Hoe een Access Management oplossing je organisatie helpt
In de blog “Waarom heb je een Identity & Access Management (IAM)-oplossing nodig” hebben we gekeken naar de uitdagingen die organisaties zonder IAM-oplossing ervaren: efficiëntie en kostenreductie, compliance eisen aan wet- en regelgeving, en bescherming tegen datalekken. De laatste twee blogs hebben beschreven hoe (semi-)geautomatiseerd gebruikers- en autorisatiebeheer organisaties helpen. Maar hoe verschaf je medewerkers veilige toegang tot je applicaties zonder af te doen aan de gebruiksvriendelijkheid? En hoe ga je om met andere groepen gebruikers die toegang nodig hebben tot je ICT-infrastructuur? In deze blog beschrijven we hoe Access Management technologie je organisaties op de genoemde drie punten kan helpen.
In dit artikel
Hoe helpt een IAM-oplossing?
In de vorige blogs hebben we de IAM-technologieën User Provisioning en Service Automation bekeken. Dit zijn beiden technologieën die betrekking hebben op gebruikers- en autorisatiebeheer. User Provisioning automatiseert dit volledig automatisch op basis van een bronsysteem. Service Automation zou getypeert kunnen worden als semi-automatisch daar dit juist de hiaten invult die niet volledig automatiseerbaar zijn. Het derde grote topic binnen Identity & Access Management is toegangsbeheer. Dit is waar Access Management om de hoek komt kijken.
Access Management
Access Management – toegangsbeheer op z’n Nederlands – vereenvoudigt de authenticatie van gebruikers tot applicaties. Bij een access managementoplossing hoeft de gebruiker maar één keer in te loggen om toegang te krijgen tot meerdere applicaties. Zonder zo’n systeem hebben medewerkers voor iedere applicatie een aparte gebruikersaccount nodig. Een medewerker begint zijn werkdag dan door in te loggen met zijn Active Directory of Google Workspace account in op zijn laptop of Chromebook. Vervolgens moet hij nog apart inloggen op het intranet, daarna op het CRM-systeem en wil hij verlof aanvragen dan – je raadt het al – moet hij daar ook apart voor inloggen. Bovendien moet je bij ieder account een ander wachtwoord gebruiken om het veilig te houden. Voor de gebruiker erg onhandig en in de praktijk zullen medewerkers daarom ook vaak dezelfde inloggegevens gebruiken bij verschillende applicaties. Dan moet hij nog steeds apart inloggen, maar hoeft hij in ieder geval geen fotografisch geheugen te hebben om allerlei complexe wachtwoorden te onthouden met hoofdletters, kleine letters, cijfers en speciale tekens. Maar voor hackers is het helaas ook erg handig. Die hoeven immers nog maar één slecht beveiligde applicatie binnen te dringen om vervolgens op alle applicaties in te kunnen loggen.
Een Access Management oplossing biedt medewerkers, partners en klanten eenvoudige en veilige toegang tot (cloud)applicaties. Er is een aantal Access Management functionaliteiten die dit tezamen realiseren en die we in deze blog verder zullen uitlichten.
Primaire identity provider
Waar je normaliter op elke applicatie apart moet inloggen, gaan we bij Access Management voor een bepaalde groep gebruikers uit van één centrale set inloggegevens, de zogenaamde Identity Provider. Voor medewerkers zijn dit logischerwijs vaak de accountgegevens die zij ook gebruiken om op hun computer in te loggen. Bijvoorbeeld een Microsoft (Azure) Active Directory account of – bij Chromebooks – het Google Workspace account. Dit wordt dan voor de medewerkers de primaire identity provider en na inloggen op die identity provider kun je vervolgens ook toegang krijgen tot de bedrijfsapplicaties (ook wel de afnemende applicaties genoemd). Het principe van één primaire identity provider voor medewerkers is inmiddels bij veel organisaties in gebruik. Tegelijkertijd zijn medewerkers steeds vaker niet meer de enige groep gebruikers die toegang nodig hebben tot de ICT-infrastructuur. Ook klanten krijgen tegenwoordig vaak toegang tot bepaalde webapplicaties en binnen scholen moeten studenten kunnen inloggen op hun digitale leeromgeving. In dat geval kunnen respectievelijk ook het CRM- en het leerlingadministratiesysteem (LAS) logische primaire identity providers zijn.
Zo’n IT-landschap met meerdere identity providers voor verschillende gebruikersgroepen maakt het wel complexer. Veel afnemende applicaties ondersteunen immers slechts één identity provider. Zo’n applicatie kan dus meestal niet tegelijkertijd zowel eigen medewerkers als leerlingen of klanten vanuit meerdere identeitsproviders toegang geven. Koppel je een afnemende applicatie dus voor medewerkers aan Azure dan zou elke andere gebruiker hierin ook daadwerkelijk een account nodig hebben. Een volwaardige Access Management oplossing heeft in dat geval een belangrijke rol als een soort ‘adapter’ tussen meerdere identity providers en de afnemende applicaties. Iedere gebruikersgroep krijgt via de eigen identity provider toegang tot het access managementsysteem, waarna dat access management systeem vervolgens zorgt dat iedereen toegang krijgt tot zijn of haar ICT-resources. Het is natuurlijk ook mogelijk dat organisaties nu nog geen goede Identity Provider hebben voor hun gebruikers. In dat geval kan de Access Management oplossing ook zelf fungeren als identity provider. Organisaties hoeven om enkel in te kunnen loggen dan geen dure licenties te kopen. Dit is een veelgebruikte optie voor onder meer de toegang voor externen.
