectieve laag die je toevoegt aan het inlogproces. MFA Assurance

Binnen Multi-Factor Authentication heb je ook nog het stuk Contextual Access Management. Hiermee maak je gebruik van slimme beleidsregels gebaseerd op het inloggen. Wordt er ingelogd vanaf een nieuwe locatie, ander apparaat, nieuw IP adres of een onbekend netwerk, geldt er een aparte inlogmethode. Op deze manier is het mogelijk om toegang te ontzeggen. Ook kan er bij risicovolle data een extra stap worden toegevoegd. Er wordt dan een afweging van risico gedaan binnen de context van de gebruiker. Context is in deze waar, wanneer en waarmee.

Lifecycle Management

Lifecycle Management

Met dit onderdeel automatiseer je de in-, door- en uitstroom binnen een organisatie. Je kunt gemakkelijk toegang ontzeggen tot een account waardoor de gebruiker ook geen toegang meer heeft tot de achterliggende applicaties. Op deze manier hoef je maar op één plek een handeling uit te voeren die ervoor zorgt dat er tot geen enkele applicatie meer toegang is. Je kunt hierin ook nog een flow aanbrengen die ervoor zorgt dat er ook gelijk een de-provisioning plaatsvindt. Kortom, sluit de toegang tot een account en zorg er automatisch voor dat alle licenties ook worden stopgezet, zodat je niet doorbetaald voor iets wat je niet gebruikt.

Natuurlijk is er dan ook een flow voor provisioning. Hiermee zorg je er juist voor dat je op één plek een account aanmaakt en dit vervolgens automatisch bij alle andere applicaties wordt gedaan, waarbij natuurlijk ook de juiste rechten worden meegegeven. Je hoeft niet meer elke applicatie langs te lopen om accounts aan te maken, dat scheelt een hoop tijd.

Verandert een collega van functie, waarbij ook zijn rechten moeten veranderen in bepaalde applicaties? Dan is het een kwestie van de gebruiker in een andere groep/afdeling plaatsen en de rechten worden automatisch aangepast. Ook dit is op één plek te doen waarbij de rest automatisch gaat.

Er is ook een mogelijkheid om met Lifecycle management rapportage te genereren. Hiermee krijg je een goed inzicht in welke apps het meest worden gebruikt en door wie. Op die manier kun je ook bepalen of je nog wel bepaalde applicaties moet aanhouden of toch afscheid van kan nemen.

Single Point of Truth

Plaats waar alle data over de identiteiten samenkomt. Zie het als een verzamelplaats van alle gegevens wat vervolgens leidend zal zijn voor Identity & Access management. Op één plek kun je al je gebruikers, groepen en apparaten beheren, alle wachtwoorden en het beleid daar omheen.

API Access Management

API Management

Dit onderdeel gebruik je voor Apps / Applicaties als vervanger voor MFA. MFA werkt namelijk niet bij een applicatie. Het is echt bedoeld voor menselijke personen en een applicatie is dus geen mens. Hiervoor is dan ook een mechanisme bedacht waardoor toch kan worden vastgesteld of de andere partij is wie deze zegt dat hij is. De technische oplossing is het hebben van een lange termijn en een korte termijn sleutel, ook wel een token genoemd. Hierdoor kunnen de applicaties met elkaar communiceren zonder dat er nog een mens aan te pas hoeft te komen.

Doordat de korte termijn sleutel gebruikt wordt voor de communicatie en toegang te krijgen tot (een deel van) de API, zal de sleutel snel verlopen om alles veiliger te houden dan wanneer steeds dezelfde sleutel gebruikt wordt. Vergelijk het met je eigen wachtwoord, die je eigenlijk om de zoveel weken of maanden moet aanpassen om er zeker van te zijn dat niemand toegang heeft tot jouw account of applicatie. Een lange termijn sleutel is er juist voor om de korte termijn sleutel telkens opnieuw te genereren. Bijvoorbeeld een nieuw wachtwoord waarmee een bepaalde periode ingelogd kan worden. Dit is dan ook de basis hoe applicaties authenticeren met services.

