Beheer

Security
beveiliging

Federatief toegangsbeheer steeds belangrijker

Veilige toegang over diverse organisaties heen

© CC0 - Pixabay
18 februari 2019

Veilige toegang over diverse organisaties heen

Digitale dienstverlening is de norm geworden. Burgers, bedrijven en overheden werken steeds meer digitaal samen. Eenvoudig digitale toegang verlenen tot je dienstverlening en daarnaast toch voldoende zeker weten met wie je aan de andere kant van het internet zaken aan het doen bent, is een noodzaak geworden voor organisaties. Federatieve toegang kan hiervoor een goede oplossing bieden, vinden Ben Binnendijk en Jean-Pierre Vincent.

Authenticatie, aantonen dat jij bent wie je zegt dat je bent, is op zichzelf niet nieuw. Vroeger toonde je een rijbewijs of paspoort. Gebruikersnaam en wachtwoord zijn al heel lang geleden ingeburgerd. In de digitale wereld stellen de banken al meer dan vijftien jaar grootschalig digitale authenticatiemiddelen beschikbaar. Elke bank heeft daarbij wel zijn eigen oplossing: TAN-codes, scanners, e.dentifier en veel andere varianten. En dit alles om het mogelijk te maken dat de klant, voldoende betrouwbaar, zich bij de bank kan authentiseren. DigiD vervangt het paspoort bij het digitale contact tussen burger en overheid. DigiD ondersteunt de authenticatie van burgers bij overheden en organisaties die een overheidstaak uitvoeren (Belastingdienst, SVB, UWV, gemeenten, provincies en nog vele andere organisaties). De burger maakt daarbij gebruik van maar één oplossing voor toegang tot al deze overheidsdienstverleners. In de IAM-terminologie wordt de toegang tot deze organisatie voor de burger federatief geregeld.

Federatief geregelde digitale toegang tot systemen van samenwerkende organisaties is steeds belangrijker aan het worden. Op dit moment worden vooral de identificatie en authenticatie geïmplementeerd. In de nabije toekomst zullen er echter steeds meer attributen via deze weg beschikbaar komen waarop ook de autorisatie van de gebruiker kan worden bepaald. Is iemand ouder dan 18, zodat er alcohol kan worden verkocht? Staat uw rijbewijs als geldig geregistreerd bij het RDW, zodat u een auto kunt huren? De mogelijkheden zijn legio.

Organisaties werken steeds meer samen met anderen. Ook binnen het toegangsdomein zelf zet deze trend zich door. Er bestaat geen centraal IAM-systeem van waaruit de verlening van toegang wordt geregeld. Toegang tot systemen van organisatie A wordt verleend op basis van authenticatie door organisatie B, aangevuld door attributen geleverd door organisatie C. Organisaties maken daarvoor onderling afspraken tot hoever het onderling vertrouwen gaat. En als het belang groot genoeg is, volstaat alleen vertrouwen niet, maar is het ook nodig om te controleren of gemaakte afspraken worden nagekomen en moet het eventueel aangevuld worden met de juiste wet- en regelgeving. Dit geheel is het speelveld van federatieve toegang. Een speelveld dat de komende jaren voor bijna alle organisaties alleen maar in belang zal toenemen, willen zij hun digitale dienstverlening veilig kunnen blijven leveren.

Het concept toegang

Wat is toegang? Toegang betekent volgens de Van Dale de weg waarlangs je ergens kunt komen. Toegang in de context van dit artikel betekent de weg die gevolgd moet worden om gebruik te kunnen maken van de voorzieningen die nodig zijn om je taken uit te voeren. De medewerker krijgt daarbij bijvoorbeeld niet alleen toegang tot fysieke middelen (gebouw, telefoon, tablet) maar ook toegang tot relevante bestanden, systemen en informatiediensten.

Om de complexiteit van het concept toegang te duiden, maken wij gebruik van, in onze DJI-tijd met collega’s van Justitie en Veiligheid ontwikkelde, onderstaande begrippen en platen.

 

federatief1

Toegangsgebruik (operationeel)

Voorzieningen worden beschikbaar gesteld door organisaties. Organisaties willen controle uitoefenen op wie welke voorzieningen op welke wijze gebruikt. Om toegang te krijgen, zal een persoon zich daarom eerst moeten identificeren (ik ben dit), daarna zal hij zich moeten authentiseren (ik toon dit aan), waarna hij kan worden geautoriseerd (hij heeft recht op) voor het gebruik van de voorziening. Deze stappen vormen de basis voor het rechtmatig verlenen van toegang tot de gewenste voorzieningen.

