Gratis demo Contact
directory service

directory service

Wat is een directory service?

Een directory service is een gecentraliseerd platform om identiteiten, applicaties en andere netwerkbronnen te beheren in een IT-omgeving. De service slaat informatie op over gebruikers, apparaten en applicaties en speelt een centrale rol bij authenticatie en autorisatie. Bij authenticatie controleert de directory service de identiteit van een gebruiker via bijvoorbeeld een gebruikersnaam en wachtwoord. Bij een succesvolle authenticatie krijgt de gebruiker toegang en wordt vervolgens bij de autorisatie bepaald welke toegangsrechten de gebruiker heeft binnen applicaties en gegevensbronnen.

Active Directory (AD) en Entra ID (Azure AD) zijn voorbeelden van directory services waarmee organisaties de toegang tot hun IT-omgevingen stroomlijnen en beveiligen. Een directory service kan standalone worden toegepast, maar wordt in moderne IT-omgevingen meestal geïntegreerd in een bredere Identity & Access Management (IAM)-omgeving.

Hoe werkt een directory service?

De werking van een directory service kunnen we illustreren aan de hand van LDAP (Lightweight Directory Access Protocol), een veelgebruikte protocolstandaard voor directory services. Bij LDAP werkt authenticatie en autorisatie op hoofdlijnen als volgt:

Authenticatie

Bij authenticatie controleer je of een gebruiker echt is wie hij zegt dat hij is. Dit doe je binnen LDAP meestal via een zogeheten ‘bind’ operatie:

  • Een gebruiker probeert in te loggen door een gebruikersnaam - een Distinguished Name (DN) - en een wachtwoord op te geven.

  • LDAP controleert of de opgegeven gegevens correct zijn.

  • Als de combinatie klopt, is de gebruiker geauthenticeerd en mag hij verder gaan met de autorisatie.

Autorisatie

Bij autorisatie bepaal je wat een gebruiker mag doen na de succesvolle authenticatie:

  • Rechten worden vastgelegd in ACL's (Access Control Lists), waarin wordt bepaald welke gebruikers toegang hebben tot welke resources in het netwerk.

  • Bijvoorbeeld: een gewone medewerker mag alleen de eigen gegevens bekijken, terwijl een systeembeheerder alle gebruikers mag beheren. En een beheerder mag gebruikers aanmaken, wijzigen en verwijderen.

Directory service standaarden

In het voorbeeld hiervoor gebruikten we de LDAP standaard. Het is slechts één voorbeeld van standaard protocollen die worden gebruikt binnen directory services. Zulke open standaarden zijn belangrijk omdat je verschillende systemen wilt kunnen ontsluiten met je directory service. Een paar veelgebruikte directory service protocollen zijn:

  • LDAP (Lightweight Directory Access Protocol). Dit is een open protocol voor het opslaan en opvragen van directory-informatie dat ook kan worden gebruikt voor authenticatie en autorisatie. LDAP werkt met een hiërarchie van gebruikers, groepen en apparaten.

  • Kerberos. Dit is een netwerkbeveiligingsprotocol dat sterke authenticatie biedt via versleutelde tickets. Dit maakt Single Sign-On (SSO) mogelijk zonder dat er wachtwoorden over een netwerk hoeven te worden verstuurd.

  • SAML (Security Assertion Markup Language). Dit is een XML-gebaseerde standaard om identiteiten te delen tussen verschillende domeinen om Single Sign-On (SSO) te ondersteunen. SAML wordt onder andere gebruikt in zakelijke cloud-apps zoals Google Workspace en Microsoft 365.

De term ‘lightweight’ is nuttig om even toe te lichten. Hiermee wordt bedoeld dat het protocol zo efficiënt mogelijk is georganiseerd, niet onnodig veel data rondstuurt en niet te veel rekenkracht vraagt van de aangesloten apparaten. LDAP is ontwikkeld uit de oudere X.500 directory standaard die veel ‘zwaarder’ was en daarom minder wordt toegepast voor moderne directory services. Een gebruiker kan onbewust een directory service wel tientallen keren per dag raadplegen om toegang te krijgen tot applicaties en gegevens en daarom is snelheid erg belangrijk. We werken dus tegenwoordig met lightweight directory services.

Voorbeelden van directory services

Er zijn tal van directory services in gebruik. We geven hieronder een paar veelgebruikte oplossingen:

  • Microsoft Active Directory (AD). Deze on-premises oplossing wordt gebruikt binnen Windows-omgevingen voor gebruikersbeheer en authenticatie. AD ondersteunt protocollen als LDAP en Kerberos. Ook gebruikt het SAML (Security Assertion Markup Language) om Single Sign-On (SSO) mogelijk te maken.

  • Entra ID. Dit is de huidige naam van de Azure Active Directory (Azure AD), de cloudgebaseerde identiteits- en toegangsbeheeroplossing van Microsoft. Entra ID ondersteunt OAuth, SAML en OpenID Connect en wordt onder andere gebruikt om de toegang tot Microsoft 365 en SaaS-apps te verzorgen.

