Wat is identiteits- en toegangsbeheer (IAM)?
In dit artikel leert u enkele van de fundamentele concepten van Identiteits- en toegangsbeheer (IAM), waarom het belangrijk is en hoe het werkt.
Identiteits- en toegangsbeheer zorgt ervoor dat de juiste personen, machines en softwareonderdelen op het juiste moment toegang krijgen tot de juiste resources. Ten eerste bewijst de persoon, machine of software dat ze zijn wie of wat ze beweren te zijn. Vervolgens is de persoon, machine of softwareonderdeel toegang tot of gebruik van bepaalde resources toegestaan of geweigerd.
Zie Basisbeginselen van identiteiten voor meer informatie over de basistermen en -concepten.
Wat doet IAM?
IAM-systemen bieden doorgaans de volgende kernfunctionaliteit:
Identiteitsbeheer : het proces voor het maken, opslaan en beheren van identiteitsgegevens. IdP (IdP) zijn softwareoplossingen die worden gebruikt voor het bijhouden en beheren van gebruikersidentiteiten, evenals de machtigingen en toegangsniveaus die aan deze identiteiten zijn gekoppeld.
Identiteitsfederatie : u kunt gebruikers die elders al wachtwoorden hebben (bijvoorbeeld in uw bedrijfsnetwerk of met een internet- of sociale id-provider) toegang geven tot uw systeem.
Inrichting en ongedaan maken van inrichting van gebruikers : het proces voor het maken en beheren van gebruikersaccounts, waaronder het opgeven van welke gebruikers toegang hebben tot welke resources en het toewijzen van machtigingen en toegangsniveaus.
Verificatie van gebruikers : verifieer een gebruiker, machine of softwareonderdeel door te bevestigen dat ze zijn wie of wat ze zeggen dat ze zijn. U kunt meervoudige verificatie (MFA) toevoegen voor afzonderlijke gebruikers voor extra beveiliging of eenmalige aanmelding (SSO), zodat gebruikers hun identiteit kunnen verifiëren met één portal in plaats van veel verschillende resources.
Autorisatie van gebruikers - Autorisatie zorgt ervoor dat een gebruiker het exacte niveau en het type toegang krijgt tot een hulpprogramma waarvoor ze recht hebben. Gebruikers kunnen ook worden verdeeld in groepen of rollen, zodat grote cohorten van gebruikers dezelfde bevoegdheden kunnen krijgen.
Toegangsbeheer : het proces voor het bepalen van wie of wat toegang heeft tot welke resources. Dit omvat het definiëren van gebruikersrollen en machtigingen, evenals het instellen van verificatie- en autorisatiemechanismen. Toegangsbeheer regelt de toegang tot systemen en gegevens.
Rapporten en bewaking : genereer rapporten na acties die zijn uitgevoerd op het platform (zoals aanmeldingstijd, systemen die worden geopend en het type verificatie) om naleving te garanderen en beveiligingsrisico's te beoordelen. Krijg inzicht in de beveiligings- en gebruikspatronen van uw omgeving.
Hoe IAM werkt
In deze sectie vindt u een overzicht van het verificatie- en autorisatieproces en de meer algemene standaarden.
Resources verifiëren, autoriseren en openen
Stel dat u een toepassing hebt die zich aanmeldt bij een gebruiker en vervolgens toegang krijgt tot een beveiligde resource.
De gebruiker (resource-eigenaar) initieert een verificatieaanvraag met de id-provider/autorisatieserver van de clienttoepassing.
Als de referenties geldig zijn, verzendt de id-provider/autorisatieserver eerst een id-token met informatie over de gebruiker terug naar de clienttoepassing.
De id-provider/autorisatieserver verkrijgt ook toestemming van eindgebruikers en verleent de clienttoepassing autorisatie voor toegang tot de beveiligde resource. Autorisatie wordt geleverd in een toegangstoken, dat ook wordt teruggestuurd naar de clienttoepassing.
