Delen via


Basisconcepten voor identiteits- en toegangsbeheer (IAM)

Dit artikel bevat fundamentele concepten en terminologie om u te helpen inzicht te krijgen in identiteits- en toegangsbeheer (IAM).

Wat is identiteits- en toegangsbeheer (IAM)?

Identiteits- en toegangsbeheer zorgt ervoor dat de juiste personen, machines en softwareonderdelen op het juiste moment toegang krijgen tot de juiste resources. Ten eerste bewijst de persoon, machine of software dat ze zijn wie of wat ze beweren te zijn. Vervolgens is de persoon, machine of softwareonderdeel toegang tot of gebruik van bepaalde resources toegestaan of geweigerd.

Hier volgen enkele fundamentele concepten om inzicht te krijgen in identiteits- en toegangsbeheer:

Identiteit

Een digitale identiteit is een verzameling unieke id's of kenmerken die een menselijk, softwareonderdeel, machine, asset of resource in een computersysteem vertegenwoordigen. Een id kan het volgende zijn:

  • Een e-mailadres
  • Aanmeldingsreferenties (gebruikersnaam/wachtwoord)
  • Bankrekeningnummer
  • Door de overheid uitgegeven id
  • MAC-adres of IP-adres

Identiteiten worden gebruikt voor het verifiëren en autoriseren van toegang tot resources, communiceren met andere mensen, transacties en andere doeleinden.

Op hoog niveau zijn er drie typen identiteiten:

  • Menselijke identiteiten vertegenwoordigen personen zoals werknemers (interne werknemers en frontlinewerkers) en externe gebruikers (klanten, consultants, leveranciers en partners).
  • Workloadidentiteiten vertegenwoordigen softwareworkloads , zoals een toepassing, service, script of container.
  • Apparaatidentiteiten vertegenwoordigen apparaten zoals desktopcomputers, mobiele telefoons, IoT-sensoren en door IoT beheerde apparaten. Apparaatidentiteiten verschillen van menselijke identiteiten.

Authenticatie

Verificatie is het proces van het uitdagen van een persoon, softwareonderdeel of hardwareapparaat voor referenties om hun identiteit te verifiëren of te bewijzen dat ze zijn wie of wat ze beweren te zijn. Verificatie vereist doorgaans het gebruik van referenties (zoals gebruikersnaam en wachtwoord, vingerafdrukken, certificaten of eenmalige wachtwoordcodes). Verificatie wordt soms ingekort tot AuthN.

Meervoudige verificatie (MFA) is een beveiligingsmaatregel die vereist dat gebruikers meer dan één stuk bewijs verstrekken om hun identiteiten te verifiëren, zoals:

  • Iets wat ze weten, bijvoorbeeld een wachtwoord.
  • Iets wat ze hebben, zoals een badge of beveiligingstoken.
  • Iets wat ze zijn, zoals een biometrische waarde (vingerafdruk of gezicht).

Met eenmalige aanmelding (SSO) kunnen gebruikers hun identiteit eenmaal verifiëren en vervolgens later op de achtergrond verifiëren bij toegang tot verschillende resources die afhankelijk zijn van dezelfde identiteit. Zodra het IAM-systeem is geverifieerd, fungeert het IAM-systeem als de bron van identiteitswaarheid voor de andere resources die beschikbaar zijn voor de gebruiker. Hiermee hoeft u zich niet meer aan te melden bij meerdere, afzonderlijke doelsystemen.

Machtiging

Autorisatie valideert dat het gebruikers-, computer- of softwareonderdeel toegang heeft gekregen tot bepaalde resources. Autorisatie wordt soms ingekort tot AuthZ.

Verificatie versus autorisatie

De termenverificatie en autorisatie worden soms door elkaar gebruikt, omdat ze vaak één ervaring voor gebruikers lijken. Ze zijn eigenlijk twee afzonderlijke processen:

  • Verificatie bewijst de identiteit van een gebruiker, machine of softwareonderdeel.
  • Autorisatie verleent of weigert de toegang van de gebruiker, computer of softwareonderdeel tot bepaalde resources.