  • Red Hat Directory Server (RHDS). Dit is een commerciële enterprise LDAP-directoryservice van Red Hat en is geschikt voor Linux- en Unix-gebaseerde netwerken.

  • Apache Directory Server (ApacheDS). Dit is een open-source en op Java gebaseerde directoryservice die LDAP en Kerberos ondersteunt ten behoeve van het identity management.

  • IBM Security Directory Server. Dit is een directory service voor grote organisaties en gebaseerd op LDAP.

Directory Services binnen je IAM oplossing

We schreven al dat een directory service vandaag de dag meestal is geïntegreerd in een bredere Identity & Access Management (IAM)-omgeving. De directory service ondersteunt daarin basisfuncties als authenticatie en autorisatie. Een moderne IAM-omgeving vult dit aan met een uitgebreidere set features en organiseert het identiteits- en rechtenbeheer gedurende de hele identity lifecycle; vanaf de instroom van gebruikers tot en met hun doorstroom en uiteindelijk ook de uitstroom uit de organisatie. We schetsen hieronder de toegevoegde waarde van IAM-functionaliteit ten opzichte van directory services aan de hand van verschillende HelloID modules:

Access Management

Directory services ondersteunen de authenticatie en autorisatie van gebruikers binnen een IT-omgeving, maar niet alle directory services ondersteunen ook aanvullende concepten zoals Single Sign-On en Multi-Factor Authenticatie. Dit zijn voorbeelden van features die HelloID met behulp van de Access Management module kan toevoegen.

Provisioning

De gegevens in bijvoorbeeld de Active Directory of Entra ID kun je technisch gezien natuurlijk handmatig en rechtstreeks beheren. Maar dit wordt onbeheersbaar zodra een organisatie honderden of duizenden gebruikers telt en je hun accounts en rechten gedurende hun hele dienstverband correct, consistent en up-to-date wilt houden. Zeker als je daarbij ook nog wilt voldoen aan alle relevante privacy- en informatiebeveiligingsrichtlijnen.

De HelloID Provisioning module zorgt daarom dat medewerkers met behulp van Attribute Based Access Control (ABAC) op ieder moment automatisch worden voorzien van de juiste accounts en rechten. Daarvoor raadpleegt het systeem meerdere keren per dag het HR-systeem als gegevensbron. Aan de hand van bijvoorbeeld iemands actuele functie, afdeling en locatie bepaalt het systeem automatisch de vereiste accounts en toegangsrechten. Deze instellingen worden voor iedere medewerker door HelloID automatisch doorgezet naar de directory service en andere doelsystemen. Dus nog steeds verzorgt onder de motorkap je directory service technisch gezien de authenticatie en autorisatie. Maar de provisioning module zorgt dat binnen grote en complexe organisaties alle instellingen op een beheersbare en controleerbare manier worden beheerd.

Service automation

Hetzelfde geldt voor de HelloID Service Automation module. Met de provisioning functionaliteit verstrek je zoveel mogelijk automatisch de juiste accounts en rechten aan gebruikers. Toch zijn er ook altijd maatwerk wijzigingen nodig. Bijvoorbeeld omdat iemand een extra licentie nodig heeft of toegang moet krijgen tot een gegevensmap om aan een specifiek project te kunnen werken. Die wijzigingen kun je natuurlijk door een tweedelijns beheerder rechtstreeks in de Active Directory laten doorvoeren. Maar met de Service Automation module kunnen we ervoor zorgen dat helpdesk medewerkers, managers of zelfs de medewerker zelf deze wijzigingen kunnen doorvoeren. Ook hier betreft het wijzigingen in de directory service maar ze worden wel veel efficiënter en gebruiksvriendelijker uitgevoerd.

Governance

Met alle rapportagefunctionaliteit en de HelloID Governance module zorgen we er ook voor dat alle wijzigingen traceerbaar zijn en het account- en rechtenbeheer frequent wordt geëvalueerd en waar nodig bijgestuurd. Met regelmatige controles brengen we achterdeurtjes en inconsistenties in kaart en houden we ons rollenmodel actueel. Zo wordt de IAM-functionaliteit integraal meegenomen binnen de Plan-Do-Check-Act cyclus die is voorgeschreven binnen ISO 27001 en daarvan afgeleide beveiligingsnormen.

Meer weten over directory services?

Meer weten over de samenwerking van HelloID en directory services als AD en Entra ID? Neem contact met ons op

Gerelateerde artikelen

Een directory service is een gecentraliseerd systeem dat informatie over gebruikers, apparaten en resources opslaat en beheert. Het biedt authenticatie, autorisatie en zoekfunctionaliteit binnen netwerken, vaak via standaard protocollen zoals LDAP of Kerberos.

LDAP (Lightweight Directory Access Protocol) is een protocol voor het opzoeken en beheren van informatie in een directory service. Het wordt onder andere gebruikt voor authenticatie en autorisatie van gebruikers binnen netwerken.

Active Directory (AD) is de directory service van Microsoft om netwerkbronnen beheert. AD biedt authenticatie, autorisatie en centraal beheer van gebruikers, groepen en apparaten binnen Windows-netwerken met behulp van protocollen als LDAP en Kerberos.