Delen via

Wat is identiteits- en toegangsbeheer (IAM)?

  • Artikel

In dit artikel leert u enkele van de fundamentele concepten van identiteits- en toegangsbeheer (IAM), waarom dit belangrijk is en hoe het werkt.

Identiteits- en toegangsbeheer zorgt ervoor dat de juiste personen, machines en softwareonderdelen op het juiste moment toegang krijgen tot de juiste resources. Ten eerste bewijst de persoon, de machine of het softwareonderdeel dat ze zijn wie of wat ze beweren te zijn. Vervolgens wordt de persoon, machine of het softwareonderdeel toegang tot of het gebruik van bepaalde resources toegestaan of geweigerd.

Zie Basisprincipes van identiteiten voor meer informatie over de basistermen en -concepten.

Wat doet IAM?

IAM-systemen bieden doorgaans de volgende kernfunctionaliteit:

  • Identiteitsbeheer : het proces voor het maken, opslaan en beheren van identiteitsgegevens. Id-providers (IdP) zijn softwareoplossingen die worden gebruikt voor het bijhouden en beheren van gebruikersidentiteiten, evenals de machtigingen en toegangsniveaus die aan deze identiteiten zijn gekoppeld.

  • Identiteitsfederatie : u kunt gebruikers die al wachtwoorden elders hebben (bijvoorbeeld in uw bedrijfsnetwerk of met een internet- of sociale id-provider) toegang geven tot uw systeem.

  • Inrichting en ongedaan maken van inrichting van gebruikers : het proces voor het maken en beheren van gebruikersaccounts, waaronder het opgeven van welke gebruikers toegang hebben tot welke resources en het toewijzen van machtigingen en toegangsniveaus.

  • Verificatie van gebruikers : verifieer een gebruiker, computer of softwareonderdeel door te bevestigen dat ze zijn wie of wat ze zeggen dat ze zijn. U kunt meervoudige verificatie (MFA) toevoegen voor afzonderlijke gebruikers voor extra beveiliging of eenmalige aanmelding (SSO), zodat gebruikers hun identiteit kunnen verifiëren met één portal in plaats van veel verschillende resources.

  • Autorisatie van gebruikers : autorisatie zorgt ervoor dat een gebruiker het exacte niveau en het type toegang krijgt tot een hulpprogramma waar ze recht op hebben. Gebruikers kunnen ook worden verdeeld in groepen of rollen, zodat grote cohorten van gebruikers dezelfde bevoegdheden kunnen krijgen.

  • Toegangsbeheer : het proces waarbij wordt bepaald wie of wat toegang heeft tot welke resources. Dit omvat het definiëren van gebruikersrollen en machtigingen, evenals het instellen van verificatie- en autorisatiemechanismen. Toegangsbeheer regelt de toegang tot systemen en gegevens.

  • Rapporten en bewaking : genereer rapporten na acties die op het platform zijn uitgevoerd (zoals aanmeldingstijd, toegang tot systemen en type verificatie) om naleving te garanderen en beveiligingsrisico's te beoordelen. Krijg inzicht in de beveiligings- en gebruikspatronen van uw omgeving.

Hoe IAM werkt

In deze sectie vindt u een overzicht van het verificatie- en autorisatieproces en de meer algemene standaarden.

Resources verifiëren, autoriseren en openen

Stel dat u een toepassing hebt die een gebruiker aanmeldt en vervolgens toegang krijgt tot een beveiligde resource.

Diagram met het gebruikersverificatie- en autorisatieproces voor toegang tot een beveiligde resource met behulp van een id-provider.

  1. De gebruiker (resource-eigenaar) initieert een verificatieaanvraag bij de id-provider/autorisatieserver vanuit de clienttoepassing.

  2. Als de referenties geldig zijn, stuurt de id-provider/autorisatieserver eerst een id-token met informatie over de gebruiker terug naar de clienttoepassing.