Een voorbeeld:

Een medewerker die gebruik wil maken van de werkplek start met zichzelf te identificeren door het invoeren van zijn gebruikersnaam. Om te bewijzen dat hij is wie hij zegt dat hij is, voert hij zijn wachtwoord in, het authentiseren. Na het succesvol doorlopen van de identificatie en authenticatie geeft het systeem toegang tot die delen van de werkplek waartoe de medewerker is geautoriseerd.

Toegangsgebruik bestaat altijd uit de stappen identificatie (wie ben ik), authenticatie (kan ik dat bewijzen) en autorisatie (verlenen van toegang). Deze maatregelen moeten passen bij de voorziening waarvoor zij zijn bedoeld. Het is goed om te beseffen dat voorzieningen functioneel en/of technisch zeer verschillend kunnen zijn. Als gevolg daarvan kan de implementatie van toegangsgebruik aanzienlijk verschillen binnen en tussen de verschillende typen voorzieningen. Na met succes de identificatie, authenticatie en autorisatie te hebben doorlopen kan de gebruiker zijn werkzaamheden uitvoeren.

Toegangsmanagement (operationeel)

Om bovenstaande voorbeelden mogelijk te maken zal voor de medewerker wel eerst een gebruikersnaam en wachtwoord moeten worden aangemaakt. Aan deze gebruikersnaam moeten daarna de rechten die bij de functie van de medewerker horen worden toegekend. Pas als dit allemaal is ingeregeld kan de medewerker gebruik maken van de voorziening.

Toegangsmanagement bestaat uit beheeractiviteiten die in essentie vooraf eenmalig worden uitgevoerd, om het gebruiken van de voorziening mogelijk te maken. Het kan (functioneel) worden opgedeeld in Identity Management, Authenticatie Management en Autorisatie Management.

Identity Management (IdM)

IdM is het registreren, verifiëren en beheren van de identiteitsgegevens van een persoon en/of organisatie. Hieronder wordt het geheel verstaan van (al of niet geautomatiseerde) processen binnen een organisatie die betrekking hebben op deze activiteit.

Authenticatie Management

Onder Authenticatie Management (AUM) wordt het geheel verstaan van (al of niet geautomatiseerde) processen binnen een organisatie die betrekking hebben op het beheren van de authenticatie middelen (wachtwoord, smartcard etc.) uitgegeven aan een persoon en/of organisatie.

Autorisatie Management

Onder Autorisatie Management (AM) wordt het geheel verstaan van (al of niet geautomatiseerde) processen binnen een organisatie die betrekking hebben op het beheren van de rechten op voorzieningen van de in IdM geregistreerde personen en/of organisaties.

Toegangsafspraken Management

Om op operationeel niveau de juiste toegang mogelijk te maken, moeten  afspraken gemaakt worden tussen de verschillende actoren over onder welke condities toegang verleend mag worden en welke “taal” onderling wordt gesproken. In toegangsmanagement worden al deze afspraken opgesteld en vastgelegd. In toegangsafspraken management worden:

  • RBAC[1], ABAC[2] en/of CBAC[3] modellen ingericht en beheerd (inclusief rollen beheer),
  • autorisatieregels beheerd,
  • de bestaande wet- en regelgeving in relatie tot toegang vertaald naar uitvoerbare procedures in toegangsmanagement, toegangsgebruik en toegangsaudit,
  • de contractafspraken over federatie beheerd,
  • bepaald welke activiteiten voor toegangsaudits (periodiek) dienen te worden uitgevoerd,
  • toegangsmanagement, toegangsgebruik en toegangsaudit continue verbeterd,
  • businessrequirements m.b.t. toegang van ‘toegangsgebruikers’ vertaald naar toegangsattributen, rollen etc.

 

Toegangsaudit

Of toegang gebruikt wordt conform de gemaakte afspraken moet worden gecontroleerd:

  • Het is niet haalbaar noch kostenefficiënt om alle toegangsprocessen te automatiseren. Handmatige ondersteuning blijft noodzakelijk. Het is daarom nodig om regelmatig te controleren of bijvoorbeeld de handmatige procedures correct worden uitgevoerd.
  • Bij federatie wordt (het delen van) toegangsmanagement uitbesteed aan de federatieve partijen op basis van afspraken. Met behulp van audits moet worden gecontroleerd of deze afspraken worden nagekomen.
  • Bij het gebruik van zeer gevoelige data zouden PAM-functies[4] kunnen worden toegepast op reguliere federatieve gebruikers

Binnen toegangsaudit worden deze controles, waar nodig preventief en anders periodiek detectief, uitgevoerd. En daar waar uit de controles nodig blijkt, worden passende maatregelen geïnitieerd.

