Home

autorisatiemechanismen

Autorisatiemechanismen bepalen welke acties een geauthenticeerde gebruiker mag uitvoeren en welke bronnen hij of zij mag openen. In tegenstelling tot authenticatie, dat de identiteit verifieert, regelt autorisatie de toegangsrechten. Autorisatie gebeurt meestal op basis van beleid dat rekening houdt met factoren zoals de rol, attributen van de gebruiker of contextgegevens (tijd, locatie) en de aard van de gevraagde handeling of bron.

Veelvoorkomende modellen zijn onder meer role-based access control (RBAC), attribute-based access control (ABAC), discretionary access control

Architectuur-elementen zoals policy decision point (PDP) en policy enforcement point (PEP) scheiden beslissen van afdwingen. Voor

Belangrijke aandachtspunten zijn het handhaven van least privilege, snelle revocation van rechten, auditlogboeken en schaalbaarheid bij

(DAC)
en
mandatory
access
control
(MAC).
RBAC
koppelt
toegangsrechten
aan
rollen
die
aan
gebruikers
zijn
toegewezen;
ABAC
beslist
op
basis
van
attributen
van
de
gebruiker,
de
resource
en
de
context.
DAC
geeft
objecteigenaren
discretionaire
macht
over
wie
toegang
heeft,
terwijl
MAC
gebruikmaakt
van
centrale
regels
en
classificaties
die
strenger
zijn
afgedwongen.
Daarnaast
wordt
vaak
een
policy-based
benadering
gehanteerd
(PBAC),
waarbij
beslissingen
worden
genomen
op
basis
van
expliciete
beleidsregels.
In
de
praktijk
komen
ook
praktische
implementaties
voor
zoals
tokengebaseerde
autorisatie
(OAuth
2.0,
OpenID
Connect)
en
beperkte
bewaking
via
JSON
Web
Tokens
(JWTs).
API-
en
cloudtoegang
worden
vaak
externe
policy
engines
ingezet
zodat
beleidsregels
centraal
kunnen
worden
beheerd,
bijvoorbeeld
via
Open
Policy
Agent.
toenemende
gebruikersaantallen.
Een
goed
ontworpen
autorisatiemechanisme
ondersteunt
naleving,
consistentie
en
flexibiliteit
bij
veranderende
beveiligingsbehoeften.