• Ons vakgebied
  • Wat is Identity Management?
  • Waarom zou u uw identiteiten gaan beheren?
  • Identity Management in de beveiligingsarchitectuur
  • Identity Management project prioriteiten
• Onze aanpak
• Referenties
  • Cases
• Over Traxion
  • Bedrijfsprofiel
  • Visie
  • Carriere
  • Vacatures Nederland
  • Vacatures België
  • Partners
  • Traxion nieuws
  • Evenementen
  • Downloads / publicaties
• Solutions
  • IM Sequencer
• Contact
  • Details
  • Details (English)
  • Routebeschrijving
• Home

Wat is Identity Management?

Identity Management is in essentie het administreren van gebruikers van IT systemen en informatiesystemen. Het beheren van de volledige verzameling objecten - authenticatie van gebruikers en autorisaties op systemen, applicaties en verbindingen, al dan niet in één directory, is de brede definitie van IdM. Identity Management wordt vanwege de vele raakvlakken met Access Management, toegangscontrole, vaak samengevoegd tot Identity en Access Management(IAM).

De term Identity Management wordt in de regel gebruikt voor het beheren van de rechten en mogelijkheden van een entiteit in een wat complexere ICT infrastructuur. In de regel is de entiteit een gebruiker of een groep gebruikers. Om rechten en mogelijkheden te kunnen beheren wordt een digitale identiteit gecreëerd, als een soort 'kapstok' voor deze autorisaties.

Het begrip Identity wordt gedefinieerd als "wie een persoon is, of de kwaliteiten van een persoon of groep welke hem anders maakt dan anderen", en Identity wordt gevormd door een set van persoonlijke eigenschappen. Het is dus een manier om te bepalen of een persoon is wie hij zegt te zijn. Een groep van identiteitsgegevens maken een individuele identiteit, deze bevatten bijvoorbeeld naam, leeftijd, geboortedatum of psychische eigenschappen. Deze persoonlijke gegevens samen vormen de unieke identiteit, die noodzakelijk is om er rechten en plichten aan te koppelen.

Identity Management is in de smalle definitie het proces dat is gericht op het administreren van gebruikers van IT systemen en informatiesystemen. Identity Management in de ICT gaat terug op de oermoeder X.500, waarin een centrale directory gedefinieerd wordt voor objecten zoals landen, organisatiedelen, applicaties, apparaten en abonnees. Het "Directory Access Protocol" X.500 heeft geleid tot het veelgebruikte LDAP (Lightweight Directory Acces Protocol). X.509 voegt daar (PKI-) certificaten aan toe die de identiteit op een veilige manier vastleggen en ontsluiten. Het beheren van een dergelijke verzameling objecten, al dan niet in één directory is de brede definitie van IdM. Identity Management wordt vaak in een adem genoemd met Access Management, toegangscontrole, waarmee het begrip Identity en Access Management(IAM), ontstaat.

Drie perspectieven
IdM wordt gebruikt vanuit drie perspectieven:

• Het zuivere identiteiten paradigma - creatie, beheer en verwijderen van identiteiten zonder aandacht voor toegang en autorisaties;
• Het gebruikerstoegang (aanlog) paradigma - het gebruik van identiteit als middel voor het ontsluiten tot diensten, al dan niet met hulp van een smart card of biometrische beveiliging;
• Het service paradigma - een systeem dat gepersonaliseerde, rolgebonden, online, on-demand, multimediaal en locatiespecifieke diensten beschikbaar stelt aan gebruikers en hun systemen.

In de praktijk evolueren vrijwel alle organisaties op enig moment richting het service paradigma.

Het pure identiteiten paradigma
IdM omvat het beheren van de levenscyclus van de identiteiten van objecten in en rond informatiesystemen waarin identiteiten gecreëerd, gewijzigd en verwijderd worden, en voorzien van een userID of een nummer, waar ondergeschikte systemen gebruik van kunnen maken.

Het gebruikerstoegang paradigma
Identity Management in het gebruikerstoegang paradigma omvat een geheel van bedrijfsprocessen, policies en technologie waarmee organisaties de toegang tot voorzieningen regelen en vertrouwelijke informatie afschermen. Het omvat samenhangende middelen voor gebruikers authenticatie, toegangsrechten en beperkingen, gebruikersprofielen, wachtwoorden en andere rol en profielgebonden attributen.

Het Service paradigma
In het service paradigma perspectief, is het bereik van IdM veel groter. Het omvat alle middelen van de organisatie die nodig zijn voor haar elektronische gegevensverwerking. Dit zijn naast de gebruikersnamen en wachtwoorden alle apparatuur maar ook informatie zoals adresboeken, voorkeursinstellingen en applicaties.

