De uitdagingen die komen kijken bij Identity and Access Management

Identity and Access Management in ‘t kort
“IAM gaat over het beheren van je gebruikers en de rechten die ze hebben binnen je softwarelandschap”, vat Arjan het kernachtig samen. “Je hebt twee verschillende gebruikersgroepen: de medewerkers van je eigen bedrijf (IAM) en je klanten (CIAM).”

Veiliger werken met minder wachtwoorden
Klinkt overzichtelijk en eenvoudig in te regelen. Maar is het dat ook? “Voor veel applicaties is het heel simpel: je hebt een mooie database met daarin jouw medewerkers en klanten”, vertelt Arjan. “Die hebben een gebruikersnaam en wachtwoord, that’s it. Maar daar komt een kentering in. We willen steeds veiliger werken, maar hebben tegelijkertijd geen zin om overal een nieuwe gebruikersnaam en wachtwoord voor aan te moeten maken. Dat wordt dus steeds meer gestandaardiseerd: denk aan DigiD, een vingerafdruk op je laptop en Face ID op je smartphone.”

Identity and Access Management in 3 stappen

1. Identificatie: Wie ben je?
2. Authenticatie: Kun je bewijzen dat jij deze persoon bent?
3. Autorisatie: Tot welke applicaties heb je toegang, op welke knoppen mag je drukken en bij welke documenten mag je?

“Je hebt uitdagingen op alle drie de vlakken, maar stap drie is de meest ingewikkelde”, vertelt Arjan. Hij loopt ze stap voor stap door:

Identificatie
“Iedereen heeft tegenwoordig meerdere identiteiten. Soms wil je die apart houden, bijvoorbeeld met je zakelijke en privé e-mailadres, maar soms wil je ze juist koppelen. Het koppelen en standaardiseren van die identiteiten uit verschillende systemen is een uitdaging. Een systeem als eHerkenning zorgt er actief voor dat je die koppelingen juist niet kunt maken. Ze werken met pseudo-ID’s die telkens voor een unieke identiteit zorgen. Een sympathieke gedachte, maar in de praktijk is dit erg onhandig en voegt het weinig toe aan privacy. Vooral bij migraties zorgt dit voor een enorme rompslomp.”

Authenticatie
“Op het gebied van authenticatie krijg je te maken met allerlei beveiligingsniveaus en met gestandaardiseerde identity providers. Tegenwoordig gebeurt authenticatie steeds vaker met een tweede factor erbij, zoals een sms of token. Of het wordt uitbesteed, denk hierbij aan Facebook-login of DigiD. Al die verschillende opties hebben hun eigen protocollen, die heel wat werk vergen.”

Autorisatie
“Je kunt het controleparadigma dat je wilt gebruiken user-based inregelen, de eenvoudigste optie. ‘Deze gebruiker mag enkel zijn eigen profiel inzien.’ Maar dan wordt het al snel een saaie website of omgeving. Dus wil je meer bieden. De oplossing daarvoor is werken met verschillende rollen. Voor die optie wordt vaak gekozen. Maar wat je tegenwoordig steeds meer ziet, is attribute-based access control (ABAC), een toegangscontrole die gaat over de attributen van een identiteit en de toegestane acties die daaraan zijn gekoppeld.”

“ABAC klinkt wellicht abstract, dus laat ik het vertalen naar een traditioneel voorbeeld. Als je bij een supermarktkassa staat met alcohol in je winkelmandje, moet je je leeftijd aantonen. Dat doe je door je rijbewijs of paspoort te laten zien. Maar daarmee geef je veel meer informatie weg dan enkel of je ouder bent dan zeventien. Dat noemen we een attribuut. Als je een systeem zo inricht dat je met attributen kunt werken, hoef je alleen dat ene attribuut prijs te geven en is je privacy veel beter gewaarborgd.”