Idm, sso en iam! Wat is het verschil? In het werkveld worden de termen ‘identity management’ (idm), ‘single sign-on’ (sso) en ‘identity and access management’ (iam) regelmatig door elkaar gehaald. Een gevleugelde uitspraak die ik vaak hoor is: 'We willen single sign-on en hebben daarom een identity management-systeem gekocht.' Dit is niet in zijn geheel correct, er zijn genoeg sso-oplossingen die er voor zorgen dat ik maar één keer hoef in te loggen.
Een identity (Nederlands: identiteit) vertelt wie u bent. Binnen de ict-wereld wordt de identity vaak gebruikt om mee in te loggen, maar dit is niet per definitie zo. Een identity in een computersysteem die niet gebruikt wordt om in te loggen is bijvoorbeeld een identity in een personeelsbestand.
IDM
Identity management (idm) gaat dus over het beheren van de verschillende identities in de verschillende computersystemen. In de praktijk komt het er vaak op neer dat minimaal je gebruikersnaam en wachtwoord overal hetzelfde is. Daarnaast zie je dat andere eigenschappen, zoals telefoonnummers, e-mailadressen, et cetera, ook overal gelijk getrokken worden.
Veel identity management-systemen werken met een ‘bronsysteem’. Op basis van het bronsysteem wordt het identity management-systeem gevuld met de juiste identity (gebruikers) informatie. Vervolgens zal het identity management-systeem de overige systemen vullen. Vindt er een mutatie plaats, bijvoorbeeld een wachtwoordaanpassing, dan zal het identity management-systeem deze informatie naar alle systemen repliceren.
Het voordeel van dit systeem voor de gebruiker is dat hij maar één gebruikersnaam en wachtwoord hoeft te onthouden om in alle aangesloten systemen in te loggen. Hij wordt niet ‘automatisch’ op alle systemen ingelogd, maar zal steeds opnieuw zijn gebruikersnaam en wachtwoord moeten invullen. Als beheerder hoef je nu nog maar op één plek je gebruikersnamen te beheren.
SSO
Identity management lijkt weliswaar veel op single sign-on (sso), maar het is wezenlijk toch iets anders. Single sign-on is letterlijk vertaald: ‘enkel aanmelden’. Bij single sign-on voert de gebruiker één keer zijn gebruikersnaam en wachtwoord in. Daarna krijgt hij automatisch toegang tot de verschillende systemen. Dit kan op twee manieren worden bewerkstelligd.
De eerste methodiek is dat de verschillende systemen gebruik maken van een centrale autorisatie-bron en dat de gebruiker onder water automatisch wordt aangemeld op al deze systemen. Een mooi voorbeeld hiervan is Exchange. Op het moment dat je bent aangemeld op je werkplek krijg je, op basis van je Active Directory credentials ook toegang tot je mailbox.
Een tweede methode is dat lokaal een client draait die elke login request afvangt en invult. De gebruiker moet dan de eerste keer zijn credentials opgeven. De client vangt de credentials op en slaat deze op in een lokale database. Meestal vindt er dan ook een synchronisatie plaats met een backend systeem, zodat de credentials ook op een ander systeem gebruikt kunnen worden. Deze methodiek komen we vaker tegen dan we misschien beseffen.
Een mooi voorbeeld is Firefox. Deze vraagt, als je ergens een gebruikersnaam/wachtwoord moet invullen of hij het voor je zal onthouden. Als je dan een volgende keer op die site komt, vult Firefox jouw credentials in en hoef je alleen nog maar op ‘enter’ te drukken. Firefox geeft zelfs de mogelijkheid om deze database te synchroniseren met andere computers. Of dit verstandig is vanuit een beveiligingsoogpunt is een andere vraag.
Single sign-on geeft de gebruiker niet één gebruikersnaam en wachtwoord voor alle systemen, meestal zal de gebruiker nog steeds meerdere gebruikersnamen en wachtwoorden hebben. Hij hoeft het alleen niet meer te onthouden. Sommige systemen kunnen zelfs voor de gebruiker het wachtwoord aanpassen, zodat de gebruiker niet eens zijn wachtwoord meer weet. Dat is dan ook niet nodig, want het systeem weet het. Het systeem zal de gebruiker dan steeds inloggen.
IAM
Identity and access management (iam) is een verzamelterm voor verschillende technologieën en gaat over de volgende drie deelgebieden: authenticatie, authorisatie en gebruikersbeheer
De laatste is natuurlijk identity management, en deze maakt dan ook een belangrijk onderdeel uit van identity and access management.
De eerste, authenticatie, gaat over toegang krijgen tot een systeem: bezit de gebruiker de juiste credentials om toegang te krijgen. Er zijn verschillende technologieën die onder authenticatie vallen. Single sign-on is daar één van. Maar technologieën als claim-based authentication, Active Directory (LDAP) en multi-factor authentication maken ook onderdeel uit van authenticatie.
Bij autorisatie gaat het om geautoriseerd te worden om een resource te gebruiken. Hier vind je technologieën terug die vooral bepalen of je recht hebt op een resource. Dit kan iets heel standaards zijn als rechten op een file systeem, maar ook een meer complexe policy based toegangsysteem: systemen die op basis van regels of attributen bepalen of een gebruiker toegang heeft.
Wat moet je nu kiezen
Wat je moet kiezen is afhankelijk van je wensen, maar vaak gaat het om een combinatie van verschillende wensen. Misschien wil je dat alle gebruikers met één gebruikersnaam/wachtwoord zich aanmelden, maar moeten ze zich wel steeds opnieuw authentiseren. Dan is een single sign-on-oplossing niet wat je zoekt. Misschien heb je verschillende systemen, die niet aan elkaar gekoppeld mogen worden. Dan kan juist een single sign-on-oplossing het antwoord zijn.
De beste keuze wordt bepaald door drie dingen:
-
Je security beleid: je kunt wel willen dat gebruikers één keer aanloggen, maar misschien mag het niet van het security beleid;
-
De technische mogelijkheden: niet elk systeem ondersteunt de technieken;
-
Je wensen of die van de organisatie.
Je keuze wordt bepaald door de risico’s die je wilt tegengaan en een management beslissing over welke maatregelen je wilt nemen om die risico’s tegen te gaan en dan op basis van een businesscase.