Entitlement
We vinden het heel normaal dat je toestemming moet hebben om het huis van iemand te betreden. Of dat niet zomaar elke werknemer van een bedrijf zomaar de serverruimte mag betreden. Entitlement is de vertaling van dit principe naar de digitale wereld en het systeem van identity en access management.
In dit artikel
Wat is een entitlement in Identity & Access Management (IAM)?
Een entitlement kun je binnen IAM zien als een recht, permissie, machtiging of autorisatie voor de toegang tot digitale systemen, applicaties, gegevens of andere bronnen. Na het identificeren (wie is de gebruiker) en authenticeren (is de gebruiker wie hij beweert te zijn), bepalen deze gebruiker de toegangs-, bewerkings- en/of gebruiksrechten (wat de gebruiker mag doen). In IAM zijn entitlements de basis van autorisatiebeheer. Het is een cruciaal onderdeel van de beveiliging en het zorgt ervoor dat alleen de juiste gebruikers toegang hebben tot bepaalde gegevens. Door entitlements te beperken tot alleen de noodzakelijke gebruikers, minimaliseer je de kans op ongeautoriseerde toegang tot belangrijke middelen.
Wat zijn gebruikersrechten?
Vrij vertaald is een entitlement een gebruikersrecht. Gebruikersrechten zijn dus de specifieke rechten die aan een individuele gebruiker zijn toegewezen. Gebruikersrechten bepalen wat een gebruiker kan doen binnen een systeem, applicatie of andere digitaal omgeving. Dit kan variëren van toegang tot specifieke gegevens of functionaliteiten tot het bewerken of verwijderen van informatie. De gebruikersrechten van iemand zijn vaak afhankelijk van de rol die de persoon in een organisatie vervult.
Wat is het verschil tussen rollen en rechten?
Rollen en rechten worden vaak als synoniemen van elkaar gebruikt. Hoewel beiden belangrijke concepten zijn binnen IAM, betekenen deze twee concepten niet hetzelfde. Een entitlement of gebruikersrecht is een individuele machtiging die een gebruiker toegang geeft tot een specifieke systemen, applicaties, functionaliteit of data. Rollen zijn verzamelingen van gebruikersrechten die je aan een bepaalde groep gebruikers toekent.
Hoe worden gebruikersrechten toegekend?
Het autorisatiemodel van een IAM-oplossing is verantwoordelijk voor het verlenen en intrekken van gebruikersrechten binnen gekoppelde systemen. Het voordeel van zo’n structurele en geautomatiseerde werkwijze voor het verlenen en beheren van entitlements? Minder menselijke fouten door ervoor te zorgen dat de juiste gebruikers toegang hebben tot de systemen, netwerken, software, applicaties en apparaten die ze nodig hebben. Een IAM-systeem biedt verschillende manieren om entitlements toe te kennen aan gebruikers. De drie belangrijkste manieren om dit te doen zijn:
- Rolgebaseerd (RBAC): Het IAM-systeem bepaalt of een gebruiker toestemming krijgt door hem een specifieke rol toe te kennen of hem in een specifieke groep te plaatsen. Stel je een groot bedrijf voor met verschillende afdelingen. Door een werknemer een rol toe te wijzen, krijgt hij toegang tot alle toepassingen en gegevens die nodig zijn voor zijn specifieke rol. Een boekhouder heeft bijvoorbeeld toegang tot financiële toepassingen en gegevens, terwijl een HR-medewerker toegang heeft tot HR-software en personeelsdossiers.
- Attribuut-gebaseerd (ABAC): Bij attribuut gebaseerd rechtenbeheer krijgen gebruikers toestemming op basis van specifieke attributen. Deze kenmerken kunnen zijn: functie, afdeling, locatie of zelfs een specifieke klant of project waarvoor zij werken. Binnen het autorisatiemodel van de IAM-applicatie kan je bepalen welke toepassingen of gegevens zij mogen bekijken op basis van deze attributen.
- Werkstroom gebaseerd (Service Automation): Bij workflow gebaseerde rechten worden rechten toegekend op basis van een proces of workflow. Sommige gebruikersrechten kennen een te hoog risico om automatiseerd toe te kennen. Andere gebruikersrechten leiden tot de toekenning van dure licenties die slechts sporadisch nodig zijn. Voor dit soort gebruikersrechten kan je een workflow starten waarmee je de noodzakelijke toegangsrechten toekent. Dit zorgt ervoor dat er geen toegang wordt verleend zonder de vereiste goedkeuringen. En kan je gebruikersrechten na een bepaalde periode automatisch intrekken.