Wat is nu SAML authenticatie en wie heeft dit nodig?

  

Voor toegang tot cloud en web diensten zijn we allemaal gebruikersnaam en wachtwoord benodigd. Misschien herken je het wel, je bent bij iedere dienst een eigen gebruikersnaam en wachtwoord benodigd en heb jij een grote lijst aan wachtwoorden verzameld voor bv Dropbox, email toegang, web apps voor het bijhouden van resultaten van de kinderen op school of kinderdag verblijf, toegang tot je werk omgeving en zo kan ik nog wel even doorgaan.
Ik ga ervan uit dat je dit op een veilige manier hebt opgeslagen.

In het bedrijfsleven spelen organisaties ook met deze uitdagingen. Steeds meer organisaties nemen producten en diensten af in de publieke cloud. 
Dit wordt voornamelijk gedaan om kosten te besparen en een hoge beschikbaarheid van de applicatie te kunnen realiseren.
Anno 2018 werken we flexibeler, steeds minder op een vaste werkplek, verschillende kantoren of gewoon onderweg.

Om nu te voorkomen dat jij als medewerker van een organisatie voor al die cloud en web diensten wachtwoorden moet gaan onthouden, jouw weer te ondersteunen op het moment dat je na je vakantie je wachtwoord weer eens bent vergeten.
Om je altijd toegang te geven tot deze cloud en webapplicaties zonder daarbij verschillende gebruikersnamen en wachtwoord te hoeven verstrekken, zijn er technologieën voor ontwikkeld om de aanmelding tot deze zakelijke diensten eenvoudiger te maken, in dit artikel ga ik hierop even een verdiepingsslag maken en neem ik je mee op de technologie.

De uitdagingen

Termen als “ADFS” , “SAML”, “Oath2” en “2staps verificatie” vliegen jou om je oren alles moet veiliger en gebruiksvriendelijker en oh ja.. er kijkt ook nog een overheidsinstantie mee via de AVG (GDPR). Dus er moet ook nog op gelet worden wie wel of niet bij gevoelige bedrijfs informatie mag komen.
Authenticatie moet uiteraard zo veilig mogelijk en moet niet al te complex zijn.
Het risico dat jij je wachtwoord vergeet is natuurlijk ook nog van toepassing en organisaties bieden daarom je ook nog een veilige manier aan om je wachtwoord te kunnen herstellen.

Voor organisaties zijn er steeds meer hulpmiddelen ontwikkeld om het beheer van cloud en web applicatie toegangen te kunnen beheren. 
Dit wordt anno nu steeds vaker vanuit 1 centrale oplossing geboden. 
Je ziet ook veel ontwikkelingen waarbij deze centrale oplossingen weer vanuit de cloud worden aangeboden en je geen nieuwe componenten in je infrastructuur worden toegevoegd.
 Dit scheelt natuurlijk weer kosten en ben je minder bezig met onderhoud. Iedere oplossing heeft zijn voor en nadelen.

Authenticatie beheer

Je moest een weten dat uit onderzoek is gebleken dat de meeste gevoelige organisatie informatie is gelekt door menselijk handelen. Mensen die hun wachtwoord hebben verstrekt aan een collega, wachtwoord opschrijven op een briefje en onder je beeldscherm hangen. Of op te schrijven op de laatste bladzijde van de papieren agenda. (En zo ken ik er nog wel een aantal)
Voor organisaties is het van belang om jou account gegevens zo goed mogelijk te beschermen, je mogelijkheden te bieden tot het herstellen van het wachtwoord.
Hiervoor zijn verschillende oplossingen beschikbaar en ik kan ze jammer genoeg niet allemaal reviewen.

On-Premisse Authenticatie beheer

In deze vorm is om omgeving gerealiseerd waarbij de gegevens als gebruikersnaam en wachtwoorden worden verstrekt, dan wel bijgehouden en zijn er componenten in de omgeving geactiveerd om te kunnen communiceren met cloud diensten.

Voordelen:
– Alle authenticatie informatie blijft binnen je bedrijfs omgeving
– Je kunt de invulling van je authenticatie beheer naar eigen smaak inrichten.
 Je kan maatwerk toepassen die specifiek voor jou organisatie geschikt is.
– Je kunt extra veiligheden toevoegen die de authenticatie nog extra veilig opslaan.
Nadelen:
– Voor autorisatie met de cloud is het altijd van belang dat de infrastructuur altijd beschikbaar is.
– Voor autorisatie met de cloud is een platform nodig die d.m.v van SAML kan communiceren met de cloud omgeving.
– Je gebruikte oplossing voor authenticatie beheer moet weer onderhouden en beheerd worden

Cloud Authenticatie beheer

In deze vorm worden gegevens bij een cloud provider opgeslagen en aangemaakt dan wel bijgehouden.
Voordelen:
– Altijd een up to date applicatie voorzien van laatste beveilgings vormen
– Altijd beschikbaar en kent geen downtime
– Veel van de invulling is al voor gedefineerd waarbij het eenvoudiger is om koppelingen te leggen tussen SAAS cloud en Authenticatie database
– Kan vaak wel communiceren (met extra software) tegen een authenticatie database zoal b.v Active Directory. In de volksmond de hybride situatie.
Nadelen:
– Maatwerk is complexer
– Bent altijd geboden aan de mogelijkheden en middelen van de Cloud provider
– De authenticatie informatie is op een externe locatie opgeslagen en zou zelfs in het buitenland zijn opgeslagen.
– Er hoeven geen extra componenten te worden toegevoegd aan de omgeving om SAML in te zetten.

SAML Authenticatie

Om al deze diensten te kunnen koppelen met de authenticatie database van je organisatie is een protocol ontwikkeld met de naam SAML. SAML staat voor Security Assertion Markup Language. Het is een open standaard op basis van XML en PKI certificaten om autorisaties tussen organisaties uit te wisselen.
SAML is al in 2002 ontwikkeld en is een product van OASIS (Organization for the Advancement of Structured Information Standards).
Eigenlijk maakt het SAML protocol het mogelijk om met 1 gebruikersnaam en wachtwoord op 10, 15 misschien wel 20 cloud applicaties in te aan te melden.
Dit wordt ook wel “Identity Federation” genoemd.
Om de “Identity Federation” mogelijk te maken tussen de cloud dienst en je organisatie moet er een vertrouwen relatie moeten worden gelegd. 
Dit doen we op basis van een Identity Provider (IdP). In deze IdP realiseren we de wijze hoe de beide organisaties de authenticatie met elkaar uit wisselen en beschermen en veilig maken. 
Er worden dus meerdere IdP’s ingericht met verschillende eigenschappen voor de verschillende cloud en web providers.
We kunnen zelfs factoren als tweestaps verificatie toevoegen met daarbij opties om dit geografisch te bepalen. Benader je de cloud of web dienst vanaf een externe locatie dan je kantoor omgeving. Dan kan er een extra authenticatie middel zoals b.v 2 staps verificatie worden toegevoegd. Ben je werkzaam binnen de kantoor omgeving dan kan dit weggelaten zijn en kan het zelfs zijn dat je direct wordt toegelaten.
Lekker handig en toch veilig!

Hoe SAML authenticatie werkt

Voorbeeld van een SAML gebaseerde authenticaitie flow

Zoals eerder al beschreven zorgt SAML voor het uitwisselen van de authenticatie tussen de authenticatie database en de cloud of web applicatie. 
SAML authenticatie kan zowel in de on-premmise omgeving worden toegepast als in de cloud omgeving.
Veel cloud diensten als Google G-Suite, Office365 en Saleforce bieden mogelijkheden om als authenticatie database te fungeren als als een vertrouwelijke Identity provider.
Je kan dus met je Active Directory account autoriseren op b.v de beheerders console van Amazon (Zie afbeelding).
Misschien moet je alleen even tegen Amazon vertellen wie je bent en wat de toegang gegevens zijn.