Het toegangstoken wordt vanuit de clienttoepassing gekoppeld aan volgende aanvragen die zijn ingediend bij de beveiligde resourceserver.
De id-provider/autorisatieserver valideert het toegangstoken. Als de aanvraag voor beveiligde resources is verleend en er een antwoord wordt teruggestuurd naar de clienttoepassing.
Lees verificatie en autorisatie voor meer informatie.
Verificatie- en autorisatiestandaarden
Dit zijn de meest bekende en veelgebruikte verificatie- en autorisatiestandaarden:
OAuth 2.0
OAuth is een open-standaarden identiteitsbeheerprotocol dat beveiligde toegang biedt voor websites, mobiele apps en Internet of Things en andere apparaten. Het maakt gebruik van tokens die tijdens overdracht zijn versleuteld en elimineert de noodzaak om referenties te delen. OAuth 2.0, de nieuwste versie van OAuth, is een populair framework dat wordt gebruikt door belangrijke sociale mediaplatforms en consumentenservices, van Facebook en LinkedIn naar Google, PayPal en Netflix. Lees voor meer informatie over het OAuth 2.0-protocol.
OpenID Connect (OIDC)
Met de release van de OpenID-Verbinding maken (die gebruikmaakt van versleuteling van openbare sleutels), werd OpenID een veelgebruikte verificatielaag voor OAuth. Net als SAML wordt OpenID Verbinding maken (OIDC) veel gebruikt voor eenmalige aanmelding (SSO), maar OIDC maakt gebruik van REST/JSON in plaats van XML. OIDC is ontworpen om te werken met zowel systeemeigen als mobiele apps met behulp van REST/JSON-protocollen. De primaire use case voor SAML is echter web-apps. Lees voor meer informatie over openID Verbinding maken protocol.
JSON-webtokens (JWT's)
JWT's zijn een open standaard die een compacte en zelfstandige manier definieert voor het veilig verzenden van informatie tussen partijen als een JSON-object. JWT's kunnen worden geverifieerd en vertrouwd omdat ze digitaal zijn ondertekend. Ze kunnen worden gebruikt om de identiteit van geverifieerde gebruikers door te geven tussen de id-provider en de service die de verificatie aanvraagt. Ze kunnen ook worden geverifieerd en versleuteld. Lees JSON-webtokens voor meer informatie.
Security Assertion Markup Language (SAML)
SAML is een open standaard die wordt gebruikt voor het uitwisselen van verificatie- en autorisatiegegevens tussen in dit geval een IAM-oplossing en een andere toepassing. Deze methode maakt gebruik van XML voor het verzenden van gegevens en is doorgaans de methode die wordt gebruikt door identiteits- en toegangsbeheerplatforms om gebruikers de mogelijkheid te bieden zich aan te melden bij toepassingen die zijn geïntegreerd met IAM-oplossingen. Lees het SAML-protocol voor meer informatie.
Systeem voor Cross-Domain Identity Management (SCIM)
Met SCIM-inrichting kunnen organisaties efficiënt werken in de cloud en eenvoudig gebruikers toevoegen of verwijderen, budgetten verbeteren, risico's verminderen en werkstromen stroomlijnen om het proces van het beheren van gebruikersidentiteiten te vereenvoudigen. SCIM vereenvoudigt ook de communicatie tussen cloudtoepassingen. Lees ontwikkelen en plannen voor een SCIM-eindpunt voor meer informatie.
Web Services Federation (WS-Fed)
WS-Fed is ontwikkeld door Microsoft en wordt uitgebreid gebruikt in hun toepassingen. Deze standaard definieert de manier waarop beveiligingstokens tussen verschillende entiteiten kunnen worden vervoerd om identiteits- en autorisatiegegevens uit te wisselen. Lees Web Services Federation Protocol voor meer informatie.
Volgende stappen
Raadpleeg voor meer informatie: