Access Management – Toegang op basis van context

Door: Wim Bronswijk 1 juli 2025

Product en technologie

De Access Management-module van de identity- en access management (IAM)-oplossing HelloID van Tools4ever maakt het mogelijk de toegang tot applicaties en systemen tot in detail in te regelen. Een van de mogelijkheden daarbij is het verlenen van toegang op basis van context, wat ook wel Conditional Access wordt genoemd. Je definieert hierbij specifieke eisen waaraan een gebruiker moet voldoen om toegang te krijgen tot een applicatie of systeem. Zo til je de veiligheid van je IT-omgeving naar een hoger niveau.

Traditioneel loggen gebruikers in op applicaties en systemen met behulp van een gebruikersnaam en wachtwoord. In veel gevallen is hieraan tegenwoordig meerfactorauthenticatie (MFA) toegevoegd, waarbij gebruikers zich ook met een unieke code moeten authenticeren. Conditional Access maakt het mogelijk aanvullende eisen te stellen, en hiermee extra veiligheid toe te voegen aan je inlogprocedure.

Portal application rules en application access rules

Je kunt Conditional Access toepassen op specifieke applicaties en systemen, maar ook op het dashboard van HelloID. In het laatste geval beveilig je hiermee alle applicaties en systemen waartoe HelloID via Single Sign-On (SSO) toegang geeft.

Het configureren van Conditional Access doe je door het instellen van regels, die we respectievelijk portal application rules en application access rules noemen. Deze regels geven je veel vrijheid; je bepaalt zelf welke veiligheidseisen je stelt. Je kunt gebruikers bijvoorbeeld op basis van Conditional Access laten inloggen op het HelloID dashboard, en vervolgens aanvullende eisen opleggen om te loggen op specifieke applicaties.

Veel gebruikte toepassingen voor application access rules zijn:

Het afdwingen van MFA bij iedere keer dat een applicatie wordt geopend
Applicaties tijdelijk ontoegankelijk maken
Applicaties uitsluitend toegankelijk maken via het bedrijfsnetwerk
Alleen via een specifieke webbrowser toegang verlenen tot een applicatie

Eisen configureren

De eisen die je kunt stellen zijn divers. Een vrij standaard eis is bijvoorbeeld het gebruik van een specifieke identity provider en dat de gebruiker lid moet zijn van een specifieke gebruikersgroep. Je kunt echter ook allerlei aanvullende eisen stellen. Denk daarbij aan het land waaruit een inlogpoging afkomstig mag zijn, of zelfs de IP-reeks waarbinnen het IP-adres waarmee de gebruiker inlogt moet vallen.

Een ander voorbeeld is het tijdstip waarop gebruikers mogen inloggen. In veel gevallen hebben werknemers bijvoorbeeld niet midden in de nacht of gedurende het weekend toegang nodig tot je applicaties en systemen. Je kunt dan ook ervoor kiezen inloggen te beperken tot bijvoorbeeld 08:00 tot 18:00 uur op werkdagen. Zo stel je zeker dat kwaadwillenden buiten reguliere kantooruren nooit toegang kunnen krijgen.

De eisen die je kunt stellen gaan echter verder. Zo kan je inlogpogingen beperken tot specifieke soorten apparaten, zoals Windows- en macOS-systemen of juist Android- en iOS-apparaten. Denk echter ook aan het beperken van inlogpogingen tot specifieke webbrowsers als Google Chrome, Microsoft Edge of Mozilla Firefox.

Je kunt daarnaast het gebruik van MFA afdwingen. Daarnaast is het mogelijk meerdere MFA-methoden toe te staan. Zo maken sommige gebruikers wellicht gebruik van MFA via sms, terwijl andere hun MFA-code liever door de HelloID Authenticator laten aanleveren.

Eisen prioriteren

Indien een gebruiker aan een van de eisen voldoet, keurt HelloID de inlogpoging goed. Welke eis daarbij prioriteit heeft bepaal je zelf. Zo kan je bijvoorbeeld instellen dat HelloID eerst het soort apparaat moet controleren, en vervolgens via welke webbrowser de gebruiker inlogt. In dit geval krijgen gebruikers bijvoorbeeld alleen toegang indien zij inloggen via een Windows-systeem of de webbrowser Mozilla Firefox.

Let op: het is niet mogelijk regels te stapelen. HelloID verleent toegang zodra de gebruiker aan een van de ingestelde regels stelt. De IAM-oplossing controleert in dat geval niet of de gebruiker ook aan de andere gestelde regels voldoet. Voldoet de gebruiker echter niet aan de regel die de hoogste prioriteit heeft? Dan controleert HelloID automatisch of de gebruiker wel aan één van de overige gestelde regels voldoet. Het is mogelijk meerdere eisen in één regel te combineren, bijvoorbeeld dat gebruikers moeten inloggen vanuit een specifiek land en altijd via MFA geauthenticeerd moeten zijn. In dit laatste geval krijgen gebruikers alleen toegang indien zij aan alle eisen voldoen die in de regel zijn vastgelegd.

Permit of deny

Je kunt eisen definiëren waaraan een gebruiker moet voldoen om toegang te krijgen, wat we ook wel een permit rule noemen. Je kunt echter ook eisen vastleggen op basis waarvan HelloID toegang juist weigert, wat ook wel een deny rule heet. Dit maakt het onder meer mogelijk de toegang vanuit een specifiek land, vanaf een bepaald besturingssysteem of juist via een bepaalde webbrowser te blokkeren.

HelloID controleert altijd – ongeacht de prioriteiten die je instelt – eerst of een gebruiker aan één van de zogeheten deny rules voldoet. Is dit het geval? Dan blokkeert HelloID de toegang, zonder de gebruiker verder aan de permit rules te toetsen. Voldoet een gebruiker echter niet aan een deny rule? Dan controleert HelloID of een gebruiker aan een permit rule voldoet, en hanteert daarbij de prioriteiten die je hebt ingesteld.

Let op: ga je aan de slag met permit en deny rules? Dan weigert HelloID standaard toegang aan alle gebruiker die aan een deny rule voldoen of niet aan een permit rule voldoen. Door configuratiefouten is het dan ook mogelijk jezelf als beheerder buiten te sluiten. Krijg je als beheerder onverhoopt geen toegang meer? Neem dan contact op met de supportafdeling van Tools4ever voor ondersteuning.

Aan de slag

Wil jij aan de slag met HelloID Access Management? Op onze website vind je meer informatie over de mogelijkheden. Heb je vragen? Neem contact met ons op!

« Vorige in serie