Home Algemeen Wat is identiteitenbeheer?

Wat is identiteitenbeheer?

163

Steeds meer bedrijven huren IT-diensten en applicaties uit de cloud in. Deze gebruiken zij met een grote diversiteit aan apparaten. Dat is voordelig, want je hoeft niet meer allerlei hardware en software te installeren en te onderhouden. Maar het creëert ook een nieuw probleem. Je moet namelijk de toegang tot allerlei webapplicaties en apparaten goed en voordelig kunnen regelen.

In dit blog zet ik uiteen wat een toegang- en identiteitenbeheer, of identity and access management (IAM) inhoudt. In volgende blogs ga ik in op de betekenis van IAM in de cloud, de bijbehorende kostenstructuur en het belang van single sign-on.

Misschien is het al gesneden koek, maar voor velen is het goed om even terug te gaan naar de basis: wat is IAM? Als je goed geïnformeerd wilt zijn over een situatie, moet je kennis hebben van de “5 W’s”: wie, wat, waar, wanneer en waarom (of hoe). Voor journalisten is dat de eerste les, maar het geldt voor iedereen die wil weten wat er gebeurt. IT-managers willen er bijvoorbeeld zeker van zijn dat iedereen optimaal kan werken met de IT-middelen. Maar ook dat alleen bevoegden toegang krijgen tot de IT-omgeving. Dat inzicht krijgt men door identiteiten toe te wijzen aan personen en apparaten. Je weet dan wie er wanneer welke applicaties gebruikt en hoe men deze gebruikt (met welke apparaten en vanaf welke toegangspunten).

Je kunt vervolgens restricties opleggen aan de identiteiten, bijvoorbeeld dat personen een wachtwoord moeten gebruiken, al dan niet in combinatie met een token. Of dat bepaalde identiteiten beperkte, of zelfs helemaal geen, toegang hebben tot onderdelen van de IT-infrastructuur. Dat verhoogt het beveiligingsniveau voor gegevens en systemen, maar het verlaagt ook de licentiekosten omdat de middelen alleen toegankelijk zijn voor mensen die deze ook daadwerkelijk gebruiken.

Identiteitenbeheer zou eenvoudig zijn als het slechts een kwestie was van het opstellen van regels voor identiteiten en toegang. Vooral als de rechten restrictief zijn. Als niemand op internet kan, komen er ook geen cybercriminelen binnen. Simpel, toch? Dat is echter niet realistisch. In de praktijk zijn er gigantisch veel uitzonderingen op de regels nodig. Bovendien veranderen de omstandigheden continu. Het IAM-beleid moet daarom niet rigide, maar juist heel flexibel zijn. IAM betekent daarom vooral: de regels zodanig buigen, dat alles blijft werken zonder te breken.

De meeste bedrijfscomputers draaien op Windows en systeembeheerders regelen de gebruikersrechten daarom meestal met Active Directory van Microsoft. Met Active Directory beheert men de rechten en instellingen van alle ‘objecten’ in het bedrijfsnetwerk. Objecten zijn ofwel middelen, zoals hardware, ofwel personen, zoals gebruikers, computeraccounts en gebruikersgroepen. Elk object is uniek en identificeerbaar aan zijn eigenschappen: de karakteristieken en de informatie die het bevat. Deze eigenschappen zijn gedefinieerd in een schema, dat ook bepaalt welke objecten opgeslagen kunnen worden in Active Directory.

Het zal duidelijk zijn dat het aantal objecten in een Active Directory enorm kan oplopen. IAM bestaat eruit objecten op basis van regels aan elkaar te koppelen en dit proces inzichtelijk te maken. De beleidsregels bepalen welke apparaten en mensen toegang hebben tot welke bronnen met gevoelige informatie. Dat was al uitdagend toen alle IT-systemen nog binnen de muren van de organisatie stonden. De IT-omgeving bij veel bedrijven bevat echter steeds vaker clouddiensten. Dat maakt het nog veel moeilijker om identiteiten te beheren. Dat bespreek ik in mijn volgende blog: identiteitenbeheer in de cloud.

Bram Haasnoot, RealOpenIT

1 REACTIE

  1. Leuk artikel Bram!
    Veel bedrijven zullen in de komende tijd gebruik maken van een cloud-dienst. Elke cloud-dienst/clodleverancier kan eigen regels hebben voor identificatie en autorisatie. Hierdoor heb je een flexibele brug nodig om verschillende behoeftes en ontwikkelingen vanuit je organisatie met verschillende externe diensten en mogelijkheden te kunnen koppelen. Ondertussen moet je nog compliance zijn en ook aan de regels voldoen.
    AD als interne Identity Store biedt zeker geen voldoende flexibiliteit en mogelijkheid om deze ontwikkeling (SaaS en Cloud diensten) te beheersen.
    Ik zal even wachten op het 2e deel van dit artikel en daarna kom ik met een aantal voorbeelden van tekortkomingen van AD vs een IAM oplossing.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in