Diagram met verificatie en autorisatie naast elkaar.

Hier volgt een kort overzicht van verificatie en autorisatie:

Authenticatie Machtiging
Kan worden beschouwd als gatekeeper, zodat alleen toegang wordt geboden tot entiteiten die geldige referenties opgeven. Kan worden beschouwd als een bewaker, zodat alleen die entiteiten met de juiste klaring bepaalde gebieden kunnen binnengaan.
Controleert of een gebruiker, machine of software wie of wat ze beweren te zijn. Bepaalt of de gebruiker, computer of software toegang heeft tot een bepaalde resource.
Uitdagingen voor de gebruiker, computer of software voor verifieerbare referenties (bijvoorbeeld wachtwoorden, biometrische id's of certificaten). Bepaalt welk toegangsniveau een gebruiker, computer of software heeft.
Klaar voor autorisatie. Voltooid na geslaagde verificatie.
Informatie wordt overgebracht in een id-token. Informatie wordt overgebracht in een toegangstoken.
Maakt vaak gebruik van het OpenID Connect (OIDC) (dat is gebouwd op het OAuth 2.0-protocol) of SAML-protocollen. Vaak wordt het OAuth 2.0-protocol gebruikt.

Lees verificatie versus autorisatie voor meer gedetailleerde informatie.

Voorbeeld

Stel dat u de nacht in een hotel wilt doorbrengen. U kunt verificatie en autorisatie beschouwen als het beveiligingssysteem voor het hotelgebouw. Gebruikers zijn mensen die in het hotel willen verblijven, resources zijn de kamers of gebieden die mensen willen gebruiken. Hotelpersoneel is een ander type gebruiker.

Als u in het hotel verblijft, gaat u eerst naar de receptie om het verificatieproces te starten. U toont een identificatiekaart en creditcard en de receptioniste komt overeen met uw id bij de online reservering. Nadat de receptioniste heeft geverifieerd wie u bent, verleent de receptioniste u toestemming om toegang te krijgen tot de ruimte die u hebt toegewezen. U krijgt een keycard en kunt nu naar uw kamer gaan.

Diagram met een persoon met identificatie om een hotelsleutelcard op te halen.

De deuren naar de hotelkamers en andere gebieden hebben keycardsensoren. Het swipen van de keycard vóór een sensor is het 'autorisatieproces'. Met de keycard kunt u alleen de deuren openen voor kamers die u mag openen, zoals uw hotelkamer en de fitnessruimte van het hotel. Als u uw keycard swipet om een andere hotelkamer in te voeren, wordt uw toegang geweigerd.

Afzonderlijke machtigingen, zoals toegang tot de vergaderruimte en een specifieke gastruimte, worden verzameld in rollen die kunnen worden verleend aan afzonderlijke gebruikers. Wanneer u in het hotel verblijft, krijgt u de rol Hotel Patron. Het personeel van de roomservice zou de functie Hotel Room Service krijgen. Deze rol staat toegang toe tot alle hotelkamers (maar slechts tussen 11:00 en 16:00), de wasruimte en de voorraadkasten op elke verdieping.

Diagram met een gebruiker die toegang krijgt tot een ruimte met een keycard.

Id-provider

Een id-provider maakt, onderhoudt en beheert identiteitsgegevens tijdens het aanbieden van verificatie-, autorisatie- en controleservices.

Diagram met een identiteitspictogram tussen cloud-, werkstation-, mobiele en databasepictogrammen.

Met moderne verificatie worden alle services, inclusief alle verificatieservices, geleverd door een centrale id-provider. Informatie die wordt gebruikt om de gebruiker met de server te verifiëren, wordt opgeslagen en centraal beheerd door de id-provider.

Met een centrale id-provider kunnen organisaties verificatie- en autorisatiebeleid instellen, gebruikersgedrag bewaken, verdachte activiteiten identificeren en schadelijke aanvallen verminderen.

Microsoft Entra is een voorbeeld van een identiteitsprovider in de cloud. Andere voorbeelden zijn X, Google, Amazon, LinkedIn en GitHub.

Volgende stappen