Toegangsportaal
Met een Access Management oplossing kan iedere groep gebruikers dus met een eigen methodiek inloggen. Maar je wilt je gebruiker vervolgens ook een overzicht bieden van de voor hem of haar beschikbare applicaties. Daarvoor biedt een Access Management oplossing een centraal toegangsportaal dat de applicaties toont waar de gebruiker ook daadwerkelijk toegangsrechten voor heeft. Cloud gebaseerde Access Management oplossingen beschikken standaard over zo’n toegangsportaal. Wel hebben veel organisaties ook al een eigen ‘startportaal’ en zitten daarom niet te wachten op een extra gebruikers portaal. Daarom kan een Access Management oplossing als HelloID het toegangsportaal standalone aanbieden, maar ook naadloos via een widget integreren binnen bijvoorbeeld een bestaand sociaal intranet of SharePoint Online omgeving. Zo voorkom je ‘portaalmoeheid’ en verhoog je de usability voor je gebruikers. Eén portaal voor zowel het laatste nieuws binnen de organisatie, alle bedrijfsreglementen én toegang tot de benodigde applicaties.
Behalve gebruiksvriendelijkheid verbetert zo’n portaal ook de informatiebeveiliging. Steeds meer applicaties verhuizen van de on-premise infrastructuur naar de cloud. In plaats van een icoontje op het bureaublad moeten gebruikers nu URL’s van cloud applicaties onthouden of opslaan in hun favorieten. Voor de gebruikers is dat niet handig maar er is ook het risico op phishing. Door een kleine vergissing bij het intypen van een URL of een klik op een phishing mail kom je zomaar terecht op een (bijna) niet van echt te onderscheiden kopie van de applicatie. Een bureaublad in de cloud verkleint zulke risico’s aanzienlijk.
Single sign-on
Single sign-on (SSO) biedt gebruikers de mogelijkheid om na slechts één keer inloggen – met hun primaire account dus – toegang te krijgen tot alle bedrijfsapplicaties. Zoals hiervoor al aangegeven bieden de meeste Access Management oplossingen de gebruiker een portaal met een overzichtelijk overzicht van alle (web)applicaties. Dankzij Single sign-on hoeft de gebruiker een applicatie alleen maar aan te klikken in dat portaal, waarna de Access Management oplossing automatisch én veilig het inloggen afhandelt.
Gebruikers hoeven hierdoor niet meer tientallen URL’s, gebruikersnamen en wachtwoorden te onthouden. Eén keer inloggen met de primaire account volstaat. Dit is niet alleen gebruiksvriendelijk, het verbetert ook de veiligheid. Vanuit veiligheidsoogpunt is het eigenlijk noodzakelijk om per applicatie een ander wachtwoord te gebruiken. Zo voorkom je namelijk dat cybercriminelen met één gestolen wachtwoord overal naar binnen komen. Maar in de praktijk hebben werknemers die de moeite nemen om per applicatie andere inloggegevens te gebruiken, vervolgens grote moeite die allemaal te onthouden. Je hebt weliswaar passwordmanager tools maar die zijn lang niet altijd praktisch. Veel gebruikers eindigen dus uiteindelijk met wachtwoorden die óf eenvoudig te raden zijn óf ergens worden opgeschreven. Of ze vergeten de wachtwoorden met als gevolg een dure stroom aan helpdesk tickets. Veel gebruikers hebben dit uiteindelijk ‘opgelost’ met één set logingegevens voor meerdere applicaties met alle risico’s van dien. Al die problemen en risico’s met wachtwoorden zijn met single sign-on in één keer opgelost.
Multi factor authenticatie
Is single sign-on overigens werkelijk veiliger? Immers, wanneer iemands hoofdaccount wordt gehackt kan deze nog steeds toegang krijgen tot alle applicaties? Een terechte vraag maar het korte antwoord is dat SSO inderdaad veiliger is. Vergelijk het met een huis. Met een ‘gewone’ buitendeur kun je besluiten ook alle binnendeuren te voorzien van een slot. Dat klinkt veilig maar waarschijnlijk duurt het nog geen week voor je die binnendeuren niet meer afsluit. Of je sleutel maar in de binnendeur laat zitten. Gemak wint het van veiligheid en het is thuis dan ook veel veiliger om te investeren in extra veilige buitendeuren en -ramen.