  3. De id-provider/autorisatieserver verkrijgt ook toestemming van de eindgebruiker en verleent de clienttoepassing autorisatie voor toegang tot de beveiligde resource. Autorisatie wordt opgegeven in een toegangstoken, dat ook wordt teruggestuurd naar de clienttoepassing.

  4. Het toegangstoken wordt gekoppeld aan volgende aanvragen die vanuit de clienttoepassing naar de beveiligde bronserver worden gedaan.

  5. De id-provider/autorisatieserver valideert het toegangstoken. Als dit lukt, wordt de aanvraag voor beveiligde resources verleend en wordt er een antwoord teruggestuurd naar de clienttoepassing.

Lees Verificatie en autorisatie voor meer informatie.

Verificatie- en autorisatiestandaarden

Dit zijn de meest bekende en veelgebruikte verificatie- en autorisatiestandaarden:

OAuth 2.0

OAuth is een open-standaarden protocol voor identiteitsbeheer dat beveiligde toegang biedt voor websites, mobiele apps en Internet of Things en andere apparaten. Het maakt gebruik van tokens die onderweg zijn versleuteld en elimineert de noodzaak om referenties te delen. OAuth 2.0, de nieuwste versie van OAuth, is een populair framework dat wordt gebruikt door grote sociale mediaplatforms en consumentenservices, van Facebook en LinkedIn tot Google, PayPal en Netflix. Lees het OAuth 2.0-protocol voor meer informatie.

OpenID Connect (OIDC)

Met de release van OpenID Connect (die gebruikmaakt van versleuteling met openbare sleutels), werd OpenID een veelgebruikte verificatielaag voor OAuth. Net als SAML wordt OpenID Connect (OIDC) veel gebruikt voor eenmalige aanmelding (SSO), maar OIDC gebruikt REST/JSON in plaats van XML. OIDC is ontworpen om te werken met zowel systeemeigen als mobiele apps met behulp van REST/JSON-protocollen. De primaire use-case voor SAML is echter web-apps. Lees het OpenID Connect-protocol voor meer informatie.

JSON-webtokens (JWT's)

JWT's zijn een open standaard die een compacte en onafhankelijke manier definieert voor het veilig verzenden van informatie tussen partijen als een JSON-object. JWT's kunnen worden geverifieerd en vertrouwd omdat ze digitaal zijn ondertekend. Ze kunnen worden gebruikt om de identiteit van geverifieerde gebruikers door te geven tussen de id-provider en de service die de verificatie aanvraagt. Ze kunnen ook worden geverifieerd en versleuteld. Lees JSON-webtokens voor meer informatie.

Security Assertion Markup Language (SAML)

SAML is een open standaard die wordt gebruikt voor het uitwisselen van verificatie- en autorisatiegegevens tussen, in dit geval, een IAM-oplossing en een andere toepassing. Deze methode maakt gebruik van XML om gegevens te verzenden en is doorgaans de methode die wordt gebruikt door identiteits- en toegangsbeheerplatformen om gebruikers de mogelijkheid te bieden zich aan te melden bij toepassingen die zijn geïntegreerd met IAM-oplossingen. Lees SAML-protocol voor meer informatie.

Systeem voor Cross-Domain Identity Management (SCIM)

SciM-inrichting is gemaakt om het proces van het beheren van gebruikersidentiteiten te vereenvoudigen en stelt organisaties in staat efficiënt te werken in de cloud en eenvoudig gebruikers toe te voegen of te verwijderen, budgetten te profiteren, risico's te verminderen en werkstromen te stroomlijnen. SCIM faciliteert ook communicatie tussen cloudtoepassingen. Lees Inrichting voor een SCIM-eindpunt ontwikkelen en plannen voor meer informatie.

Web Services Federation (WS-Fed)

WS-Fed door Microsoft is ontwikkeld en uitgebreid wordt gebruikt in hun toepassingen, definieert deze standaard de manier waarop beveiligingstokens tussen verschillende entiteiten kunnen worden vervoerd om identiteits- en autorisatiegegevens uit te wisselen. Lees Web Services Federation Protocol voor meer informatie.

Volgende stappen

Raadpleeg voor meer informatie: