Gratis demo Contact
Identity Provider

Identity Provider (IdP)

Wat is een Identity Provider?

Een IdP (Identity Provider) is een centraal platform dat de digitale identiteit van gebruikers kan verifiëren. Applicaties die via een zogeheten trustrelatie zijn aangesloten op zo’n IdP kunnen de authenticatie van gebruikers als het ware delegeren naar die Identity Provider. De gebruiker kan inloggen op de IdP en krijgt bij een succesvolle authenticatie direct toegang tot de aangesloten applicaties. Ook kan de IdP extra informatie verstrekken ten behoeve van de autorisatie van de gebruikers.

Waarom is een Identity Provider belangrijk?

Het grote voordeel is dat de gebruiker niet in verschillende applicaties hoeft in te loggen met verschillende gebruikersgegevens. Je registreert in de IdP één set inloggegevens – veelal een gebruikersnaam en wachtwoord – en daarmee kun je toegang krijgen tot meerdere aangesloten applicaties. Op die manier is de Identity Provider een belangrijke bouwsteen voor Single Sign-On (SSO) want normaliter kan de authenticatie zo worden geconfigureerd dat de gebruiker maar één keer aan het begin van een gebruikerssessie moet inloggen; daarna krijg je vanzelf ook toegang tot de andere toepassingen. Dat is niet alleen gebruiksvriendelijk maar ook veiliger. Als gebruikers maar één keer moeten inloggen, is het meestal minder een probleem een sterk wachtwoord én Multi-Factor Authenticatie te gebruiken.

Naast SSO is een Identity Provider ook belangrijk voor federatie waarbij mensen met behulp van één set login gegevens toegang kunnen krijgen tot meerdere partner-domeinen. Zo kunnen medewerkers van partnerorganisaties – bijvoorbeeld verschillende scholen binnen één onderwijsinstelling - dankzij de Identity Provider eenvoudig met hun eigen inloggegevens toegang krijgen tot elkaars applicaties en gegevens.

Identity Provider en Service Provider

Voor we uitleggen hoe een Identity Provider werkt is het goed om eerst nog even de term Service Provider toe te lichten want beide termen kom je vaak in samenhang tegen:

  • De Identity Provider is het platform dat verantwoordelijk is voor het verifiëren van de identiteit van een gebruiker en het verstrekken van authenticatiegegevens aan andere systemen. Het beheert de gebruikersaccounts en hun inloggegevens zoals wachtwoorden maar bijvoorbeeld ook multi-factor authenticatie (MFA) of biometrische gegevens.

  • Een Service Provider is een applicatie of dienst die gebruik maakt van een Identity Provider om gebruikers te verifiëren. De SP vertrouwt dus op de IdP voor de authenticatie en kan de gebruikers aan de hand hiervan toegang geven. De term Service Provider kan dus wat verwarrend zijn want in de context van je authenticatie neemt het juist een dienst af van de Identity Provider.

Hoe werkt een Identity Provider?

Hoe gebruik je een Identity Provider om eenvoudig in te loggen in applicaties of diensten (de Service Providers)? Om daarbij tegelijk ook Single Sign-On te illustreren, geven we een voorbeeld waarin achtereenvolgens twee applicaties worden benaderd.

Authenticatie bij de Identity Provider voor Applicatie 1

  • Een gebruiker probeert toegang te krijgen tot Applicatie 1 (ofwel SP 1).

  • Applicatie 1 bemerkt dat de gebruiker niet is ingelogd en stuurt daarom een authenticatieverzoek naar de Identity Provider (IdP).

  • De gebruiker wordt doorgestuurd naar de IdP-loginpagina. Daar voert de gebruiker inloggegevens in zoals een gebruikersnaam en wachtwoord.

  • De IdP verifieert de identiteit van de gebruiker en bij een succesvolle identificatie genereert het systeem een zogeheten authenticatietoken, een versleuteld digitaal toegangsbewijs.

  • De gebruiker wordt terug gerouteerd naar Applicatie 1 inclusief dit token.

  • Applicatie 1 valideert het token en de gebruiker krijgt toegang.

De toegang heeft dus indirect plaatsgevonden. Er is een zogeheten trustrelatie (vertrouwensrelatie) tussen de Identity Provider en de Service Provider en daarom verleent de applicatie toegang op basis van het authenticatietoken.

Toegang tot Applicatie 2 met SSO

  • De gebruiker probeert vervolgens toegang te krijgen tot Applicatie 2 (SP 2).

  • Ook applicatie 2 detecteert dat de gebruiker niet is ingelogd en stuurt dus een authenticatieverzoek naar de IdP.

  • De IdP ziet dat de gebruiker al een actieve sessie heeft (van Applicatie 1). Daarom vraagt de IdP niet nogmaals om inloggegevens.

  • De IdP genereert vervolgens een authenticatietoken voor Applicatie 2.

  • Applicatie 2 valideert het token en geeft de gebruiker toegang.

De gebruiker is nu ingelogd bij Applicatie 2 zonder opnieuw in te loggen. SSO is geen verplichte functionaliteit van een Identity Provider – nogmaals inloggen met dezelfde gegevens zou ook kunnen – maar een Identity Provider is bij uitstek geschikt om deze functionaliteit mogelijk te maken.

Omdat Identity Providers naadloos moeten samenwerken met tal van applicaties, verloopt de communicatie via standaard protocollen. Zo wordt bijvoorbeeld gebruik gemaakt van SAML (Security Assertion Markup Language) of OpenID Connect voor de uitwisseling van de authenticatietokens. Om ook autorisatiegegevens vanuit de IdP te kunnen versturen richting applicaties wordt gebruik gemaakt van protocollen als OAuth 2.0 en JWT (JSON Web Token).

Identity Providers voorbeelden

Twee bekende voorbeelden van Identity Providers zijn Entra ID en Google Identity Platform:

  • Microsoft Entra ID (voorheen Azure Active Directory) is een cloud Identity Provider die Single Sign-On (SSO), Multi-Factor Authenticatie (MFA) en federatie (met Active Directory Federation Services, ADFS) verzorgt. Entra ID werkt naadloos samen met Microsoft 365, Azure, en enterprise-applicaties. Deze Microsoft Azure identity provider ondersteunt onder andere de OAuth 2.0, OpenID Connect, en SAML standaarden.

  • Google Identity Platform verzorgt authenticatie- en autorisatiediensten en ondersteunt SSO en MFA. Het geeft gebruikers met Google accounts veilige toegang tot Google Workspace, mobiele apps en webapplicaties. Deze IdP ondersteunt OAuth 2.0, OpenID Connect en Firebase Authentication.

Daarnaast bieden moderne IAM omgevingen veelal een ingebouwde Identity Provider. Ook HelloID biedt klanten een eigen Identity Provider inclusief MFA en SSO functionaliteit.

Identity Provider binnen je IAM oplossing

Een Identity Provider speelt in het algemeen een specifieke rol binnen in een bredere Identity & Access Management (IAM)-omgeving. De IdP is belangrijk om gebruikers te verifiëren en informatie te verstrekken ten behoeve van de authenticatie en autorisatie, waarna een IAM omgeving dit aanvult met extra features. Ook verzorgt het IAM platform het beheer van de identiteits- en rechtengegevens gedurende de hele identity lifecycle. Dat begint bij de instroom van gebruikers en loopt door tot en met de doorstroom van medewerkers naar andere functies en uiteindelijk ook de uitstroom uit de organisatie. Hieronder beschrijven we kort hoe een IAM platform als HelloID gebruik maakt van een Identity Provider en daar waarde aan toevoegt.

Access Management

Veel klanten gebruiken tegenwoordig Microsoft 365 als basis voor hun kantoorautomatisering. Dat betekent ook dat men AD gebruikt als directory service of Entra ID als volwaardige Identity Provider. In dat geval gebruik je een IAM platform als HelloID niet rechtstreeks voor deze access functionaliteit maar gebruik je het platform voor verdere management en governance functies. Dat lichten we in de paragrafen hieronder uitgebreider toe.

Tegelijkertijd zijn er nog wel degelijk scenario’s waarin men binnen het IAM platform een eigen Identity Provider wil toepassen. Daarvoor biedt de HelloID Access Management module een eigen Identity Provider waarmee we SSO en Multi-Factor Authenticatie bieden voor de aangesloten applicaties. In dat geval beschikt iedere gebruiker over een gepersonaliseerd portaal met de icoontjes van de eigen applicaties die je met één klik kunt openen. Dit HelloID SSO-portaal kunnen we ook eenvoudig als widget integreren in bijvoorbeeld het bestaande intranet van een klantorganisatie. Met behulp van de Access Management functionaliteit bieden we ook federatie om de samenwerking tussen klantorganisaties te faciliteren en migratiescenario’s te ondersteunen.

