Afbeelding
Icoon dataverkeer

Identity & Access Management

Identity & Access Management:  veilige toegang tot bedrijfsapplicaties

Identity & Access Management (IAM) zorgt voor veilige toegang tot een applicatie door elk persoon en elk apparaat telkens te controleren. Controleren op wie de gebruiker is, wat de gebruiker mag en welke gegevens beschikbaar zijn. De ministeries van EZ, KGG en LVVN hebben hiervoor standaard IAM-bouwstenen ontwikkeld en bieden deze als dienst centraal en gezamenlijk aan aan bedrijfsapplicatie-eigenaren binnen deze ministeries. 

De kern van IAM

Als een medewerker ’s morgens zijn werkplek wil opstarten, begint deze met inloggen door het opgeven van een gebruikersnaam en bijbehorend wachtwoord. Vanuit het internet is een extra tweede factor OTP (one time password) verplicht. Daarna start Outlook op met de inhoud van de eigen mailbox. Dit raakt de kern van Identity & Access Management (IAM). Het opgeven van de gebruikersnaam is identificatie (zeggen wie je bent), het invullen van het wachtwoord is authenticatie (bewijzen dat je bent wie je zegt te zijn) en het verkrijgen van toegang tot de applicatie Outlook en daarbinnen tot de eigen gegevens is autorisatie. Met audittrailing vindt controle van de authenticatie en autorisatie achteraf plaats.

Belang van IAM

Voldoen aan BIO- en AVG-voorwaarden

Voor de continuïteit van de dienstverlening is informatiebeveiliging cruciaal. Met de aansluiting van een bedrijfsapplicatie op de IAM-diensten voldoet deze eenvoudig aan een aantal eisen vanuit de Baseline Informatiebeveiliging Overheid (BIO). Ook voldoet het gebruik van identiteitsgegevens van medewerkers binnen alle IAM-diensten aan de AVG.

Zero Trust

Daarnaast maakt IAM Zero Trustbeveiliging mogelijk. Zero Trust is het concept waarbij het systeem niets vertrouwt en alles controleert. Of het nu binnen of buiten de grenzen van een organisatie gebeurt. IAM controleert wie en wat verbinding probeert te maken en wat de rechten van die persoon of machine zijn. En dit elke keer opnieuw. 

Voordelen

  • IAM maakt Zero Trust mogelijk.
  • Toegang en autorisatie via IAM is BIO- en AVG-compliant.
  • Eigen authenticatie- of autorisatie-functionaliteit niet nodig.
  • Geen authenticatie- of autorisatiebeheer nodig in de applicatie.
  • Zelf meer in control wie wat mag in de bedrijfsapplicatie.
  • Geautomatiseerd beheer van medewerkers accounts, toegang en autorisaties.

Centrale IAM-diensten

Iedere bedrijfsapplicatie moet voldoen aan de BIO en AVG op IAM-gebied. Dit vraagt een inspanning en investering van iedere bedrijfsapplicatie-eigenaar. Daarom bieden de ministeries van EZ, KGG en LVVN deze IAM-diensten centraal en gezamenlijk aan. Zo kunt u uw bedrijfsapplicatie eenvoudig BIO- en AVG-proof maken.

Beschrijving IAM-diensten

De dienst Identity & Access Management bestaat uit drie onderdelen.  

Hoe werkt authenticatie via deze IAM-dienst? Om toegang te krijgen tot een applicatie vindt allereerst controle plaats op de digitale identiteit van de medewerker. Deze controle op identiteit (authenticatie) gebeurt door de DICTU Identity Provider (IDP). De DICTU IDP controleert de digitale identiteit van alle EZK en LNV gebruikers aan de hand van:

  • Inlognaam
  • Wachtwoord
  • Tweede factor met een authenticator app (voor inloggen vanuit een onvertrouwd netwerk)

Toegang verlenen gaat op basis van drie criteria: iets wat je weet, iets wat je hebt of iets wat je bent. Het wachtwoord is iets wat je weet.  Een One Time Password wordt gegenereerd met een app op een apparaat dat je hebt ( bv een smartphone of laptop). We noemen dat de tweede factor. Iets wat je bent (vingerafdruk, iris scan) wordt nu alleen indirect toegepast, bijvoorbeeld bij het ontgrendelen van je telefoon. Zelf authenticatiemiddelen ontwikkelen is niet meer nodig. Deze zijn namelijk al als bouwsteen beschikbaar. 

Sneller en veiliger met Single Sign-on

Door aan te sluiten op de DICTU IDP kun je ook meteen gebruik maken van Single Sign-on inloggen Dit betekent dat een gebruiker nog maar één login en wachtwoord nodig heeft en vervolgens automatisch op verschillende bedrijfsapplicaties in kan loggen. De Rijksbrede bedrijfsapplicaties zoals Rijksportaal, P-Direkt en Samenwerkruimten zijn ook op de DICTU IDP aangesloten. Apart inloggen is niet meer nodig. Hierdoor kunnen medewerkers sneller en veiliger werken want medewerkers hoeven nog maar één login en wachtwoord te houden.

