Zo is het inlogproces via AFAS Pocket kortgeleden aangescherpt met nummerkoppeling. Ook onderzoeken we hoe we wachtwoordloos inloggen kunnen ondersteunen. Dit zijn echter vooral effectieve maatregelen om de grote boze buitenwereld buiten te houden. Maar hoe zit dat eigenlijk binnen je eigen omgeving met Single Sign-On (SSO)? Dan gelden deze maatregelen niet en vraag je je misschien af: “Is mijn organisatie dan wel veilig?” In dit artikel leg ik graag uit hoe AFAS hier naar kijkt.
Identity federation is nodig om SSO bij AFAS Online toe te passen. Het idee achter identity federation is dat je slechts één set referenties hebt voor toegang tot meerdere systemen. Diverse onafhankelijke systemen vertrouwen dan op een enkele Identity Provider (IdP) voor het authentiseren van gebruikers. Het grote voordeel is dat je als eindgebruiker nog maar één set referenties hoeft te onthouden, terwijl beheerders op een centrale plek controle hebben over gebruikersidentiteiten en het authenticatieproces.
Met identity federation kun je SSO ondersteunen. In de praktijk hoeft iemand dan nog maar één keer door het authenticatieproces voor toegang tot meerdere applicaties. Dit alles zonder afzonderlijke inlogreferenties voor iedere applicatie. Het voordeel van SSO is een prettige gebruikservaring. Tegelijkertijd blijft het systeem wel kwetsbaar wanneer je deze referenties niet goed beschermt. Als je centrale identity provider genoegen neemt met alleen een gebruikersnaam en wachtwoord, is er weinig verschil met de situatie waarbij gebruikers voor iedere applicatie dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken. Het enige verschil is dat je deze gegevens niet steeds opnieuw hoeft in te voeren. Inmiddels begrijpt iedereen wel dat hergebruik van inloggegevens geen goed idee is. Daarom is het juist bij SSO noodzakelijk om accounts extra te beveiligen. Dan geef je kwaadwillenden geen kans. Gebruik daarom minimaal een vorm van Multi-Factor Authenticatie (MFA) als extra beschermlaag voor alle gebruikers.
Met conditionele toegang stel je gedetailleerde extra toegangscontroles in. Bijvoorbeeld door te kijken naar specifieke omstandigheden en informatie, zoals waar de gebruiker is, welk apparaat hij gebruikt of hoe gevoelig de gegevens zijn die hij wil inzien. Door meerdere factoren tegelijk te bekijken, bepaal je direct of iemand toegang krijgt. Dit is een flexibelere benadering van beveiliging, waarbij je op basis van de situatie op dat moment toegang geeft of weigert.
Dit zijn slechts een paar voorbeelden van de vele mogelijkheden om je beveiliging verder aan te scherpen. Door condities te combineren, richt je in ieder geval een ijzersterk inlogproces in. Voor AFAS Online verwachten wij dat iedereen minimaal met MFA inlogt, ook als je met SSO werkt. Op dit moment controleren we daar nog niet op. Toch is het niet uitgesloten dat we in de toekomst technisch gaan checken of een gebruiker wel een MFA-claim overlegt als hij op AFAS Online inlogt. Als het zo ver is, laten we dit natuurlijk weten. In de tussentijd is vooral belangrijk dat je zorgt voor een goede balans tussen veiligheid en gebruiksgemak bij het inloggen op bedrijfsapplicaties.
Ignaece, Security Officer (CISO) bij AFAS, helpt je in een serie artikelen om je internetveiligheid te vergroten. In dit artikel: Single Sign-On (SSO)