Header Aan de slag met HelloID - HelloID Agent

HelloID Agent installeren en configureren

Door: Maikel Baars

HelloID is een moderne en veilige cloud-gebaseerde Identity & Access Management (IAM)-oplossing. Wil je HelloID laten communiceren met lokale bronnen zoals Active Directory of een database? Dan verloopt deze communicatie via een HelloID agent. In deze blog duiken we in het installeren en configureren van agents voor HelloID, en laten we zien hoe eenvoudig dit proces verloopt.

Wat is HelloID?

De verschuiving van on-premises naar de cloud brengt uitdagingen met zich mee. Hoe leidt je bijvoorbeeld het identificeren van gebruikers en de toegangscontrole tot je systemen in goede banen? En hoe ga je hiermee om met het oog op de steeds strenger wordende wet- en regelgeving op dit vlak? HelloID helpt je hierbij. De cloudoplossing biedt een antwoord op al je vraagstukken omtrent Identity & Access Management.

HelloID automatiseert op basis van een bronsysteem het gebruikers- en autorisatiebeheer. Ook biedt de IAM-oplossing een (gedelegeerd) self-service dashboard voor optioneel aanvraagbare zaken en zowel eenvoudige als veilige toegang tot alle applicaties.

Welke rol speelt een HelloID agent?

HelloID kent een volledig cloud-to-cloud standaardconfiguratie. Werk je volledig in de cloud en wil je HelloID op een standaardwijze in je cloudomgeving inzetten? Dan heeft de IAM-oplossing hiervoor geen enkele agent nodig. Indien je HelloID echter wilt laten communiceren met on-premises bronnen, vereist dit een agent.

HelloID Agent voor verbinding vanuit de cloud naar het lokale netwerk

De HelloID Agent bestaat uit drie lichtgewicht Windows-services, die binnen het netwerk van je eigen organisatie draaien. Het gaat daarbij om de Directory Agent, Provisioning Agent en Service Automation Agent. Deze drie Windows-services maken communicatie mogelijk met de verschillende HelloID-modules: HelloID Access Management, HelloID Provisioning en HelloID Service Automation. Ook is voor specifieke cloud-to-cloud toepassingen een Cloud Agent beschikbaar.

Wat doet welke HelloID agent?

De agents vervullen ieder hun eigen rol. We zoomen kort in op de verschillende agents en de rol die zij vervullen.

Directory Agent

De HelloID Directory Agent is de directory service van HelloID. De service is verantwoordelijk voor alle on-premises taken gerelateerd aan de Access Management-module van de IAM-oplossing. Denk hierbij aan het authentiseren van gebruikers in HelloID met Active Directory als Identity Provider. Ook verzorgt de HelloID Directory Agent het synchroniseren van gebruikersaccounts van Active Directory met HelloID.

Provisioning Agent

De HelloID Provisioning service heet de HelloID Provisioning Agent. Deze service voert on-premises taken uit die verband houden met de Provisioning-module van HelloID. Het gaat daarbij voornamelijk om het opvragen van data uit bronsystemen zoals HR-systemen en SIS-applicaties. Deze gegevens gebruikt de service voor het inlezen en schrijven van gebruikersaccounts en rechten in systemen zoals Active Directory en G Suite.

Service Automation Agent

HelloID Service Automation Agent is de derde Windows-service die onderdeel uitmaakt van de HelloID Agents. De service is verantwoordelijk voor acties gerelateerd aan de Service Automation-module van HelloID. Denk hierbij aan het lezen en bewerken van PowerShell-databronnen, het importeren van Service Automation-resources uit GitHub en het via delegated forms uitvoeren van inline PowerShell-scripts. Delegated forms nemen voor gebruikers complexiteit weg en minimaliseren de permissies die nodig zijn voor het uitvoeren van taken. De Service Automation-service biedt ondersteuning voor 64-bit, wat het laden van 64-bit PowerShell-modules zoals Azure en Exchange Online mogelijk maakt.

Cloud Agent

De standaard HelloID Agent is een on-premises applicatie, die draait binnen het eigen netwerk van je organisatie. Steeds meer partijen werken echter volledig in de cloud terwijl zij voor hun usecase wel gebruik willen maken van PowerShell acties. Een aantal functionaliteiten van HelloID  ondersteunt daarom ook de HelloID Cloud Agent. Deze speciale agent draait op servers van Tools4ever en maakt het uitvoeren van op maat gemaakte PowerShell-acties in je cloudomgeving mogelijk. Zo kan je via de HelloID Cloud Agent onder meer PowerShell-acties uitvoeren via delegated forms. Ook kan je via de agent PowerShell-databronnen raadplegen. De Cloud Agent is primair bedoeld voor API-calls naar cloud webservices. Wegens securityredenen zijn niet alle in PowerShell beschikbare acties in de cloud mogelijk. Het uitvoeren van acties in lokale omgevingen met behulp van de Cloud Agent is niet mogelijk.

