David van de Maas van ngage vertelt.
‘‘Zodra de mogelijk er was heeft onze organisatie een federatie middels SAML opgezet met ClockWise.’’
‘‘In het kort is het web gebaseerd Single Sign On over domeinen heen. De dienstenleverancier ClockWise (service provider of SP), laat de authenticatie over aan de identiteiten leverancier ngage (Identity Provider of IDP). SAML is gebaseerd op vertrouwen, een trust tussen IDP en SP.
Hierbij ervaart de gebruiker het als een echte Single Sign-On, eenmaal ingelogd in onze portal en er wordt niet meer om een naam en wachtwoord gevraagd om ClockWise te gebruiken.’’
‘‘ngage is gespecialiseerd in Identity & Access Management. SAML is een belangrijk onderdeel van Access Management en we implementeren het veelvuldig bij onze relaties. Van overheidsdiensten tot uitgevers en van Cloud applicaties tot webshops.’’
‘‘Clockwise behoort tot de bedrijfskritische (financiele) applicaties. De urenregistratie en de facturen die gegeneerd worden zijn een belangrijk onderdeel van de bedrijfsvoering.
Het gebruik van een federatie middels SAML levert een paar belangrijke voordelen op.’’
‘‘Bedrijfskritische applicaties dienen in onze visie beveiligd te worden met meer dan alleen naam en wachtwoord. Hiervoor wordt Multi Factor Authenticatie (MFA) gebruikt, dus naam/wachtwoord en een token, sms, Yubikey of smartcard e.d.. De implementatie van MFA op alle gebruikte systemen en applicaties kan echter een complex geheel opleveren. Er zijn vele oplossingen niet elke applicatie kent alle methodieken. Door een (1) bron van authenticatie te gebruiken, namelijk onze IDP, hoeft er maar op een plaats een wachtwoord beleid afgedwongen te worden en hoeft alleen op dat systeem een MFA oplossing gebruikt te worden. Daarnaast is SAML ook uitermate geschikte om centraal autorisaties af te dwingen.’’
‘‘De technische of functionele beheerders van een applicatie zoals ClockWise hoeven geen wachtwoorden te resetten, of selfservice hiervoor in te richten of procedures hiervoor te maken.’’
‘‘Niet alleen zal een gebruiker niet voor elke applicatie een wachtwoord hoeven in te voeren, maar de gebruiker hoeft ook niet zijn of haar wachtwoord in diverse systemen te wijzigen.’’
‘‘Het in gebruik nemen van SAML kan variëren van kinderlijk eenvoudig tot uitermate complex. Deze complexiteit wordt vooral veroorzaakt als het berichten verkeer hele specifieke onderdelen bevat. De SAML (2.0) standaard bestaat echter al sinds 2005 en is een veel gebruikte methodiek waardoor het al volledig is uitgekristalliseerd.’’
‘‘De SAML koppeling met ClockWise valt onder de categorie kinderlijk eenvoudig. In de Clockwise instellingen kan een wizard worden gestart om een externe Authentication provider te definiëren en die de configuratie aan de zijde van ClockWise realiseert. De stap daarna bestaat uit het definiëren van de Service provider aan de zijde van IDP. In ons geval gebruiken we MicroFocus Access Manager wat betekende dat we ook daar alleen een wizard hoefden te starten. Het werkte meteen. Interessante optie die ClockWise heeft ingebouwd is dat per type gebruiker het mogelijk is om de gebruiker te laten kiezen tussen providers.’’