Identity providers voor je cloudomgeving: welke kies je?
Informatiebeveiliging en privacybescherming zijn zaken waar iedere moderne organisatie mee te maken heeft. Zeker in het tijdperk van verscherpte wetgeving (AVG), razendsnelle digitalisering, cloudadoptie en snel evoluerende cyberdreigingen, moeten organisaties hun cybersecurity wel op orde hebben om boetes, reputatieschade en kostbare onderbrekingen van cruciale bedrijfsprocessen te voorkomen.
Tegelijkertijd is het realiseren, beheren en beheersbaar houden van authenticatie, autorisatie en toegang van verschillende gebruikers tot de diverse systemen, applicaties en informatie vaak een stevige uitdaging. Een identity provider (IdP) biedt voordelen die deze taak makkelijker maken voor IT-managers en admins. Maar wat is een identity provider precies? Welke verschillende typen IdP’s zijn er? En wat zijn de belangrijkste uitdagingen die bij het kiezen en inzetten van een identity provider om de hoek komen kijken?
Lees ook de blog: Cloudsecurity: hoe veilig is data in de (public) cloud?
Wat is een identity provider?
Een identity provider is een speciale dienst die digitale identiteiten opslaat en beheert. Je gebruikt ze vooral om ervoor te zorgen dat medewerkers altijd verbinding kunnen maken met de resources en applicaties die ze nodig hebben. Met een identity provider beheer je de toegang tot digitale omgevingen, data en tools door rechten toe te voegen en te verwijderen, terwijl je tegelijkertijd het veiligheidsniveau strak handhaaft.
Een typisch IdP-workflow ziet er vaak als volgt uit:
- De gebruiker dient een verzoek in om toegang te krijgen tot een dienst, applicatie of digitale omgeving. De gebruiker voert inloggegevens in.
- Verificatie. De identity provider bepaalt aan de hand van de binnen een organisatie voorhanden informatie of de gebruiker toegangsrechten heeft en wat de gebruiker precies wel of niet mag doen (denk bijvoorbeeld aan lezen en bewerken of juist alleen lezen).
- Ontgrendeling. De gebruiker krijgt toegang en eventuele bewerkingsrechten. De IdP registreert dit.
Waarom een identity provider?
Er zijn verschillende goede redenen om gebruik te maken van een identity provider. Een IdP helpt bijvoorbeeld bij het tegengaan van een probleem als ‘wachtwoordmoeheid’. Hoe meer wachtwoorden mensen moeten onthouden, hoe groter de risico’s worden, vooral omdat mensen die heel veel wachtwoorden gebruiken geneigd zijn om relatief simpele en makkelijk te onthouden (en dus ook eenvoudig te kraken) combinaties van letters en symbolen te kiezen. Met een IdP hoeven mensen minder wachtwoorden in hun bovenkamer of op papier op te slaan.
Het is niet altijd een sinecure om de juiste mensen het juiste toegangsniveau tot gevoelige data en resources te bieden in een zakelijke omgeving die voortdurend verandert. Met een goede identity provider configureer je de toegangsrechten van een gebruiker op basis van functie, afdeling of senioriteit. Dit schept helderheid en zorgt voor een stuk extra veiligheid.
Een IdP is ook handig als je te maken hebt met uitdijende gebruikerslijsten. Het maken van aangepaste logins voor elke medewerker, externe developer, partner en klant is een tijdrovende klus die je met een identity provider veel sneller en efficiënter klaart. Met een IdP geef je geautoriseerde gebruikers vanuit verschillende apparaten, locaties en tijdzones probleemloos toegang tot alle applicaties, data en resources die ze nodig hebben.
Een identity provider biedt ook een helpende hand bij het oplossen van hardnekkige loginproblemen die lastig te achterhalen zijn. IdP-logins leggen namelijk data vast, waardoor je moeiteloos nagaat wanneer iemand online was en kunt reconstrueren wat die persoon precies heeft gedaan. Zo vind je snel de oorzaak van een probleem en elimineer je makkelijker cyberdreigingen.
Soorten identity providers
Identity providers vallen in de regel uiteen in een drietal hoofdtypen, te weten:
- Enterprise identity providers. Dit zijn de IdP’s die organisaties gebruiken voor identiteits- en toegangsmanagement (IAM) binnen de eigen organisatie en het interne IT-landschap.