Provisioning

De gegevens in een Identity Provider als Entra ID kun je natuurlijk rechtstreeks op het platform laten beheren door een van de IT-beheerders. Toch wordt dit al snel onbeheersbaar als een organisatie talloze applicaties op de IdP heeft aangesloten met honderden of zelfs duizenden gebruikers. Vooral omdat het er niet alleen om gaat accounts en rechten eenmalig te verstrekken. We moeten die gegevens daarna ook voortdurend up-to-date houden.

Wij vereenvoudigen dat beheer met de HelloID Provisioning module waarin we aan de hand van Attribute Based Access Control (ABAC) garanderen dat iedere medewerker op ieder moment automatisch wordt voorzien van de juiste accounts en rechten. Daarvoor raadpleegt het platform een bronsysteem zoals de HR-applicatie. Daarin vind je op ieder moment de actuele functie, afdeling en locatie van medewerkers en aan de hand daarvan bepaalt HelloID automatisch de vereiste accounts en toegangsrechten. Die worden vervolgens voor iedere medewerker automatisch doorgezet naar de Identity Provider en ook naar andere doelsystemen; want niet ieder platform is aangesloten op de IdP en ook in andere doelsystemen wordt informatie over toegangsrechten vastgelegd.

Je Identity Provider speelt dus technische een belangrijke rol bij je Single Sign-On en daarmee de authenticatie van gebruikers en autorisatie tot doelsystemen. De provisioning module zorgt vervolgens dat binnen grote en complexe organisaties alle instellingen op een beheersbare en controleerbare manier worden beheerd.

Service automation

Iets vergelijkbaars geldt voor de HelloID Service Automation module. Met de provisioning functionaliteit borgen we dat gebruikers waar mogelijk automatisch worden voorzien van accounts en rechten. Maar naast die automatische provisioning zijn er ook altijd nog individuele verzoeken mogelijk. Iemand kan bijvoorbeeld een extra applicatielicentie nodig hebben om tijdelijk te kunnen werken aan een project. Zo’n wijziging kun je uiteraard door tweedelijns beheerders laten doorvoeren, rechtstreeks in de Identity Provider en andere doelsystemen. Maar met de Service Automation module kunnen helpdesk medewerkers of managers zulke wijzigingen nu zelf uitvoeren. En sommige aanpassingen kan een medewerker zelfstandig uitvoeren via het self-service portaal. Ook hier betreft het wijzigingen in onder andere de Identity Provider maar ze worden wel veel efficiënter en gebruiksvriendelijker uitgevoerd. Bovendien zijn alle wijzigingen achteraf eenvoudiger te traceren. En het blijft veilig omdat de wijzigingen via HelloID worden uitgevoerd, niemand werkt rechtstreeks in de doelsystemen.

Governance

Binnen HelloID bieden we uitgebreide rapportagefunctionaliteit die we bovendien bundelen met de HelloID Governance module. Zo kunnen we eenvoudig alle rechtenwijzigingen traceren en ook kunnen we het account- en rechtenbeheer maandelijks evalueren en zo nodig bijsturen. Met regelmatige controles brengen we achterdeurtjes en inconsistenties in kaart en houden we ons rollenmodel actueel. Zo is de IAM functionaliteit integraal opgenomen binnen de Plan-Do-Check-Act cyclus, een belangrijke eis binnen ISO 27001 en daarvan afgeleide beveiligingsnormen.

Meer weten over de rol van een Identity Provider?

Meer weten over de rol van een Identity Provider en het gebruik ervan binnen HelloID? De Access Management pagina op onze site geeft een volledig beeld van de functionaliteit en mogelijkheden.

Gerelateerde artikelen

Een Identity Provider (IdP) is een systeem dat gebruikers authentiseert en daarmee hun identiteit bevestigt voor applicaties of services. Een IdP beheert daarvoor inloggegevens en ondersteunt veelal Single Sign-On en Multi-Factor Authenticatie.

Zowel een Identity Provider als een Directory Service kunnen fungeren als een centraal platform met identiteitsgegevens ten behoeve van authenticatie van gebruikers. Een Identity Provider (IdP) is krachtiger en kan ook in cloud-omgevingen worden gebruikt. Een Directory Service is primair ontwikkeld voor interne IT-omgevingen.

Een Identity Provider (IdP) authentiseert gebruikers en verstrekt identiteitsgegevens aan applicaties en diensten. Zo’n applicatie of dienst wordt in dat verband ook wel een Service Provider (SP) genoemd. De IdP verzorgt dus de authenticatie van gebruikers richting de SP.