Met de sleutels zorg je ervoor dat je door middel van OAuth een verbinding hebt met een bepaalde applicatie. OAuth (Open Authorization) is een open standaard voor autorisatie. Gebruikers kunnen hiermee een programma of website toegang geven tot hun privé gegevens, die opgeslagen zijn op een andere website, zonder hun gebruikersnaam en wachtwoord uit handen te geven.

Met een API Access management tool hoef je geen uren te steken in het coderen om de applicatie aan de portal te verbinden. Hierbij wordt er wel vanuit gegaan dat je een degelijke tool hebt geselecteerd. Om snel van start te gaan met deze tool is dit ook wel noodzakelijk. In een goede management tool is het voorwerk al gedaan en hoef je alleen nog bepaalde informatie in te vullen en de verbinding wordt automatisch opgezet. Zo makkelijk als klinkt kan het ook echt zijn.

Daarnaast kun je ook gelijk het toegangsbeleid en autorisatie bepalen op basis van gebruikersprofiel, groep, netwerk, klant en toestemming.

Naast het makkelijk kunnen koppelen krijg je ook een duidelijk overzicht en kun je onder andere zien welke applicaties er zijn, tot welke afdeling ze behoren, door wie ze worden gebruikt en of ze wel worden gebruikt. Deze informatie kan je helpen om alles nog efficiënter in te richten en onnodige applicaties uit te schakelen.

Self Service

Self Service

Met Self Service zorg je ervoor dat je bepaalde taken wegneemt. Denk hierbij aan een IT afdeling dat dagelijks handmatig wachtwoorden moet resetten, omdat gebruikers die zijn vergeten. Met Self Service zorg je ervoor dat een gebruiker zelf zijn wachtwoord kan resetten, waardoor je de IT afdeling ontlast van werkzaamheden die ze eigenlijk niet willen doen, los van het feit dat het tijd kost.

Een ander voorbeeld kan zijn, dat een gebruiker toegang wilt hebben tot een bepaalde applicatie of een onderdeel daarvan. Traditioneel gezien komt het verzoek dan bij de IT afdeling te liggen die dit moeten weerleggen met de manager die verantwoordelijk is voor die persoon die toegang wilt hebben. Vervolgens bij goedkeuring moet de IT afdeling handmatig toegang verlenen. Als je dit met Self Service regelt, kan een gebruiker een verzoek indienen tot toegang van een applicatie of bepaald onderdeel. Dit verzoek komt vervolgens bij zijn manager te liggen. Als de manager hier akkoord voor geeft zal er automatisch toegang worden verleent zonder tussenkomst van de IT afdeling.

Self service maakt het resetten van wachtwoorden een stuk gemakkelijker. Je bent geen tijd en mankracht meer kwijt aan een helpdesk, want dankzij self service kunnen gebruikers via een beveiligde verbinding zelf hun wachtwoord resetten. Een self service kan ook ingericht worden voor het aanvragen van toegang tot een applicatie of het inzien van rapportages. Het goedkeuringsproces wordt vastgelegd in gestructureerde workflows. De manager kan de aanvraag snel en zonder tussenkomst van de IT-afdeling goed- of afkeuren.

Voordelen van Identity & Access management

Voordelen

Uiteraard is er altijd een vorm van Identity & Access management, maar dan handmatig of soms AD Hoc. Met onderstaande punten wordt er vanuit gegaan dat er een tool wordt gebruikt om het process te verbeteren.

  • Administratieve taken worden grotendeels geautomatiseerd. Dit leidt tot tijdsbesparingen, minder menselijke fouten en beter doorlooptijden
  • Werkdruk op de helpdesk neemt flink af, omdat gebruikers zelf hun wachtwoorden kunnen resetten
  • Een gebruiker krijgt gemakkelijk toegang tot meerdere applicaties en systemen
  • Data is beter beveiligd
  • Het geeft inzicht in het gebruik en de beleidsregels

Plan snel een demo!

