Authenticatie op ANVA Hub door middel van OpenID connect
Wie het laatste ANVA magazine al uitgelezen heeft, las ook over de API-strategie van ANVA Hub. Door deze nieuwe strategie gaat ANVA’s wens om op een eenvoudige wijze gegevens uit te wisselen in vervulling. Tegelijkertijd zet zij hiermee de volgende stap in de richting van betere datakwaliteit. Daar hoort veilige toegang door de juiste persoon en tot de juiste data uiteraard bij.
Om de nieuwe strategie van ANVA (de zogenoemde API-first approach) te laten slagen, werden de afgelopen maanden heel wat technische stappen gezet. De eerste stap betrof het inregelen van authenticatie door middel van het OpenID connect protocol. Hierdoor kan een applicatie of gebruiker, op basis van de toegekende rechten, toegang verkrijgen tot specifieke gegevens uit ANVA Hub. Een hele mooie stap om te kunnen voldoen aan het need-to-know principe, wat betekent dat gebruikers alleen toegang hebben tot data die ze echt nodig hebben. Maar hoe werkt dat nu in de praktijk? We duiken er dieper op in en stellen vijf vragen aan Thierry van Ekeren, Lead Architect bij ANVA.
Wil je allereerst uitleggen hoe de authenticatie op ANVA Hub werkt?
Thierry: “Jazeker, maar voordat ik dat doe is het goed om authenticatie niet te verwarren met autorisatie. Daarom hebben we dit in Hub ook los van elkaar getrokken. Dat betekent dat jij je als persoon authentiseert en daardoor de juiste autorisatie krijgt op ons platform. Dat laatste gebruiken we vervolgens om te valideren wat je mag. De authenticatie bepaalt dus wie je bent. Dat kan al met enkel een username en wachtwoord, maar wij adviseren om voor extra veiligheid Multifactor Authenticatie (MFA) op je account aan te zetten. In dat geval krijg je een eenmalige code te zien in je Google of Microsoft Authenticatorapp die je in moet voeren om jouw login compleet te maken. Dit is de meest gebruikte en ook meest moderne variant voor authenticatie protocollen op een online IT-landschap zoals ANVA Hub.”
Waarom is er voor de methode van OpenID connect gekozen?
“De OpenID connect standaard sluit het beste aan bij de API-strategie die wij voor de komende jaren hebben uitgezet”, legt Thierry uit. Hij vervolgt: “Daarnaast is de gebruiksvriendelijkheid hoog, een stuk hoger zelfs dan andere mogelijke koppelingen. De standaard is bekend en beschikbaar voor onze klanten. Daardoor is het ook voor IT-beheerders van onze klanten goed te implementeren. Bovendien biedt het veel standaard integratie-opties en is het dé marktconform standaard op dit moment. Het is goed te begrijpen en breed toepasbaar op allerlei andere programmeertalen”.
Wat is het voornaamste voordeel van OpenID connect?
“Bovenaan staat voor mij de betrouwbaarheid. Gebruikers dienen zich geïdentificeerd te hebben als zijnde de persoon die ze zeggen te zijn. Om er zeker van te zijn dat alleen zij de betreffende informatie benaderen, is authenticatie via OpenID echt een must. Op het ANVA Hub platform staat straks een heleboel gevoelige informatie, waartoe we enkel de personen toegang willen geven die daar ook de rechten voor hebben. Ik zie het daarom als de randvoorwaarde om gebruikers toegang te geven tot ons platform”, aldus Thierry.
Hij voegt nog toe: “Daarnaast kunnen ook IT-beheerders van ANVA klanten applicaties bouwen die onderhuids gekoppeld zijn aan ANVA Hub. Dat betekent dat zij kunnen inloggen zonder dat ze een eigen userbeheer hoeven te ontwikkelen en voeren. Zo voorkom je tegelijkertijd eventuele security incidenten, omdat er op de achtergrond goed nagedacht is over de technische structuur en veiligheid. Daaraan toegevoegd zorgt het ook voor minder verschillende wachtwoorden voor applicaties die koppelen met ANVA Hub. Zo kan de gebruiker dus haar bestaande gegevens gebruiken om toegang te verkrijgen.”
Kun je meer vertellen over de veiligheid van het OpenID connect protocol?
Thierry: “Alleen inloggen met een username en wachtwoord, wordt in mijn ogen nog te vaak en te veel toegepast. Ik snap dat dat wellicht het snelste of makkelijkste is voor gebruikers, maar ik vind het zeker niet de veiligste manier. Het is dus zaak om een goede balans tussen je investering en risico’s te vinden. Oftewel: een goede balans tussen gebruiksvriendelijkheid, hoeveel geld het kost en hoeveel security het oplevert. Binnen OpenID connect is volgens ons de balans het meest ideaal. Dat komt mede doordat de OpenID standaard is ontworpen door een hele community aan vakmensen die hier hun werk van hebben gemaakt. Het is dus niet ontworpen door een bedrijf, maar echt community driven”.
Zijn er dan geen nadelen aan OpenID connect verbonden?
“Geen is een groot woord. Iedere methode, en dus ook OpenID connect, heeft voor- en nadelen. Als ANVA zijnde hebben wij op sommige plekken andere behoeftes dan dat er beschikbaar zijn binnen OpenID. Dat is nou eenmaal het nadeel van een standaard. Daardoor zullen we dus keuzes moeten maken, wat betekent dat niet alles gaat zoals wij het in eerste instantie wellicht voor ogen hadden. Daarnaast is het domein van OpenID en wat daar binnen gebeurt een snel wisselend domein. Als organisatie hebben wij daardoor een hoge(re) beheerlast die wij moeten blijven ondersteunen. Maar ach, dat houdt ons ook weer scherp niet waar?”, sluit Thierry af.
Schrijf je in voor onze nieuwsbrief!
Blijf op de hoogte van de laatste nieuwtjes en schrijf je in voor de ANVA nieuwsbrief