• Hexite Software Blog Nieuws en berichten

Veilig inloggen – Hexite Identity

hexite-header-logo

Hexite account Identity is een product van Hexite Software. Hexite account identity ontzorgt elk ontwikkelteam met betrekking tot autorisatie, authenticatie en identiteit. Hexite Account identity staat koppelingen toe met andere systemen. Dit artikel legt uit welke systemen dat zijn, en waarom deze koppelingen nuttig zijn.

OAuth2

Hexite Account Identity is een volledig “RFC compliant” OAuth2 provider. We bieden zelfs de mogelijkheid om gebruik te maken van een nieuwe manier, de PKCE flow. OAuth2 is een authorization framework om derde partijen (gelimiteerd) toegang te geven tot jouw system, zonder wachtwoorden uit te wisselen.

Je hebt met het authorisation framework dus volledig grip op de informatie die je deelt met andere bedrijven. In het huidige tijdperk met cybercrime en digitale aanvallen is het handig om de meest cruciale logingegevens te beschermen.

Symmetrische en asymmetrische versleuteling

Voor het genereren van tokens en het verifieren van identiteit gebruiken we cryptografische standaarden. We maken in het pakket onderscheid tussen twee vormen van versleuteling, symmetrisch en asymmetrisch. Het voordeel van symmetrische versleuteling is dat het erg makkelijk op is te zetten. Helaas eindigen daar de voordelen voor de symmetrische techniek in dit geval. Met een symmetrische sleutel kan je namelijk een identiteit aanmaken en controleren.

Het is niet altijd de bedoeling dat elk systeem een identiteit aan kan maken. Soms mogen (sub)systemen alleen de identiteit controleren. Als elk systeem dus een identiteit aan kan maken met die symmetrische sleutel kan een gebruiker zich uiteindelijk als een ander voordoen.

Uitvoering gebruik van symmetrische sleutels kan dus leiden tot een onveilig systeem, je moet deze sleutel altijd kopieëren naar elk (sub)systeem.

Asymmetrische sleutels

Hexite Account Identity staat eindgebruikers en applicaties toe om een asymmetrische identiteitsversleuteling te gebruiken.

Zo zorgt de Hexite Account authority voor het uitdelen van de identiteiten en kan elk apart subsysteem de identiteit verifiëren.

Wij maken voor de asymmetrische account authority gebruik van elliptic curve (ECC) cryptography. In 2021 is dit een bewezen cryptografische functie die erg veilig is en niet te kraken met huidige computertechnologie.

De asymmetrische sleutels zijn voor het subsysteem makkelijk te implementeren. De Hexite Account authority geeft een publieke sleutel. Deze publieke sleutel hoef je dus geen geheime plek te geven in de applicatie. Als een gebruiker inlogt en een identiteit genereert, dan wordt deze doorgestuurd naar de applicatie. De applicatie met de publieke sleutel controleren of de identiteit (vanuit Hexite Account authority) klopt. Als een gebruiker de identiteit aanpast kloppen de waardes niet meer met de publieke sleutel. Je hebt immers de privésleutel nodig om een identiteit aan te maken. Deze staat veilig op een Hardware Security Module.

Multi-factor authenticatie

Hexite Identity staat multi-factor authenticatie toe op basis van TOTP. Wij ondersteuenen alle hardware die het TOTP protocol ondersteunen. Hier een aantal producten waarvan we zeker weten dat het werkt.

Een systeembeheerder kan de setting “2FA” aanzetten. De gebruiker moet dan verplicht gebruik maken van multi factor authentication. Bij het inloggen moet de gebruiker dus een 2FA token invoeren via de authenticator.

Ondersteuning Webauthn/FIDO2 standaard

Het Hexite Identity systeem ondersteunt zowel registratie (attestation) en confirmatie (assertation) volgens de webauthn standaard. Met deze functionaliteit kunt u inloggen als gebruiker zonder wachtwoord. De webauthn standaard en integratie verzorgt een biometrische authenticatie-variant.

Een aantal varianten zijn van authenticatie die Hexite Identity ondersteunt:

  • FaceID (iOS en iPadOS)
  • TouchID (iOS en MacOS)
  • Windows Hello (Windows)
  • Android biometric identity (Android)
  • Biometrische FIDO2 security keys (YubiKey)
Inloggen met TPM (trusted platform module)
Keuze tussen TPM en externe biometrische authenticatie (YubiKey)

Betrouwbaarheid en continuïteit

Het volledige platform draait op een drievoudig redundante manier. Als een platform uitvalt, nemen de andere twee het over. In de praktijk heeft dit ervoor gezorgd dat we een 100% uptime hebben. In de SLA durven wij deze afspraak ook hard te maken, vooral als het om bedrijfskritische applicaties gaat.

Wij garanderen de betrouwbaarheid met een balans tussen vooruitstrevende en bewezen technologie. Voordat jij in de gaten hebt dat er iets fout gaat hebben wij al een melding gekregen dat er een probleem is.

Microsoft Active Directory (LDAP)

De Hexite Account Identity staat een directe koppeling met Microsoft Active Directory services toe. Zo kan iedereen in uw organisatie het originele Windows account gebruiken om in te loggen. Wij slaan de accountgegevens niet op, we controleren alleen of de Active Directory authenticatie met de gegevens toestaat. In het hoofdstuk Capability management leest u hoe LDAP samen werkt met onze capability structuur.

Microsoft Azure AD

Als uw bedrijf gebruik maakt van Azure AD kunt u dezelfde koppeling als Microsoft Active Directory gebruiken. Op deze manier verifiëren we alleen of de gebruiker daadwerkelijk rechten heeft tot het systeem.

LDAP

Als u een eigen LDAP server heeft door middel van OpenLDAP staan wij de autorisatie en authenticatie ook toe.

Integrated Hexite Identity

Als u gaat voor volledige ontzorging en identiteitscontrole leveren wij onze Integrated Hexite Identity aan. De identity service kan zelf weer volledig integreren met OpenLDAP, Microsoft Azure AD en Microsoft Active Directory. Onze integrated Hexite Identity is volledig in uw beheer; wij faciliteren een paneel, koppelingen en een zelf instelbare flow voor gebruikers. U heeft de mogelijkheid om het loginscherm, registratieformulier en dergelijke in te stellen.

  • Microsoft AD (LDAP)
  • Azure AD
  • OpenLDAP
  • Integrated Hexite Identity

Integratie en Demo

Bij het in gebruik nemen van Hexite Identity leveren wij vrijblijvend een integratie op met uw huidige systeem. Zo profiteren we samen van een veilige en juiste communicatie.

Demo’s en presentaties zijn altijd vrijblijvend, sterker nog, we geven ze graag.

Benieuwd? Neem contact op.

kotka

040 24 05 069

warner@hexite.nl