van wachtwoorden naar
OAuth, SAML, LDAP,
AD koppeling of Tweeweg verificatie
Inloggen op afstand, hoe werkt dat nu eigenlijk? Regelmatig krijg ik deze vraag van managers, die zelf niet op de IT afdeling werkzaam zijn. Maar wel meebeslissen over de aanschaf van een intranetplatform. Logisch dat deze vraag vaak gesteld wordt, want het is voor veel leken een ongrijpbaar iets. Daarom geef ik in deze column een eenvoudige uitleg van verschillende manieren van inloggen, zowel binnen het eigen netwerk als op afstand. Inloggen voor dummy's dus.
Gebruikersnaam en wachtwoord
De bekendste manier om in te loggen, is de combinatie van een gebruikersnaam en wachtwoord. Het intranetintranet of een andere applicatie controleert of de ingevoerde combinatie van gebruikersnaam en wachtwoord bekend is in het systeem. En als dat zo is? HoppaHoppa, je bent ingelogd.
OAuth
OAuth, of Open Authorization is een manier van inloggen waarbij geen gebruikersnaam of wachtwoord wordt ingegeven, maar er wordt ingelogd via een andere applicatie. Bewust of onbewust kent iedereen deze manier van inloggen. Facebook is een grootverbruiker van OAuth. Op welke websitewebsite kun je tegenwoordig niet inloggen met je Facebook account? Je hoeft geen gebruikersnaam of wachtwoord op te geven, maar wat je hiermee wel uit handen geeft, zijn je privégegevens. Niet direct, maar Facebook kan wel precies in de gaten houden op welke sites jij inlogt. Door deze data aan elkaar te verbinden, kunnen ze een profiel van je samenstellen, dat in veel gevallen heel dicht bij de waarheid komt. Als je hier geen problemen mee hebt; prima, doen. Maar wil je niet te veel prijsgeven? Maak dan op iedere website gewoon een nieuw account aan.
LDAP of AD koppeling
Alweer een afkorting voor een manier om in te loggen. LDAP betekent Lightweight Directory Acces ProtocolLightweight Directory Acces Protocol en Active Directory (AD) Active Directory (AD) is hier weer een afgeleide van. Als de applicatie binnen het eigen netwerk staat, kan een koppeling worden gemaakt met de Active Directory. Dat betekent dat het intranet via de koppeling kan controleren dat je bent wie je bent. Deze koppeling kan ook weer leiden tot SSO (Single Sign On)SSO (Single Sign On). Kort gezegd komt het erop neer dat je direct ingelogd bent op het intranet zodra je bent ingelogd op het netwerk.
SAML
Door alle afkortingen begin ik nu ook wel te begrijpen waarom het voor de niet-IT'ers zo lastig te begrijpen is. Hier komt er weer één: SAML (Security Assertion Markup Language)SAML (Security Assertion Markup Language). Dit is een manier om op afstand een koppeling te maken met de Active DirectoryActive Directory. Eigenlijk heeft dit veel overeenkomsten met de manier waarop je via Facebook op een andere site inlogt. Maar in dit geval gebeurt het met interne gegevens. Ook SAML kan weer leiden tot Single Sign On, waardoor je direct bent ingelogd op het intranet als je bent ingelogd op het netwerk.
Tweeweg verificatie
Er kan nog een extra laag worden toegevoegd aan bovenstaande manieren van inloggen om de beveiliging nog iets scherper te krijgen. Dit kan door gebruik te maken van tweeweg verificatie. In het intranet is een e-mailadres of mobiel nummer bekend via de gebruiker. Zodra er wordt geprobeerd om in te loggen, wordt een e-mail of SMS verstuurd met een verificatiecode. Na invoeren van deze code in het intranet wordt de gebruiker pas ingelogd.
Een SAML koppeling realiseren
Ik hoop dat deze uitleg voor iedereen begrijpelijk was. Maar als IT-er heb je hier helaas niet zo veel aan. Dan wil je juist weten hoe je de koppelingen realiseert. Om jullie ook blij te maken, ga ik de volgende keer dieper in op het realiseren van de SAML koppeling.
- Er zijn geen reacties gevonden. Ben jij de eerste?