En ontdek wat Identity & Access management voor jouw organisatie kan betekenen. Plan de demo!

Cloud of On-premise

Cloud of On-premise

Als je naar het IT landschap kijkt in vergelijking met een aantal jaar geleden, zie je dat er een verschuiving plaatsvindt van on-premise naar de cloud. De traditionele applicatie leveranciers en ontwikkelaars maken hun apps beschikbaar in de cloud. De één doet dat naast de on-premise oplossing en de ander vervangt het juist door de cloud. Hierdoor wordt alles meer toegankelijk, maar dat neemt natuurlijk wel een veiligheidsrisico met zich mee. Hierin wordt IAM, Identity & Access management dan ook steeds belangrijker om de veiligheid van de bedrijfsdata te waarborgen.

Het is dan ook duidelijk dat IAM, steeds meer in de cloud plaatsvindt. Je wilt namelijk overal makkelijk bij kunnen door zoveel mogelijk applicaties aan elkaar te koppelen. Dit helpt ook mee om de productiviteit omhoog te krijgen, je hoeft namelijk niets meer te installeren, er is 1 beleid, wat voor alle applicaties geldt.

Maar wat is nou precies Cloud en On-premise?

Met On-premise wordt software lokaal geïnstalleerd en draait het op de computers van de persoon of organisatie die de software gebruikt. In de Cloud is dat dus niet het geval. Hier draait de software bij de (applicatie) leverancier en wordt het toegankelijk gemaakt door het online via een applicatie of via je webbrowser beschikbaar te maken. Je hoeft dan niets meer te installeren en je hebt geen zware computers meer nodig. Er draait namelijk niets meer bij jou op het apparaat.

Okta

Okta

Okta is een vooroplopend bedrijf die Identity & Access management oplossingen aanbiedt. Dit wordt voor het tweede jaar op rij bevestigd door Gartner. “Okta Named a Leader in the Gartner Magic Quadrant for Access Management, Worldwide for the Second Consecutive Year”

Okta is een webbased ofwel cloud platform. Hoewel alles in de cloud gebeurd, hebben ze het mogelijk gemaakt om ook Identity & Access management toe te passen op on-premise applicaties. Hierdoor kan je elke applicatie gebruiken of het nou in de cloud is of on-premise. De visie van Okta is namelijk “Our vision is to enable any company to use any technology”. En ze helpen bedrijven met drie dingen:

  • Moderniseren van IT
  • Optimale gebruikerservaringen
  • Voorkomen dat er datalekken ontstaan.

De onderdelen die hierboven zijn beschreven komen ook terug in de oplossingen binnen Okta, dit zal in sommige gevallen wel met een andere benaming zijn. Daarnaast hebben ze nog andere onderdelen zoals “Okta API Products” en “Okta Integration Network”.

Plan snel een demo!

En ontdek wat Identity & Access management voor jouw organisatie kan betekenen. Plan de demo!

Meld je aan voor de nieuwsbrief

Waarmee kunnen wij jou helpen?

Google

G Suite

Zoek je het nieuwe werken anno nu? Je wenst overal en altijd te kunnen werken om jouw productiviteit te verhogen en te versimpelen?

Lees meer!
Okta

Okta

Geeft je het overzicht van alle applicaties in het bedrijf, maakt het inloggen makkelijker en zorgt voor meer controle en veiligheid.

Lees meer!
Backup en archivering

Backup en Archivering

Je hoeft je geen zorgen meer te maken als er perongeluk data wordt verwijderd, je kunt dit op elk gewenst moment terug halen en je hebt zelfs onbeperkte opslag!

Lees meer!
Hardware

Hardware

Wil jij ook kunnen werken op een apparaat dat nooit langzaam wordt? Kijk dan snel verder naar ons diverse aanbod in Chrome apparaten.

Lees meer!