 

Het concept federatieve toegang

Het begrip toegang is in het begin van dit artikel uitgelegd aan de hand van de begrippen medewerkers, voorzieningen en rechten binnen een organisatie. In de definitie van IdM wordt IdM niet alleen beperkt tot personen maar ook tot het managen van de identiteit van organisaties. In de huidige wereld hebben medewerkers namelijk niet alleen toegang tot de voorzieningen van de organisatie waarmee men een arbeidsrelatie heeft maar ook tot de voorzieningen van andere organisaties.

Om dit mogelijk te maken werd/wordt er nu vaak voor gekozen om de gebruiker op te voeren in alle IdM-systemen van elke organisatie waar hij van voorzieningen gebruik moet maken. Meestal wordt er dan bij het opvoeren van de medewerker in het IdM-systeem van de gastorganisatie nog wel het nodige gecontroleerd. Maar wijzigingen, denk hierbij bijvoorbeeld aan het beëindigen van het dienstverband, worden zelden (tijdig) doorgegeven. Met als gevolg dat de gebruiker, die bij de moederorganisatie (terecht) niets meer mag, bij andere organisaties nog steeds toegang heeft. Extra controles inbouwen om dit te voorkomen, is erg arbeidsintensief. Doordat deze controles over organisatiegrenzen heen gaan, zijn zij vaak ook lastig uitvoerbaar. In de techniek zijn wel oplossingen denkbaar die dit risico grotendeels oplossen: synchronisatie van identiteiten. Hiervoor is wel een koppeling met een centrale ‘moederidentiteit’ noodzakelijk. Deze oplossing is aanmerkelijk complexer dan de hieronder genoemde oplossing

Een andere manier om gebruikers van een andere organisatie toegang tot voorzieningen te geven, is een Identiteitenfederatie. Een Identiteitenfederatie maakt het mogelijk om gebruikers maar eenmaal te registreren in hun eigen organisatiedomein en (ook) veilig toegang te verschaffen tot voorzieningen in domeinen van andere organisaties. Organisaties maken daarbij onderling afspraken over (1) welke identiteitenregistraties worden vertrouwd voor toegang tot een voorziening, (2) welke logging van toegang en gebruik van de voorziening moet plaatsvinden en (3) hoe en wanneer audits plaatsvinden ter controle van de gemaakte afspraken.

In deze ‘Identiteitenfederatie’ worden gebruikers geregistreerd in het IdM-systeem van de eigen organisatie. Deze gegevens worden beschikbaar gesteld aan de IDP (Identity Provider) van de eigen organisatie. Zodra een medewerker van de eigen organisatie toegang wil hebben tot het systeem (Service Provider) van de leverende organisatie wordt deze eerst doorverwezen naar de eigen organisatie om zich te identificeren en te authentiseren bij de eigen IDP. Bij succesvolle authenticatie wordt toegang verleend tot het systeem van de leverende organisatie. SP’s kunnen daarbij eenvoudiger worden geconfigureerd om met meerdere IDP’s van verschillende organisaties te communiceren.

Standaarden

Onderstaande illustratie geeft een voorbeeldimplementatie die gebruik maakt van de SAML-standaard:

federatie 2

 

Deze wijze van organiseren vereist wel dat organisaties elkaar (voldoende) vertrouwen. Organisaties maken daarom altijd onderling afspraken, al of niet afgedwongen door techniek, over (1) welke identiteitenregistraties worden vertrouwd voor toegang tot een voorziening, (2) welke logging van toegang en gebruik van de voorziening moet plaatsvinden en (3) hoe en wanneer audits plaatsvinden ter controle van de gemaakte afspraken.

Identiteitenfederatie kan op zeer veel verschillende manieren worden geïmplementeerd. Belangrijk is daarbij om zoveel mogelijk gebruik te maken van (open) standaarden. Iedere leverancier van voorzieningen die zich aan deze standaarden conformeert, maakt het federatief gebruik van deze voorziening voor andere organisaties een stuk eenvoudiger. Bekende voorbeelden van standaarden en frameworks zijn SAML, OpenID Connect en OAuth.

Het vormen van een federatie, een bond van samenwerkende organisaties, beperkt zich niet alleen tot IdM; ook AUM en AM kan men federatief organiseren.

