De wereld van Identity & Access Management (IAM) verandert snel. Nieuwe tools en best practices volgen elkaar razendsnel op. Dit is soms niet bij te benen!
We willen met zijn allen naar de Microsoft Cloud bewegen en Entra ID moet onze nieuwe ISP (Identity Service Provider) worden. Binnen Entra ID verandert de wereld ook continu, wat natuurlijk ook gevolgen heeft voor de manier waarop we autorisatiebeheer aanpassen.
Ook de overheid is dit niet ontgaan. De architecten binnen ministeries ontwerpen zich erop los om de best mogelijke oplossing uit te schrijven. Dit zodat hun omgeving aan de nieuwste standaarden voldoet en met de nieuwste tools overweg kan. Als product owner spreek ik regelmatig architecten en wat mij opvalt is dat er zoveel wordt geschreven dat de uiteindelijke ontwerpen niet meer uitvoerbaar zijn. Het ontwerp waar met veel ijver aan geschreven wordt, kan je vergelijken met de Sagrada Familia. Alle smaakdiscussies daargelaten: het is een zeer imposant bouwwerk. Als het ooit afkomt.
Als voorbeeld misschien vergaand, maar stel dat jouw organisatie nog niets op het gebied heeft van autorisatiemanagement. Alles wordt momenteel gekoppeld aan individuele gebruikers, op basis van losse aanvragen die (handmatig) door applicatiebeheerders in de applicatie zelf worden verwerkt. Voor een kleine organisatie kan dit nog werken, maar voor een organisatie met duizenden medewerkers is dit absoluut onwenselijk. Je wilt de juiste keuzes maken: technisch haalbaar, kostenbesparend, schaalbaar én toekomstbestendig.
De oplossing: structuur, automatisering en IAM-beheer
Het is tijd om na te denken over structuur, automatisering en IAM-beheer. Maar wat voor oplossing kies je? Er is geen tool die alles op magische wijze oplost. Een tool verwerkt input, maar als die input slecht is, krijg je slechte output. Het is dus essentieel dat de input goed gestructureerd is. Hier komen verschillende autorisatiemethoden om de hoek kijken: RBAC, ABAC en PBAC.
Wat is RBAC?
RBAC (Role Based Access Control) werkt, zoals de naam zegt, met rollen. Vanuit de functie van de persoon (op basis van gegevens van HR) vervult hij/zij een aantal rollen, soms tijdelijk, soms gedelegeerd. Deze rollen hebben een serie autorisaties aan zich gekoppeld. Hier zijn een aantal variaties van.
Wat is ABAC?
ABAC (Attribute Based Access Control) werkt met attributen. Deze attributen kunnen verzameld worden uit de persoon (HR/Gebruikersaccount), de omgeving waar deze werkt (datum/tijd/locatie) en wat er benaderd wordt (Type bestand/Auteur/Beveiligingslabel).
Wat is PBAC?
Tot slot is er PBAC (Policy Based Access Control): iedere gebruiker krijgt een set aan beleidsregels. Deze beleidsregels definiëren wat de gebruiker wel en niet mag binnen het landschap. Wanneer een gebruiker iets wil benaderen controleert het systeem de beleidsregels om te verifiëren of dit wel of niet mag.
Welke methode kies je?
Maar wanneer kies je nu wat? Er zijn genoeg webpagina’s en “whitepapers” over wat de details zijn en wat de sterke en zwakke punten zijn per methodiek. Er is dan ook geen perfecte methodiek, maar er zijn wel degelijk voorkeuren afhankelijk van je organisatie:
Uiteindelijk is er geen slechte keuze. Behalve ‘geen keuze’ of ‘de keuze die in theorie heel mooi is, maar in de praktijk niet haalbaar’.
De beste aanpak: een combinatie
Gelukkig leeft RBAC vrolijk verder en wordt het vaak gebruikt als de basis van autorisatiebeheer. Een veel geadviseerde aanpak is een combinatie van RBAC (als basis) en ABAC (voor dynamische toewijzing). Zo benut je het beste van beide werelden.
Kunnen wij je helpen?
Wil je hier meer over weten of eens sparren met mij of een van mijn collega’s? Neem vrijblijvend contact op om de mogelijkheden te bespreken!
Heb je vragen over dit onderwerp of zou je Erwin willen inhuren voor een vergelijkbare opdracht?
