Wat is een identity vault - Tools4ever
Gratis demo Contact
Identity vault

Identity vault

Wat is een Identity vault?

Een identity vault is in het Nederlands letterlijk een identiteitskluis. Binnen een digitaal netwerk is een identity vault een extra goed beveiligde dataopslag waarin je identiteitsgegevens kunt opslaan. Dat kunnen contactgegevens zijn, maar ook paspoort- of rijbewijsnummers, biometrische gegevens en wachtwoorden. Zulke persoonsgegevens moeten veilig worden bewaard om misbruik en datalekken te voorkomen. Daarvoor maken identity vaults gebruik van encryptie, multifactor-authenticatie en andere beveiligingstechnologieën.

Voorbeelden van identity vaults en hun gebruik

Er worden steeds meer digitale persoonsgegevens verwerkt en dat maakt een identity vault een belangrijk hulpmiddel. Hieronder noemen we drie concrete toepassingen.

Passwordmanager

De meeste mensen hebben talloze wachtwoorden nodig voor hun zakelijke en privé applicaties. Het is lastig om die wachtwoorden allemaal te onthouden en het gevolg is meestal dat mensen ze opschrijven of steeds hetzelfde wachtwoord gebruiken. Dat is verre van veilig en veel organisaties en cloudaanbieders proberen dat te voorkomen met Single Sign-On. Dat is een technologie waarmee je met één keer inloggen toegang krijgt tot meerdere applicaties. Toch blijven er dan meestal nog steeds meer losse wachtwoorden over dan je lief is. Om die veilig te bewaren, gebruiken mensen daarom tegenwoordig vaak een passwordmanager zoals LastPass of KeePass. Hiermee kun je voor ieder account de gebruikersnaam en het wachtwoord veilig bewaren, en vaak ook met één klik inloggen. Ook biedt zo’n passwordmanager nog ruimte om allerlei andere persoonlijke gegevens te bewaren zoals creditcardgegevens, adressen en vertrouwelijke notities. Feitelijk beschik je daarmee dus over een persoonlijke identity vault.

Overheids identity vault

Binnen de overheid zie je ook steeds meer toepassingen die qua rol en functionaliteit doen denken aan een identity vault. Nu zijn dat nog vooral centrale databases met persoonsgegevens. Zoals de Basisregistratie Personen (BRP) waarin van iedere burger de naam, adres, geboorteplaats, nationaliteit, en burgerservicenummer (BSN) staan geregistreerd. Ook de Rijksdienst voor het Wegverkeer (RDW) beheert een identity vault waarin onder andere rijbewijzen en voertuigregistraties worden beheerd.

Daarnaast zijn er initiatieven om burgers een soort persoonlijke ‘overheidskluis’ te geven waarin je je eigen gegevens kan bewaren en toegang krijgt tot digitale toepassingen. Zo wordt er EU-breed gewerkt aan de European Digital Identity, de EDI Wallet. Hierin kunnen burgers zelf belangrijke gegevens digitaal bewaren, zoals hun rijbewijs, paspoort, diploma’s of medische gegevens. En bovendien geeft die wallet ze veel meer controle over hoe die gegevens kunnen worden gedeeld. Nu moet je bijvoorbeeld nog je identiteitskaart tonen om te bewijzen dat je ouder bent dan 18. Straks bevestigt de EDI-wallet desgevraagd dat iemand ouder is dan 18. Maar de exacte geboortedatum en verdere gegevens zijn daarvoor niet relevant en zijn dus niet zichtbaar. In elke EU-lidstaat moet eind 2026 minstens één gecertificeerde EDI-wallet beschikbaar zijn. De Nederlandse overheid ontwikkelt een nationale versie, de publieke NL-wallet.

Identity Vaults binnen IAM omgevingen

Ook binnen IAM omgevingen zijn identity vaults nodig. Sterker nog, er zijn twee plekken binnen het IAM domein waar een soort identity vault wordt gebruikt:

  • Binnen een IAM architectuur wordt vaak een centrale Identity Provider (IdP) gebruikt voor de authentication en Single Sign-On (SSO). Als gebruiker log je bij het begin van een gebruikerssessie in op die IdP. Als de authenticatiepoging is geslaagd, verstrekt de IdP digitale tokens waarmee je automatisch toegang krijgt tot je applicaties. Je kunt bijvoorbeeld Entra ID gebruiken als IdP, maar ook een IAM platform als HelloID biedt klanten een IdP. Feitelijk is het een identity vault die onder andere gebruikersnamen, gehashte wachtwoorden en andere gegevens opslaat, en die nodig zijn om het authenticatieproces te ondersteunen.

  • Daarnaast beschikt een IAM platform ook over een identity opslag die specifiek nodig is voor je automatische provisioning. Hierbij kun je accounts automatisch aanmaken en toegangsrechten verstrekken. Het mechanisme gebruikt daarvoor allerlei persoonsgegevens die je verzamelt uit een of meerdere bronsystemen, en vervolgens verwerkt in een soort identity vault binnen je IAM platform.

Over dat tweede type identity vault vertellen we hieronder meer.

IAM Identity Vault voor provisioning

Het beheer van accounts en toegangsrechten is eenvoudig in een klein bedrijfje met enkele medewerkers en een paar applicaties. Dan volstaat een spreadsheet en kun je de gegevens rechtstreeks invoeren in de betreffende systemen. Maar in een organisatie met tientallen tot zelfs duizenden gebruikers en tientallen applicaties is dit handmatige beheer onwerkbaar. Dan heb je een user provisioning functionaliteit nodig waarbij accounts en toegangsrechten zoveel mogelijk automatisch worden verstrekt.