Door de inrichting van een bevoegdhedenbeheer systeem ontstaat grip op toegekende autorisaties. DICTU en directie Bedrijfsvoering werken samen aan een centraal bevoegdhedenbeheersysteem. Het maakt het aanvragen, toekennen en beheren van autorisaties op basis van bevoegdheden veel eenvoudiger. Het creëert met een druk op de knop een overzicht van de toegekende autorisaties. Een bevoegde medewerker bepaalt de bevoegdheden van andere medewerkers aan de hand van rollen (=een functie) of attributen (=een kenmerk, bv een locatie). Het nieuwe bevoegdheden­beheer­systeem vertaalt deze naar autorisaties. Zo krijgen medewerkers rechten tot bedrijfsapplicaties. Verandert een medewerker van rol dan veranderen autorisaties automatisch mee. Dit bespaart veel tijd want zo is handmatig doorvoeren van aanpassingen uiteindelijk nergens meer nodig.

Het beheer van rechten van medewerkers of systemen met verhoogde rechten ten opzichte van standaard gebruikers vindt plaats in een apart bevoegdhedensysteem. Dit systeem biedt extra mogelijkheden voor bescherming van autorisaties en audittrailing.

De Baseline Informatiebeveiliging Overheid (BIO) schrijft voor dat er een sluitende, formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties moet zijn geïmplementeerd. Binnen EZK en LNV wordt geregistreerd in een centraal identiteiten systeem genaamd IBIS. De digitale identiteiten zijn gekoppeld aan IBIS, zodat deze altijd actueel zijn. Bedrijfsapplicaties dienen continu gesynchroniseerd te zijn met het centrale digitale identiteitensysteem voor het aanmaken van nieuwe accounts of het verwijderen van accounts van medewerkers die uit dienst zijn. De dienst User Provisioning maakt die synchronisatie mogelijk en voldoet tevens aan de AVG doordat alleen die gebruikersgegevens gesynchroniseerd worden die noodzakelijk zijn om toegang te geven tot een applicatie.

Aansluiten op IAM

Authenticatie

Om aan te kunnen sluiten op de IAM-authenticatiedienst moet een bedrijfsapplicatie voldoen aan de volgende aansluitvoorwaarden. De authenticatiedienst ondersteunt daarbij

  • SAML 2.0
  • OpenID Connect 

Het proces en de doorlooptijd van het aanvragen van authenticatie ziet er op hoofdlijnen als volgt uit:

  • Aanvragen SSO-koppeling via e-mail
  • Invullen van de gevraagde aansluitgegevens via een aansluitformulier
  • Het IDP team stelt een aansluiting beschikbaar in een testomgeving
  • Testomgeving koppelen aan een applicatie voor een eerste verbindingstest
  • Aansluiting doorloopt verschillende fases van ontwikkeling, productie en acceptatie

Na goedkeuring van de Single Sign-on-aansluiting is deze klaar voor gebruik door de applicatie. Afhankelijk van de juistheid en volledigheid van de gevraagde gegevens en de beschikbaarheid van het IDP-team kan het proces binnen een paar dagen doorlopen worden. De ervaring leert dat de meeste werkzaamheden, en daarmee doorlooptijd, aan de applicatiezijde liggen.

Autorisatie

De aansluitvoorwaarden voor autorisatie verschillen nogal en aansluiten is dus maatwerk. Er zijn verschillende push en pull opties mogelijk in verschillende technologieën. De volgende informatie is hierbij van belang:

  • Hoe vaak worden gegevens opgevraagd en hoe actueel moeten deze zijn
  • Hoe worden opgevraagde gegevens geschoond binnen de bedrijfsapplicatie

Het proces en de doorlooptijd van het aansluiten op autorisatie duurt enkele weken en ziet er op hoofdlijnen als volgt uit:

  • Aanvragen aansluiting via iam@minezk.nl
  • Intakegesprek om de behoefte te bespreken
  • Configuratie autorisatiemodel in het bevoegdhedenbeheer systeem
  • Bedrijfsapplicatie ontvangt de autorisatie

User Provisioning

De aansluitvoorwaarden voor User Provisioning ondersteunen onder andere SOAP- en REST-webservices.

De volgende informatie is bij de aansluiting van belang:

  • Hoe vaak worden gegevens opgevraagd
  • Hoeveel gegevens worden er opgevraagd (privacy-by-design / security-by-design)
  • Hoe actueel moeten de opgevraagde gegevens zijn
  • Hoe worden opgevraagde gegevens geschoond binnen de bedrijfsapplicatie

Het proces en de doorlooptijd van het aanvragen van user provisioning duurt enkele weken en ziet er op hoofdlijnen als volgt uit:

  • Aanvragen Gegevens Leverings Overeenkomst via e-mail
  • Configuratie van de webservice na goedkeuring