Wat is Identity Management?
Identity Management is kort samengevat het beheer van gebruikers van computersystemen. De brede definitie van IdM is het beheer van de volledige verzameling objecten - authenticatie van gebruikers, autorisaties op systemen, applicaties én verbindingen. Identity Management wordt vanwege de vele raakvlakken met Access Management (toegangsbeheer) vaak samengevoegd tot Identity en Access Management(IAM). Dit beheer kan in meer of mindere mate geautomatiseerd worden door middel van IAM systemen.
Een Identity wordt gedefinieerd als "wie een persoon is, of de kwaliteiten van een persoon of groep welke hem anders maakt dan anderen". Een verzameling identiteitsgegevens maakt de individuele ‘Identity’. Deze bevat bijvoorbeeld naam, leeftijd, geboortedatum en –plaats. Een identiteit bestaat altijd in een context en die wordt ook meegenomen in de verzameling. Bij organisaties zie je als identiteitsgegevens dan ook vaak de afdeling, direct leidinggevende en kostenplaats. Deze persoonlijke gegevens samen vormen de unieke identiteit, waaraan door het IdM systeem rechten en plichten gekoppeld worden.
Drie perspectieven
IdM wordt gebruikt vanuit drie perspectieven:
- Het zuivere identiteiten paradigma - aanmaken, beheer en verwijderen van identiteiten zonder aandacht voor toegang en autorisaties;
- Het gebruikerstoegangsparadigma - het gebruik van identiteit als middel voor het ontsluiten tot diensten, al dan niet met hulp van een smart card of biometrische beveiliging;
- Het service paradigma - een systeem dat gepersonaliseerde, rolgebonden, online, on-demand, multimediaal en locatiespecifieke diensten beschikbaar stelt aan gebruikers en hun systemen.
In de praktijk groeien vrijwel alle organisaties op enig moment naar het service paradigma.
Het zuivere identiteiten paradigma
Identity Management beheert de levenscyclus van de identiteiten van objecten in en rond informatiesystemen. Identiteiten worden gecreëerd, gewijzigd en verwijderd, en voorzien van een gebruikersnaam of een nummer, waar alle systemen van de organisatie gebruik van kunnen maken.
Het gebruikerstoegang paradigma
Identity Management in het gebruikerstoegang paradigma omvat een geheel van bedrijfsprocessen, policies en technologie waarmee organisaties de toegang tot voorzieningen regelen en vertrouwelijke informatie afschermen. Het omvat samenhangende middelen voor gebruikers authenticatie, toegangsrechten en beperkingen, gebruikersprofielen, wachtwoorden en andere rol en profielgebonden attributen.
Het Service paradigma
In het service paradigma perspectief is het bereik van IdM veel groter. Het omvat alle middelen van de organisatie die nodig zijn voor haar elektronische gegevensverwerking. Dit zijn naast de gebruikersnamen en wachtwoorden ook alle apparatuur en applicaties en informatie zoals adresboeken, voorkeursinstellingen enz.
Onderdelen van Identity Management
Onder het begrip IdM vallen in de praktijk:
Registratie
Registratie is het vastleggen van de juiste identiteitsinformatie in één systeem. Dit kan een HRM systeem zijn, zoals een centrale database of een centrale directory. Vanuit dit centrale systeem kan de informatie verspreid worden naar andere doelsystemen, zoals ERP systemen, HR systemen, e-mail, portalen, financiële systemen etc. De centrale opslagplaats van identiteiten in een centraal systeem wordt ook wel de Identity vault (kluis) genoemd. Het registratie proces is op zich geen IT proces, maar een onderdeel van de reguliere bedrijfsvoering.
Provisioning/De-provisioning van accounts
Dit is in de praktijk het belangrijkste proces. Met Provisioning worden autorisaties en gebruikersrechten aan gebruikers van de informatiesystemen gekoppeld. Het omgekeerde is deprovisioning: Als een identiteit, door vooraf gedefinieerde regels, geen toegang meer mag hebben op bepaalde informatie binnen informatiesystemen, wordt automatisch ingetrokken. Het provisioning proces vormt het koppelvlak van Identity Management met Access Management.
Toegangscontrole
Het beheer van de toegang tot systemen en informatie wordt ook wel aangeduid als Autorisatiebeheer. Dit is verantwoordelijk voor het bepalen of een gebruiker toegang heeft tot een bepaalde resource. De toegangscontrole maakt daarbij gebruik van een autorisatiemodel of een combinatie van diverse autorisatiemodellen. Opslag van identiteit informatie en rollen vindt vaak plaats in een centrale gebruikersadministratie. Het beheer van toegang wordt door Identity Management gecentraliseerd en genormaliseerd.
Gangbare benaderingen zijn:
- Role Based Access Control (RBAC), toegang wordt bepaald op basis van de rol van een gebruiker binnen een bedrijfsproces. Deze rollen worden handmatig gekoppeld;
- Rule of Policy Based Acces Control, toegang wordt bepaald via toegangsregels die rollen toekennen;
- Claim of Access Based Access Control (ABAC); toegang wordt toegekend op basis van een object dat de gebruiker heeft – zoals een security token (een X509 certificaat of een Kerberos ticket);
Gerelateerd aan toegangscontrole bestaan onder meer de volgende concepten die de overlast voor de gebruikers door de beveiligingsvoorzieningen, de complexiteit en de kosten van het beheer ervan, moeten minimaliseren:
- Single Sign On in allerlei varianten
- Gedelegeerd beheer van accounts
- Wachtwoord synchronisatie
- Self Service Password Reset voor gebruikers
- Directory Services
- Meta-data Replicatie/Synchronisatie
- Directory Virtualisatie (virtual directory)
Traxion heeft met al deze aspecten veel praktijkervaring. Als u een vraag heeft over IdM, neemt u dan contact met ons op.
