De uitdagingen die komen kijken bij Identity and Access Management
Het belang van het beveiligen van digitale middelen, beschermen van gevoelige gegevens en beheren van toegangsrechten wordt inmiddels breed onderkend. Tegelijkertijd wordt goed Identity and Access Management (IAM) complexer door aangescherpte wet- en regelgeving en toenemende gevaren. Arjan Lamers, CTO van First8 Conclusion, zet de uitdagingen op een rijtje.
11 juli 2023 | Nieuws | Door: First8 Conclusion
Deel
Identity and Access Management in ‘t kort
“IAM gaat over het beheren van je gebruikers en de rechten die ze hebben binnen je softwarelandschap”, vat Arjan het kernachtig samen. “Je hebt twee verschillende gebruikersgroepen: de medewerkers van je eigen bedrijf (IAM) en je klanten (CIAM).”
Veiliger werken met minder wachtwoorden
Klinkt overzichtelijk en eenvoudig in te regelen. Maar is het dat ook? “Voor veel applicaties is het heel simpel: je hebt een mooie database met daarin jouw medewerkers en klanten”, vertelt Arjan. “Die hebben een gebruikersnaam en wachtwoord, that’s it. Maar daar komt een kentering in. We willen steeds veiliger werken, maar hebben tegelijkertijd geen zin om overal een nieuwe gebruikersnaam en wachtwoord voor aan te moeten maken. Dat wordt dus steeds meer gestandaardiseerd: denk aan DigiD, een vingerafdruk op je laptop en Face ID op je smartphone.”
Identity and Access Management in 3 stappen
- Identificatie: Wie ben je?
- Authenticatie: Kun je bewijzen dat jij deze persoon bent?
- Autorisatie: Tot welke applicaties heb je toegang, op welke knoppen mag je drukken en bij welke documenten mag je?
“Je hebt uitdagingen op alle drie de vlakken, maar stap drie is de meest ingewikkelde”, vertelt Arjan. Hij loopt ze stap voor stap door:
Identificatie
“Iedereen heeft tegenwoordig meerdere identiteiten. Soms wil je die apart houden, bijvoorbeeld met je zakelijke en privé e-mailadres, maar soms wil je ze juist koppelen. Het koppelen en standaardiseren van die identiteiten uit verschillende systemen is een uitdaging. Een systeem als eHerkenning zorgt er actief voor dat je die koppelingen juist niet kunt maken. Ze werken met pseudo-ID’s die telkens voor een unieke identiteit zorgen. Een sympathieke gedachte, maar in de praktijk is dit erg onhandig en voegt het weinig toe aan privacy. Vooral bij migraties zorgt dit voor een enorme rompslomp.”
Authenticatie
“Op het gebied van authenticatie krijg je te maken met allerlei beveiligingsniveaus en met gestandaardiseerde identity providers. Tegenwoordig gebeurt authenticatie steeds vaker met een tweede factor erbij, zoals een sms of token. Of het wordt uitbesteed, denk hierbij aan Facebook-login of DigiD. Al die verschillende opties hebben hun eigen protocollen, die heel wat werk vergen.”
Autorisatie
“Je kunt het controleparadigma dat je wilt gebruiken user-based inregelen, de eenvoudigste optie. ‘Deze gebruiker mag enkel zijn eigen profiel inzien.’ Maar dan wordt het al snel een saaie website of omgeving. Dus wil je meer bieden. De oplossing daarvoor is werken met verschillende rollen. Voor die optie wordt vaak gekozen. Maar wat je tegenwoordig steeds meer ziet, is attribute-based access control (ABAC), een toegangscontrole die gaat over de attributen van een identiteit en de toegestane acties die daaraan zijn gekoppeld.”
“ABAC klinkt wellicht abstract, dus laat ik het vertalen naar een traditioneel voorbeeld. Als je bij een supermarktkassa staat met alcohol in je winkelmandje, moet je je leeftijd aantonen. Dat doe je door je rijbewijs of paspoort te laten zien. Maar daarmee geef je veel meer informatie weg dan enkel of je ouder bent dan zeventien. Dat noemen we een attribuut. Als je een systeem zo inricht dat je met attributen kunt werken, hoef je alleen dat ene attribuut prijs te geven en is je privacy veel beter gewaarborgd.”
Keycloak als IAM-oplossing
Er komen dus heel wat facetten en keuzes kijken bij het goed inrichten van Identity and Access Management. First8 Conclusion gebruikt hier de IAM-oplossing Keycloak voor. Keycloak is een veelgebruikt en evoluerend open source-project dat ontwikkelaars in staat stelt om de beveiligingsaspecten van een applicatie over te dragen, zodat ze zich geen zorgen hoeven te maken over authenticatie, het begrijpen van cryptografie of hoe wachtwoorden veilig op te slaan. Arjan: “Nadat eerder Red Hat zich committeerde aan Keycloak, doet CNCF dat nu ook. Voor een open source-product is de support van dit soort toonaangevende organisaties enorm belangrijk. Het zorgt voor een bestendige toekomst van de IAM-oplossing en geeft ook ons het vertrouwen volop in te zetten op Keycloak.”
Je Identity and Access Management volledig op orde?
We helpen je graag met het meedenken over en inrichten van de oplossing.