Gebruikersbeheer
Gebruikersbeheer is het proces dat gericht is op het administreren van gebruikers van IT- en informatiesystemen.
Terminologie
Het uitgangspunt is in het algemeen het verkeer tussen bron- en doelsystemen. De bronsystemen bevatten broninformatie en/of deelinformatie over een digitale identiteit die procesmatig naar andere systemen wordt getransporteerd. Het bronsystemen kan een personeelsinformatiesysteem, een klantrelatiebeheersysteem of een ander identiteitbevattend systeem zijn (bijvoorbeeld Burgeradministraties en bedrijvenadministraties). De gebruikte processen in gebruikersbeheer komen overeen met die voor toegangsbeheer.
Proces
Gebruikersbeheer kent twee deelprocessen:
Registratie
Onder registratie wordt bedoeld het plaatsen van de juiste identiteitsinformatie van bronsysteem naar doelsysteem. Binnen de grenzen van een organisatie kan dit zijn van een HRM systeem naar een directory (bijvoorbeeld eDirectory of Active Directory). Vanuit het centrale directory systeem kan voorts procesmatige registratie plaatsvinden naar andere doelsystemen. Voorbeelden van doelsystemen zijn ERP systemen, HR systemen, FMIS systemen, mailsystemen, portalen, financiële systemen, etc. Anderen gebruiken databases in plaats van directory's. Het proces hierin is identiek. De centrale opslagplaats van identiteiten in een centraal systeem wordt ook wel een Identity vault (kluis) genoemd. Idensys wordt ontwikkeld als standaard voor online identificatie en vaststelling van bevoegdheden.
Autorisatie
Het belangrijkste proces is het provisioning- of autorisatieproces, dat zich richt op het toekennen van autorisaties en gebruikersrechten aan gebruikers van de informatiesystemen. Omgekeerd, als een identiteit door vooraf gedefinieerde regels geen toegang meer mag hebben op bepaalde informatie binnen informatiesystemen, zal deze automatisch worden ontnomen. In dit proces moet worden geborgd dat alleen bevoegde personen autorisaties toekennen.
Access Control
Moderne toegangscontrole technieken zijn:
- Role-based access management (RBAM), toegang wordt bepaald op basis van de vooraf gedefinieerde rol van een gebruiker binnen een bedrijfsproces.
- Role-based access control (RBAC), toegang wordt automatisch bepaald op basis van de rol van een gebruiker binnen een bedrijfsproces.
- Rule-based access control, toegang wordt bepaald via toegangsregels.
Een gerelateerd begrip is ook Single sign-on (SSO), ofwel het mechanisme waardoor een gebruiker slechts één maal hoeft in te loggen om vervolgens meerdere systemen en applicaties te kunnen gebruiken.
Ontwikkelingen
Federation
Er ontstaan steeds meer relaties tussen organisaties. Ketenintegratie en samenwerkingsverbanden ontstaan op grote schaal. Om processen over organisaties heen te integreren, is het nodig om zekerheid te verkrijgen over de identiteiten die betrokken zijn bij die processen. Het is niet altijd mogelijk om als organisatie alle identiteiten zelf te beheren. Om toch een betrouwbare registratie te verkrijgen, wordt meer en meer vertrouwd op de authenticatie van gebruikers door ketenpartners. Als een ketenpartner betrouwbaar wordt gevonden, dan zullen de medewerkers van die partner ook betrouwbaar zijn. De organisatie zal dan ook wensen om te vertrouwen op de identiteiten die de ketenpartner zelf ook vertrouwt. Het Federation mechanisme maakt dat mogelijk. Door toepassing van protocollen als SAML en WS-trust kan het identiteitenbeheer wordt overgedragen aan derden. DigiD is in Nederland een voorbeeld van federation binnen het overheidsdomein. Het bevindt zich op het grensvlak van traditionele federation en Identity 2.0.
Identity 2.0
Tot nog toe werden identiteiten beheerd door de organisaties die zelf bepalen wie toegang mag hebben tot de applicaties van die organisaties. Daarbij registreert elke organisatie zijn eigen gebruikers. In de huidige internetcultuur is dat niet langer een realistisch uitgangspunt. Niet alleen is het aantal potentiële gebruikers ongekend groot, gebruikers, individuen, willen ook zelf hun identiteit beheren en willen zelf de zeggenschap hebben over het verstrekken van identiteitgegevens. Die ontwikkeling wordt gestimuleerd door de web 2.0 gedachten. Voor het identiteitenbeheer betekent dat onder meer dat sprake is van het User Centric Identity Management. Belangrijke ontwikkelingen zijn gestart na het formuleren van de Laws of Identity door Kim Cameron. De term die voor deze ontwikkeling wordt gebruikt heet in navolging van web 2.0 ook wel Identity 2.0.
Protocollen
- SAML
- WS-security
Producten
Er zijn veel leveranciers die softwarepakketten verkopen om gebruikersbeheer te kunnen uitvoeren. Grote bedrijven als Atos, Oracle Corporation, Novell, NetIQ, SUN, Microsoft, IBM, CA, HP en FoxT ServerControl hebben allen programma's beschikbaar. Daarnaast zijn er ook Open Source pakketten te verkrijgen als SIAM, een doorontwikkeling op o.a. A-Select ondersteund door Anoigo; A-select, ontwikkeld in samenwerking met SURF door Alfa&Ariss en OpenAM, een doorontwikkeling op het product OpenSSO van SUN Microsystems, nu ondersteund door ForgeRock.