Autorisatie (AuthZ)
Autorisatie, vaak ook aangeduid met het Engelse woord ‘authorization’ of de afkorting ‘AuthZ’, is de derde en afsluitende stap van het IAM-proces. Het is een proces waarin rollen en rechten centraal staan, een cruciaal element in het veilig gebruiken van applicaties, netwerken, apparaten en digitale omgevingen. Lees verder om erachter te komen wat autorisatie precies is en in welke opzichten het begrip verschilt van de aanverwante term authenticatie.
In dit artikel
Wat is autorisatie?
Heb ik hier toegang of gebruikersrechten toe? Dat is de centrale vraag die ten grondslag ligt aan autorisatie in het digitale universum. De digitale waakhond heeft je identiteit opgevraagd (identificatie) en geverifieerd (authenticatie) via je gebruikersnaam, wachtwoord en door sterke authenticatie (vragen naar een of meer persoonlijke credentials) toe te passen.
Klopt alles? Dan krijg je toegang tot een systeem of applicatie, maar je autorisaties bepalen tot welke acties je gerechtigd bent. Dit kan bijvoorbeeld het recht zijn om bepaalde bestanden te bekijken of zelfs te bewerken. Of je krijgt toegang tot een beveiligde internet- of intranetomgeving waarin je berichten kunt bekijken of belangrijke informatie kunt inzien die je nodig hebt om een taak of project uit te kunnen voeren. Autorisatie kan toegang geven tot afdelingsspecifieke bestanden, maar de toegang tot vertrouwelijke data, zoals financiële of privacygevoelige informatie beperken.
Hoe reguleer je autorisatie?
Autorisatie is een precair proces. Zeker als je van doen hebt met bedrijfskritische of privacygevoelige informatie, wil je heel voorzichtig zijn met wie je toegang tot een bepaald bestand of een online-omgeving verleent. Daarom werken de meeste organisaties met een systeem van duidelijk gedefinieerde rollen en rechten, maar er zijn verschillende manieren waarop organisaties autorisatiebeheer kunnen implementeren, afhankelijk van hun specifieke eisen en beleid. Enkele veelvoorkomende methoden zijn:
- Role Based Access Control (RBAC): Hierbij worden gebruikers toegewezen aan specifieke rollen en wordt toegang verleend op basis van de rol van de gebruiker. Een gebruiker met de rol ‘beheerder’ kan bijvoorbeeld volledige toegang krijgen tot alle systemen, terwijl een gebruiker met de rol ‘gast’ alleen toegang krijgt tot bepaalde informatie.
- Attribute Based Access Control (ABAC): Hierbij worden gebruikersattributen, zoals de afdeling of locatie van de gebruiker, gebruikt om de autorisatie van de gebruiker voor toegang tot specifieke bronnen te bepalen. Een gebruiker kan bijvoorbeeld toegang krijgen tot specifieke klantdata als hij op de afdeling ‘verkoop’ zit, maar niet als hij op de afdeling ‘financiën’ werkt.
- Risk Based Conditional Access: Dit omvat het definiëren van specifieke regels die bepalen of een gebruiker toegang heeft tot bepaalde middelen. Een regel kan bijvoorbeeld bepalen dat gebruikers met de rol ‘manager’ toegang hebben tot bepaalde middelen, maar alleen vanaf het bedrijfsnetwerk en tussen 9 en 17 uur.
Op basis van functie, afdeling, rol, project of project binnen een organisatie bepaal je dus wie wat mag en kan. Sommige mensen zullen bestanden alleen mogen lezen, terwijl anderen diezelfde documenten ook mogen wijzigen. Een manager of directielid zal bijvoorbeeld meer rechten hebben dan iemand op de werkvloer. Er zijn wel een aantal aandachtspunten die je goed in het oog moet houden bij het opstellen en uitvoeren van een goed autorisatiebeleid:
- Ken toegangsrechten per team, functie of rol en niet per individu toe. Rollen en toegangsrechten veranderen namelijk vaak als mensen een andere functie gaan bekleden binnen de organisatie.
- Zorg ervoor dat alle systemen met persoonsgegevens of informatie over rollen of rechten dezelfde gegevensbronnen gebruiken of op zijn minst aan elkaar gekoppeld zijn.
- Zorg ervoor dat medewerkers niet over meerdere accounts beschikken. Dit schept verwarring en vergroot de kans op fouten bij autorisatie.
- In aanvulling op het vorige punt is het belangrijk dat er gebruik wordt gemaakt van individuele accounts en niet van groepsaccounts.
- Zorg voor heldere, duidelijk vastgelegde procedures bij de instroom, doorstroom en uitstroom van medewerkers.
PAM en het principle of least privilege
Twee begrippen die een belangrijke rol spelen bij autorisatie zijn privileged access management (PAM) en het ‘principle of least privilege’. De eerste term verwijst naar de discipline die geprivilegieerde toegang tot de IT-infrastructuur en het netwerk helpt beveiligen, controleren, beheren en bewaken. Alleen een beperkte groep gebruikers beschikt over dergelijk verregaande rechten en heeft deze bovendien niet altijd nodig.
Het principle of least privilege houdt in dat elke gebruiker, elk programma en elk proces alleen de absolute minimumrechten mogen hebben die nodig zijn om hun taken uit te voeren. Dit betekent dat gebruikers alleen toegang mogen krijgen tot de middelen en functies die zij nodig hebben om hun werk te doen, en niet meer. Dit helpt het risico van zwakke plekken in de beveiliging te verminderen en onopzettelijke of kwaadwillige schade te voorkomen.
Het verschil tussen authenticatie en autorisatie
Authenticatie wordt nogal eens verward met autorisatie. De twee begrippen hebben zeker raakvlakken en maken allebei deel uit van het IAM-proces. Maar ze hebben toch echt een verschillende betekenis.
We kunnen het verschil tussen authenticatie en autorisatie duidelijk maken aan de hand van een analogie. Stel dat je op vakantie gaat en jouw buurman vraagt om je kat te voeren en de planten in je huis water te geven. Een sleutel die de buurman in staat stelt om je voordeur te openen, is de authenticatie en vergelijkbaar met de inloggegevens die gebruikers toegang geven tot een digitaal systeem of een beveiligde internetomgeving.
Autorisatie heeft betrekking op wat de buurman in je huis mag doen. Hij mag natuurlijk wel het kattenvoer uit de kast halen en water uit de kraan halen . Maar je hebt waarschijnlijk liever niet dat hij uitgebreid gaat rondneuzen in je archiefkast of inbox. Vertaald naar IAM betekent dit dat autorisatie bepaalt wat iemand precies met een bestand of applicatie en in een bepaald systeem mag doen.