Aspecten van Identity Management
Onder het begrip IdM vallen in de praktijk:

Registratie
Registratie is het vastleggen van de juiste identiteitsinformatie in één systeem. Dit kan een HRM systeem zijn, zoals een centrale database of een centrale directory. Vanuit dit centrale systeem kan de informatie verspreid worden naar andere doelsystemen, zoals ERP systemen, HR systemen, e-mail, portalen, financiële systemen etc. De centrale opslagplaats van identiteiten in een centraal systeem wordt ook wel de Identity vault (kluis) genoemd. Het registratie proces is op zich geen IT proces, maar een onderdeel van de reguliere bedrijfsvoering.

Provisioning/De-provisioning van accounts
Het belangrijkste proces is het Provisioning proces, waarmee autorisaties en gebruikersrechten aan gebruikers van de informatiesystemen gekoppeld worden. Het omgekeerde is deprovisioning, wat exact omgekeerd werkt. Als een identiteit, door vooraf gedefinieerde regels, geen toegang meer mag hebben op bepaalde informatie binnen informatiesystemen, zal deze automatisch worden ingetrokken. Het provisioning proces vormt het koppelvlak van Identity Management met Access Management.

Toegangscontrole
Het beheer van de toegang tot systemen en informatie wordt ook wel aangeduid als Autorisatiebeheer. Dit is verantwoordelijk voor het bepalen of een gebruiker toegang heeft tot een bepaalde resource. De Toegangscontrole maakt daarbij gebruik van een autorisatiemodel of een combinatie van diverse autorisatiemodellen. Opslag van identiteit informatie en rollen vindt vaak plaats in een centrale gebruikersadministratie. Vaak vindt de administratie van regels (of policies) plaats in de door de administratie service.

Gangbare benaderingen zijn:

• Role Based Access Control (RBAC), toegang wordt bepaald op basis van de rol van een gebruiker binnen een bedrijfsproces.
• Rule of Policy Based Acces Control, toegang wordt bepaald via toegangsregels.

Gerelateerd aan toegangscontrole bestaan onder meer de volgende concepten die de overlast voor de gebruikers door de beveiligingsvoorzieningen, de complexiteit en de kosten van het beheer ervan, moeten minimaliseren:

• Gedelegeerd beheer van accounts
• Wachtwoord synchronisatie
• Self Service Password Reset voor gebruikers
• Enterprise/Legacy Single Sign On (ESSO)
• Single Signout
• Web Single Sign On (WSSO)
• Reduced Sign On (RSO)
• Directory Services
• Meta-data Replicatie/Synchronisatie
• Directory Virtualisatie (virtual directory)

Federatie
Een bijzondere casus in IdM is Federatie. Dit is het koppelen van gebruikersrechten tussen verschillende domeinen, al dan niet over niet vertrouwde netwerken. In dit geval is de verzameling identiteiten niet beperkt tot één organisatie, maar verspreid over één of meerdere. Om dan toch een betrouwbare registratie te verkrijgen, wordt vertrouwd op de authenticatie van gebruikers door de ketenpartners. Als de ketenpartner betrouwbaar geacht wordt, dan zullen de medewerkers van die partner ook betrouwbaar zijn. Effectief baseer je het vertrouwen in de medewerkers van de partner op het vertrouwen in de organisatie van de partner.

Identity 2.0?
Traditioneel bestaan identiteiten binnen organisaties, en worden beheerd door de organisaties zelf. Hiermee bepalen ze zelf en direct wie toegang mag hebben tot de applicaties van die organisatie. In netwerkorganisaties is dat niet altijd een realistisch uitgangspunt. Niet alleen is het aantal potentiële gebruikers ongekend groot, gebruikers willen ook zelf hun identiteit beheren en zeggenschap hebben over het verstrekken van identiteitgegevens. Deze ontwikkeling wordt gestimuleerd door de web 2.0 ontwikkeling. Voor het identiteitenbeheer betekent dat onder meer dat sprake zal zijn van het User Centric Identity Management. Belangrijke ontwikkelingen zijn gestart na het formuleren van de Laws of Identity door Kim Cameron. Dit wordt in navolging van web 2.0 ook wel Identity 2.0 genoemd

Kenmerkend voor Identity 2.0 is dat iemand niet langer voor elke functionaliteit op het internet een aparte identiteit zal moeten aanmaken (zoals een apart gebruikersaccount op Wikipedia en een ander op second life), maar dat iemand een digitaal identiteitsbewijs verkrijgt van een Identity Provider. Die digitale identiteit kan worden gebruikt om in te loggen op een server. Afhankelijk van de kwaliteit van de Identity Provider krijgt een gebruiker meer of minder functies beschikbaar. Een gebruiker kan er voor kiezen om één of meerdere digitale identiteiten te gebruiken.

• Wat is Identity Management?
• Waarom zou u uw identiteiten gaan beheren?
• Identity Management in de beveiligingsarchitectuur
• Identity Management project prioriteiten