De crux hierbij is dat je niet voor iedere individuele gebruiker een lijst gaat bijhouden met persoonlijke instellingen. In plaats daarvan gebruik je een concept als Role of Attribute Based Access Control (RBAC of ABAC). Daarbij kun je aan de hand van zogeheten gebruikersattributen automatisch accounts aanmaken en rechten verstrekken.

Daarvoor verwerk je binnen je IAM omgeving feitelijk twee soorten persoonsgegevens:

  • Allereerst basisgegevens als iemands voornaam, achternaam, voorkeursnaam en contactgegevens. Deze gegevens gebruik je om digitale identiteiten aan te maken op het platform. Met profielgegevens, accountnamen en e-mailadressen. Een organisatie maakt daarbij eigen afspraken hoe je voor- en achternaam worden vertaald naar een e-mail adres. En vaak wordt zo’n e-mailadres ook gebruikt als username voor alle applicaties.

  • Daarnaast zijn er allerlei andere relevante persoonsgegevens die je bij je automatische provisioning gebruikt om te bepalen welke accounts en rechten iemand nodig heeft. Zo zijn binnen een organisatie de benodigde rechten vaak afhankelijk van de functie die iemand vervult en op welke afdeling hij of zij werkzaam is. Terwijl binnen een universiteit de studierichting en het studiejaar van studenten nodig zijn om de juiste accounts en rechten uit te geven.

Deze gegevens verzamelen en verwerken we binnen HelloID in een specifieke identity vault

Gebruik van de identity vault

De eerste taak van je identity vault ten behoeve van provisioning is het verzamelen van de benodigde data. Daarna ga je die gegevens in de vault verwerken om daarmee accounts en rechten aan te maken en te beheren.

Brongegevens in je identity vault

De benodigde gegevens haal je zoveel mogelijk uit bronsystemen waarin deze gegevens van nature al worden beheerd en onderhouden. Voor veel IAM omgevingen is het HR-systeem dan ook de belangrijkste bron. Daarin vind je immers alle basisdata van medewerkers zoals iemands voornaam, achternaam en contactgegevens. En daarnaast ook de functie van medewerkers, hun afdeling etc. Een IAM platform als HelloID heeft dus een rechtstreekse koppeling met het HR-platform en importeert daaruit de relevante personeelsgegevens naar de eigen identity vault.

Tegelijkertijd kunnen er ook nog andere bronsystemen worden gebruikt. In universiteiten worden vaak gegevens uit de studentenadministratie gebruikt om student-accounts te kunnen aanmaken. Ook worden gegevens over inhuurkrachten vaak in een apart systeem beheerd en kan informatie uit planning- en roosterapplicaties soms worden gebruikt om rechten nog fijnmaziger te kunnen uitdelen.

Identity vault verwerking

De gegevens uit zulke bronsystemen ondergaan vervolgens binnen het IAM platform verschillende bewerkingen. Zo kunnen gegevens behorend bij een en dezelfde persoon op verschillende plaatsen of zelfs in meerdere bronsystemen zijn opgeslagen. Die gegevens moeten dan binnen de identity vault worden omgezet naar één set gegevens, behorend bij die specifieke persoon. Maar het kan ook gebeuren dat vergelijkbare gegevens op meerdere plekken zijn geregistreerd en deze juist ontdubbeld moeten worden. En we zetten gegevens om naar één intern gegevensformat waarmee je binnen je IAM platform kunt werken. Het eindresultaat van al deze bewerkingen is één uniforme dataset die is opgebouwd uit gegevens vanuit verschillende bronsystemen.

Die vertaalslag van gegevens naar één intern uniform format is niet alleen nodig om gegevens uit meerdere bronsystemen te combineren. Het kan ook voorkomen dat een van de bronsystemen wordt vervangen. Men selecteert bijvoorbeeld een ander HR-systeem. Dat nieuwe systeem zal de gegevens meestal in een ander format verwerken en delen. Door binnen de IAM omgeving één uniform format te hanteren, beperk je dan de impact tot de connector tussen het nieuwe bronsysteem en het IAM platform. De interne verwerking en de verdere user provisioning functionaliteit blijven ongewijzigd.

Meer weten over de identity vault en bronconnectoren?

Binnen je HelloID IAM platform is de identity vault dus de plek waar we op een veilige manier persoonsgegevens verzamelen en verwerken. De user provisioning functionaliteit gebruikt deze data vervolgens voor het automatisch aanmaken van accounts en verstrekken van rechten.

Welke gegevens kunnen worden verzameld in de identity vault hangt af van de aangesloten bronsystemen. HelloID biedt standaard connectoren naar verschillende bronsystemen en in onze catalogus vind je per bronconnector een overzicht van de beschikbare gegevens en hoe je die kan gebruiken voor je account- en rechtenbeheer.

Gerelateerde artikelen

Een identity vault is een beveiligde digitale opslagplaats voor identiteitsgegevens. Gegevens kunnen variëren van paspoort- of rijbewijsgegevens tot en met biometrische gegevens en wachtwoorden.

Vault identity verwijst naar de wijze waarop je gebruikers kunt herkennen en autoriseren om ze toegang te geven tot vertrouwelijke gegevens die je opslaat in een digitale vault.

Een bronsysteem is een informatiesysteem dat binnen een organisatie fungeert als bron voor een specifiek type gegevens. Het HR-systeem is bijvoorbeeld het bronsysteem voor je personeelsgegevens.