Helaas zijn er nog geen standaarden voor het uitwisselen van types attributen en betreffende attribuutwaarden. Deze worden nu direct tussen IDP- en SP-partij afgestemd en zijn vaak situatiespecifiek. Eenmaal gemaakte afspraken worden vastgelegd in een convenant, als onderdeel van ‘Toegangsafspraken Management’.

Machtiging

Een machtiging is de toestemming om een gemachtigde namens de machtigingsverstrekker bepaalde handelingen te laten verrichten. Vanuit het functionele toegangsgebruikperspectief maakt de gemachtigde gebruik van de voorziening door zichzelf eerst te identificeren en te authentiseren. Daarna dient de gemachtigde geautoriseerd te worden met de autorisaties die aan de machtiging zijn verbonden om zo de voorziening namens de machtigingsgever te kunnen gebruiken. Toegangsmanagement moet niet alleen voor de machtigingsverstrekker maar ook voor de gemachtigde worden ingericht. Daarnaast dienen machtigingsverstrekker, gemachtigde en de betrokken organisatie(s) heldere afspraken te maken over de inhoud van de machtiging: het toegangsafspraken management.

Het proces om de machtiging vast te leggen is in essentie een bijzondere vorm van het proces van het vastleggen van autorisaties (bevoegd gezag vs machtigingsverstrekker). Bij het gebruik van de machtiging door gemachtigde dient te worden gecontroleerd of de machtiging verstrekt door de machtigingsverstrekker aan de gemachtigde (nog steeds) valt binnen de autorisaties die zijn verstrekt door bevoegd gezag aan de machtigingsverstrekker. Bij federatie kan deze laatste taak ook dynamisch door toegangsgebruik worden uitgevoerd o.b.v. attributen.

Autorisatiemanagement

Het autorisatiemodel

Het basisuitgangspunt bij het opstellen van dit autorisatiemodel is de scheiding van de rollen bevoegd gezag, rolmanager en autorisatiemanager. Deze basis is belangrijk omdat deze rollen binnen het autorisatiemanagement van organisaties door verschillende functionarissen worden uitgevoerd.

Tijdens de realisatie, de implementatie en het beheer van een systeem (applicatie) hebben de ontwikkel-, implementatie- en beheerteams in de rol van “Autorisatiemanager” de taak om de relevante systeemrollen/policies te groeperen in handzame activiteitrollen. Een activiteitrol is altijd precies gekoppeld aan één systeem. Een activiteitrol is de kleinste eenheid waarop men van buitenaf autorisaties in het systeem wil differentiëren.

Medewerkers in een specifieke bedrijfsrol gebruiken meerdere systemen voor het uitvoeren van de daarbij behorende werkzaamheden. Het is de taak van de rolmanager om de verschillende activiteitrollen per systeem te combineren tot een bedrijfsrol.

Managers van medewerkers krijgen deze bedrijfsrol van hun “bevoegd gezag”. In deze rol zorgt de manager dat zijn medewerkers de juiste autorisaties krijgen om hun werk te kunnen uitvoeren. De medewerker wordt door de manager aan de juiste bedrijfsrollen gekoppeld.

Het koppelen van bedrijfsrollen aan de medewerker door de manager is in essentie een continue proces. De werkzaamheden van de rolmanager en de autorisatiemanager in deze context kunnen releasematig worden uitgevoerd.

federatie 3

Types bedrijfsrollen

Er worden op dit moment vier verschillende types bedrijfsrollen onderscheiden. In de toekomst kan dit lijstje eventueel worden uitgebreid, denk aan deelname aan de Ondernemingsraad. Rollen hebben in essentie nooit te maken met specifieke autorisaties.

Functierol

Functierollen bevatten alle autorisaties om de werkzaamheden binnen een dienstverband te kunnen uitvoeren. Om dat in de regel een persoonmaar één dienstverband heeft, krijgt hij daarom maar één functierol. Er zijn natuurlijk altijd uitzonderingen op de regel. Een klein percentage van de medewerkers heeft meer dan één dienstverband. Daarnaast kan het voorkomen dat iemand tijdelijk een functie van iemand anders moet overnemen, bijvoorbeeld vanwege vakantie. De functie waar we het hier over hebben hoeft niet perse een HR-functie te zijn. HR heeft namelijk vaak zijn eigen logica om functies in te delen in verband met salarisschalen. Waar we het hier over hebben, zijn de functie-indelingen waar de afdelingen waar die wordt uitgevoerd zelf mee werken.