- Social-based identity providers. Deze IdP’s creëren en beheren een unieke digitale identiteit die een gebruiker of gast koppelen aan een sociaal netwerk of clouddienst (Google, Azure, Facebook).
- Identity providers die je gebruikt om als burger toegang te krijgen tot Mijn-omgevingen van overheidsdiensten. DigiD is het bekendste voorbeeld van zo’n IdP.
Single sign-on (SSO)
Een van de bekendste, populairste en meest gebruikte identity providers is single sign-on (SSO). Dit is een authenticatietool die gebruikers met één set inloggegevens en één SSO-applicatie veilig en snel toegang geeft tot meerdere applicaties en diensten. Slack, Teams, Asana, Google Workspace; met SSO hoef je niet steeds opnieuw in te loggen met een ander wachtwoord als je van applicatie, dienst, platform of omgeving wisselt.
SSO hanteert het concept van federatieve identiteit. Dat houdt in dat identity-attributen worden gedeeld met vertrouwde, maar autonome systemen. Vertrouwt het ene systeem een gebruiker? Dan krijgt de persoon in kwestie automatisch toegang tot alle andere systemen die een vertrouwde relatie met het eerste systeem, de SSO-applicatie, hebben.
SSO kan gebruikmaken van diverse protocollen. Een paar bekende voorbeelden zijn:
- Security access markup language (SAML). Dit is een standaard die tekst omzet naar machinetaal en zo de uitwisseling van identificatiegegevens mogelijk maakt.
- Open authorization (OAuth). Dit opensourceprotocol draagt ID-informatie over van de ene naar de andere applicatie en zet die gegevens om in machinetaal. Zo kun je een applicatie toegang tot data in een andere applicatie verlenen zonder handmatige tussenkomst.
- OIDC is een aanvulling op OAuth die informatie over de gebruiker toevoegt en het SSO-proces ondersteunt.
- Kerberos is een protocol dat wederzijdse authenticatie mogelijk maakt. Zowel de gebruiker als de server kunnen elkaars digitale identiteit verifiëren als de communicatie verloopt via een matig beveiligde netwerkverbinding.
Het gebruiken van een identity provider als SSO biedt veel voordelen en mogelijkheden, maar is niet zonder uitdagingen. Een aanvaller die de SSO-inloggegevens van een gebruiker in handen krijgt, heeft meteen toegang tot elke applicatie of dienst waarvoor de gebruiker toegangsrechten bezit. Het is daarom essentieel dat je bij het gebruiken van SSO niet alleen vertrouwt op wachtwoorden, maar ook aanvullende authenticatiemechanismen als sms-codes of biometrie gebruikt. Aanvullende authenticatiemethoden en identity governance maken je tevens minder vatbaar voor kwetsbaarheden die de laatste jaren in SAML en OAuth zijn gevonden.
Waar moet je op letten bij het selecteren van een identity provider?
Maar hoe kies je nu de beste identity provider voor jouw organisatie, eentje die een optimaal veiligheidsniveau combineert met gebruiksgemak? Let allereerst op de mate van ondersteuning en flexibiliteit die een IdP biedt. Met hoeveel verschillende applicaties en diensten is de oplossing te integreren?
Aanpasbaarheid is een ander belangrijk aandachtspunt. Een moderne identity provider moet voldoen aan de specifieke behoeften van verschillende gebruikers en breed inzetbaar zijn. De gebruiker moet in het dashboard eigenlijk alleen de applicaties en diensten te zien krijgen die hij of zij nodig heeft. Let er ook op dat het dashboard aanpasbaar is aan de huisstijl en het veiligheidsbeleid van de organisatie.
Een goede identity provider is compatibel met vrijwel elke MFA-oplossing die op de markt is. Daarnaast kan hij idealiter een breed en divers spectrum aan contextuele gebruikersgegevens (locatie, risicoprofiel, gedrag, senioriteit) registreren. Het nut hiervan? Je kunt de beveiliging altijd aanscherpen door gebruikers te vragen naar aanvullende informatie op hun bekende digitale identiteit.