De authenticatie service zal je gebruikers gegevens verzamelen bij je aanmelding op je werkplek.
Zodra jij naar de toegangspagina gaat van de cloud app zal de cloud app zoeken naar deze gegevens en deze uitwisselen en voorzien van de daadwerkelijke toegang . Dit heet een SAML assertion. 
In de SAML assertion bevat o.a informatie als “Ja, je hebt toegang” en Nee, je hebt geen toegang”. 
Hierna zal de aanmelding tot de cloud en web dienst worden afgerond en heb je wel of geen toegang tot de dienst.
Dit gebeurt grotendeels binnen de internet browser waarbij je zou kunnen zien dat er meerdere keren een ander web adres in je adresbalk verschijnt.
 Op de achtergrond is er dan met de verschillende onderdelen van de authenticatie service gecommuniceerd.
De gehele SAML assertion worden veilig gemaakt door PKI certificaten die weer vertrouwd zijn door een vetrouwlijke certificering instantie.

De cloud en of web dienst weet via zijn aangeboden toegangspagina zelf al of hij je naar de authenticatie service moet doorverwijzen. Of dat de authenticatie zelf moet worden afgehandeld.
Benader jij b.v portal.office.com voor je Office 365 toegang en je organisatie heeft hiervoor een vertrouwen relatie gelegd. Dan geef jij je email adres op en je wordt direct doorgestuurd naar de authenticatie service van je organisatie en moet jij je wachtwoord (en eventuele 2 staps code opgeven) om toegang te verkrijgen.
Kom je vanaf je kantoor omgeving en typ jij portal.office.com in de adresbalk in, dan kom je vrijwel direct in het dashboard van Office 365 uit.

Voordelen van een SAML gebaseerde authenticatie
– Het voorkomt dat er voor alle verschillende cloud diensten een aparte gebruikersnaam en wachtwoord moet worden verstrekt dan wel onthouden of worden beheerd.
– Je kan je eigen wachtwoord beleid in je organisatie kan blijven behouden.
– Als een medewerker uit dienst gaat, en zijn mogelijkheden m.b.t inloggen op de IT omgeving worden ingenomen is dit automatisch ook voor de cloud en web dienst het geval.
– Als de medewerker zijn wachtwoord veranderd op zijn werkplek, veranderd deze voor de cloud en web dienst automatisch mee.
– SAML authenticatie bied een mogelijkheid om de aanmeldingen bij te houden in SQL database of Active Directory voor rapportage doeleinden.

Wie heeft nu SAML nodig?

Iedere organisatie wie cloud applicaties beschikbaar steld aan zijn eindgebruikers. Dus bijna iedere organisatie.
En organisaties die een centrale, efficiënte en schaalbare manier zoeken om de authenticatie verzoeken wensen te ontsluiten. 
Veel applicaties maakte in het verleden gebruik van SSO (Single Sign On) middelen om een vergelijkbaar idee te geven.
Deze technologie is verouderd en minder veilig als SAML. Ook kun je SSO niet extern op een veilige manier ontsluiten. 
Veel (web) applicatie bouwers kiezen er voor om SAML standaard in hun producten te programmeren dit omdat het meer industrie standaard is geworden.

Tot slot

Ik hoop je wat kennis te hebben bij gespijkerd over SAML en authenticatie met de publieke cloud en web applicaties.
Ik ontvang er met grote regelmaat nog vragen over en moet ik het toelichten, daarom dit artikel.

Heb jij nu geen bedrijf en moet je wel al je wachtwoorden onthouden, Google en Facebook bieden b.v een mogelijkheid. 
Hierbij kan je met je aanmeld gegevens van hun producten op diensten van b.v dropbox aanmelden.
 Er is dan een knop gerealiseerd met de text “Logon with Google” of “Logon with Facebook”