Taakrol

Taakrollen bevatten autorisaties die noodzakelijk zijn om een bepaalde taak uit te voeren. Het gaat hier om taken die:

  • niet standaard onderdeel vormen van een bepaalde functie, of
  • die iemand uitvoert naast zijn functie

Projectrol

Projectrollen bevatten autorisaties om werkzaamheden in een project te kunnen uitvoeren. Projectrollen zijn altijd tijdelijk en worden aangemaakt als een project daar behoefte aan heeft. Een projectmanager stelt zelf de voor het project benodigde rollen vast. Projectmedewerkers kunnen via projectrollen  de benodigde autorisaties krijgen, naast hun andere werkzaamheden.

Organisatierol

Organisatierollen bevatten alle autorisaties die worden toegekend aan iedereen die werkt voor een bepaald organisatieonderdeel. Dit kan een specifieke afdeling zijn, maar ook een heel organisatieonderdeel.

Rolnaamgevingsconventie

In essentie gaat het er om dat de naam van een rol voor de leidinggevenden in de business duidelijk verwoordt wat de bedoeling is van de rol. De rolnaam bestaat daarom altijd uit heldere businesstermen. Deze businesstermen worden dan ook bepaald door de business zelf. Het format van een naam van de rol wordt door de beheerorganisatie bepaald, om zo uniformiteit van rolnamen te waarborgen, bijv. t.b.v. de catalogusfunctionaliteit.

Enkele opmerkingen bij het autorisatiemodel

Granulariteit

De juiste granulariteit van bedrijfsrollen en activiteitrollen is de kunst van een goed ontwerp. Dit model staat alle extremen van granulariteit toe. Voor een beheersbaar autorisatiesysteem dient men bedrijfsrollen en activiteitrollen te beperken (Keep It Simple) zonder dat dat medewerkers onnodig ruim worden geautoriseerd. Door echter het eigenaarschap en beheer van rollen bij de leidinggevende in de business te leggen, wordt het argument van het beperken van ‘grote hoeveelheid’ rollen weer grotendeels teniet gedaan. Daarnaast dient de inhoud en de naamgeving van rollen altijd begrijpelijk te zijn voor de leidinggevenden in de business. Het maken van de afweging om tot de juiste granulariteit is en blijft dan ook een businesszaak.

Scope autorisatiemanagement systeem

Voor een goed overzicht van welke rechten het bevoegd gezag heeft uitgegeven, gaat er de voorkeur naar uit om in één geautomatiseerd systeem de relaties tussen medewerker, bedrijfsrollen en activiteitrollen te administreren. De scope van het IAM-systeem wordt daarmee bepaald door de reikwijdte van bevoegd gezag. De relatie tussen activiteit en systeemrol kan in het specifieke informatiesysteem zelf worden geadministreerd.

federatie 4

 

RBAC, ABAC, CBAC en PAM

[1] RBAC is Role Based Access Control: Kenmerk van RBAC is dat individuen niet rechtstreeks worden geautoriseerd in informatiesystemen, maar dat ze uitsluitend rechten krijgen door een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Ook de permissies op objecten/functies in informatiesystemen kunnen worden gegroepeerd in rollen. (Wikipedia)

[2] Attribute-Based Access Control: het verlenen van toegang tot applicaties en andere diensten op basis van attributen of eigenschappen die iets zeggen over het subject, de context en het object. De attributen worden tijdens een actie vergeleken met een apart overzicht met richtlijnen om te bepalen wat voor handeling het subject met het object mag verrichten. ABAC kan in samenhang met Entitlement management en XACML worden beschouwd. (robvanderstaaij.nl)

[3] Claims-Based Access Control: het verlenen van toegang tot applicaties en andere diensten op basis van een zogenaamde claim of assertion (zie daar) waarbij een derde partij instaat voor de authenticiteit van de aanvrager van de toegang of dienst. CBAC kan in samenhang met SAML (zie daar) worden beschouwd en kan worden gecombineerd met RBAC (zie daar). Overigens is de afkorting CBAC niet eenduidig, omdat daarnaast de varianten context-based access control en content-based access control bestaan. (robvanderstaaij.nl)

[4] PAM-functies betreft het loggen, monitoren of opnemen van gebruikersactiviteiten. Dit wordt normaal gesproken toegepast bij bijvoorbeeld impactvolle of riskante beheeractiviteiten, maar zou ook voor het benaderen van gevoelige data in reguliere gebruikersomgevingen kunnen worden toegepast.

Magazine AG Connect

Van dit artikel is een verkorte versie gepubliceerd in het magazine van AG Connect (maartnummer, 2019). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.