Datzelfde geldt voor je IT-toegangsbeveiliging. In plaats van sloten op binnendeuren (de verschillende applicaties met ieder een eigen inlog), kies je met een gespecialiseerde Access Management oplossing voor één extra veilige buitendeur voor je IT-huishouding. De gespecialiseerde Access Management leverancier bewaakt dat de toegangsbeveiliging altijd up-to-date is en allerlei onbeveiligde routes naar individuele applicaties zijn afgesloten. Tegelijkertijd kunnen we met alleen een gebruikersnaam en wachtwoord nooit garanderen dat iemand is wie hij beweert te zijn. Iemand kan over je schouder meekijken naar je wachtwoord en ook met social engineering trucs of door brute force aanvallen kunnen ze je wachtwoord kraken. En dit is waar multi factor authenticatie (MFA) om de hoek komt kijken.
Met Multi factor authenticatie voegen we nog een of meerdere verificatiechecks toe. Naast iets dat iemand weet (het wachtwoord), kan dit iets zijn wat iemand heeft of wat iemand is. Iets wat iemand heeft kan bijvoorbeeld een telefoon zijn met daarop een authenticator app. Maar ook zogenaamde Yubikeys vind je tegenwoordig aan veel sleutelbossen terug. Nog veiliger maak je het met biometrisch gegevens als een vingerafdruk of zelfs een irisscan. Door behalve een gebruikersnaam en wachtwoord ook zo’n extra factor te verifiëren, wordt het voor een hacker direct veel moeilijker om een account binnen te komen. Natuurlijk maakt zo’n extra verificatie het inloggen iets ingewikkelder, maar als ‘beloning’ daarvoor is het inloggen in alle overige applicaties een stuk makkelijker én is de algehele gebruikerservaring een stuk beter.
Conditionele toegang
Voorheen waren applicaties alleen toegankelijk vanaf het bedrijfsnetwerk en waren apparaten binnen dit netwerk altijd eigendom van de organisatie. Daarentegen zijn cloud applicaties in principe vanaf elke plek in de wereld en met ieder apparaat te benaderen. Dit maakt het voor IT-afdelingen moeilijker om de toegang tot documenten en gegevens te beheersen. Met conditionele toegang zorgt een access management oplossing dat organisaties weer grip krijgen over wie, wanneer, en waar toegang krijgen.
Conditionele toegang omvat een set beleidsregels die bepalen welke (groepen) gebruikers onder welke voorwaarden toegang hebben en tot welke applicaties. Iemand kan dus bijvoorbeeld overdag vanuit het bedrijfsnetwerk probleemloos inloggen op het financiële systeem. Maar wilt diezelfde persoon dat ’s nachts via zijn smartphone dan mag dat niet. Bij iedere toegangspoging zal de access management oplossing eerst nagaan of er specifieke toegangsregels van toepassing zijn. Zo’n toegangsregel bestaat altijd uit een conditie en een bijbehorende actie. Twee voorbeelden:
- Een eenvoudige regel: ‘wanneer de gebruiker wil inloggen op het toegangsportaal, dan moet deze multifactorauthenticatie gebruiken’.
- Een complexere regel: ‘wanneer de gebruiker wil inloggen buiten het organisatienetwerk en geen managementfunctie heeft, dan mag deze met MFA-toegang krijgen tot het portaal en via single sign-on toegang tot zijn applicaties. En wanneer de gebruiker vervolgens toegang vraagt tot een financiële applicatie, dan moet de gebruiker zich wel nogmaals met een Authenticator app authentiseren’.
Bij bovenstaande voorbeelden zijn de regels afhankelijk van iemands functie, het gebruikte netwerk en de gebruikte applicatie. Andere mogelijke condities zijn bijvoorbeeld de dag en tijd waarop iemand inlogt of een applicatie wil gebruiken, iemands locatie of IP-adres, of welk apparaat of browser worden gebruikt. Je kunt vervolgens meerdere condities en mogelijke acties combineren in regels om de veiligheid van gegevens in de cloud helemaal naar behoefte in te richten en te waarborgen.
Compliant met wet- en regelgeving dankzij een Access Management oplossing
Veel organisaties willen vandaag de dag ISO 27001 compliant zijn, de internationale standaard voor informatiebeveiligingsmanagement. Vaak ook is deze compliance zelfs een harde eis om met bepaalde klanten zaken te kunnen doen. Overheidsorganisaties en zorginstellingen moeten daarbij voldoen aan respectievelijk de BIO en NEN 7510 standaarden die gebaseerd zijn op deze ISO 27001 richtlijnen. Ook de AVG-richtlijnen voor de beveiliging van persoonlijke informatie zijn uiteraard dwingend voorgeschreven aan organisaties.
In bovenstaande informatiebeveiligings- en privacy richtlijnen is Identity & Access Management functionaliteit een belangrijke schakel. Als we daarbij inzoomen op Access Management zie je dat functies als single sign-on, multi-factor authenticatie en conditionele access cruciaal zijn bij het invullen van veel van de beveiligingseisen. De combinatie van gebruiksvriendelijke én veilige toegangsoplossingen voorkomt dat medewerkers onveilige work-arounds gaan gebruiken. Daarnaast is de kracht van een centraal Access Management platform dat alle toegangspogingen en andere handelingen centraal worden gelogd. Hierdoor is eenvoudig traceerbaar wie wanneer welke applicatie heeft benaderd.