Een HelloID Agent Pool creëren

Je kunt meerdere agents van hetzelfde type tegelijk gebruiken. Dit is onder meer interessant met het oog op loadbalancing en het scheiden van specifieke taken. Indien je meerdere agents inzet, groepeer je deze in een Agent Pool. Bij de lancering van een on-premises taak ontvangt de Agent Pool hiertoe een verzoek, en bepaalt welke HelloID Agent in de pool beschikbaar en het meest geschikt is voor de taak.

 

De werkwijze biedt diverse voordelen. Onder meer indien je Active Directory als een identity provider voor HelloID gebruikt. In dit geval is de beschikbaarheid van data uit Active Directory van cruciaal belang voor de toegang van gebruikers tot services en systemen. Het gebruik van een Agent Pool optimaliseert de beschikbaarheid indien een bepaalde Agent bezet is of onverwachts onbereikbaar is.

Het creëren van een Agent Pool is erg eenvoudig. Je gaat hiervoor in het dashboard van HelloID naar Agents en klikt vervolgens op ‘Add new pool’. Geef vervolgens een naam op voor de pool en maak de Agent Pool aan.

Een agent installeren en beheren

Zodra een Agent Pool is aangemaakt kan je aan de slag met het installeren en configureren van een of meerdere agent(s). Iedere Agent Pool moet tenminste één HelloID Agent bevatten om functioneel te zijn.

In drie stappen de HelloID Agent installeren

Voor het installeren van een agent klik je in het dashboard onder ‘Agents’ op de optie ‘Install agent’. Een installatiewizard leidt je vervolgens door de installatie heen. Het installatieproces reikt je een installatiebestand aan, dat je uitvoert op de server waarop je de agent wilt installeren. Dankzij de wizard is de installatie eenvoudig en wijst het installatieproces zichzelf. Het dashboard biedt je ook mogelijkheden voor het beheren van de agent. Zo kan je de agent via het dashboard herstarten, beheren of verwijderen.

Kan ik HelloID veilig aan mijn lokale omgeving koppelen?

De HelloID Agent functioneert dus als ‘broker’ voor het uitwisselen van gegevens en uitvoeren van lokale acties. De agent communiceert hierbij via internet, wat veiligheid van cruciaal belang maakt. Communicatie vindt daarom altijd plaats via HTTPS, waarbij we TLS 1.2 en AES256-encryptie toepassen.

Beveiliging van de communicatie tussen de HelloID Agent en het lokale netwerk

Via een verificatieproces stel je zeker dat je alleen de juiste instantie van de agent vertrouwt. Zo genereert HelloID tijdens de installatie van de agent een OTP-ticketnummer. Dit nummer is slechts één keer inzetbaar en slechts tien minuten na creatie geldig. Op basis van de combinatie van de OTP, de portal URL, en de agent GUID creëert HelloID een gedeeld certificaat. Dit certificaat valideert elke communicatiepoging tussen HelloId en de agent; zonder geldig certificaat is communicatie onmogelijk.

Ook maakt HelloID gebruik van éénrichtingscommunicatie. Communicatie kan uitsluitend vanaf het lokale netwerk naar het HelloID-portaal plaatsvinden, en nooit andersom. Ook kan HelloID alleen acties uitvoeren die door het HelloID-portaal zijn klaargezet, en kan zelf geen opdrachten naar het portaal sturen. Ook voert de agent alleen verzoeken uit die afkomstig zijn van hetzelfde IP-adres dat tijdens de verificatie is gebruikt. Het openen van een poort in de firewall of speciale configuratie van je demilitarized zone (DMZ) is niet nodig.

Wil je meer informatie over de digitale veiligheid van HelloID?

Lees onze HelloID Security-whitepaper

Aan de slag

Wil jij aan de slag met HelloID en de HelloID Agents? Onze experts ondersteunen je hierbij graag. Zo denken zij onder meer mee over de agents die het beste aansluiten bij jouw toepassing en wensen, het inrichten van Agent Pools en het gebruik van de HelloID Cloud Agent. Benieuwd naar de mogelijkheden of heb je vragen?

Neem contact met ons op!

Heb je behoefte aan meer technische documentatie?

HelloID documentatie over HelloID Agent

foto maikel baars

Geschreven door:
Maikel Baars

Als Account Manager heeft Maikel Baars klanten geholpen bij het behalen van hun doelstellingen en geadviseerd bij eventuele uitdagingen. Tegenwoordig is hij als Marketing Manager verantwoordelijk voor alle marketinguitingen van Tools4ever Nederland. Maikel studeerde Commerciële Economie aan de Hogeschool van Amsterdam en behaalde zijn MBA bij Nyenrode.

Anderen bekeken ook

Waarom heb je een IAM-oplossing nodig?

29 augustus 2022

Hoe een Service Automation-oplossing je organisatie helpt

31 oktober 2022

Hoe een User Provisioning-oplossing je organisatie helpt

27 september 2022