Azure SharePoint

Klantvraag: SharePoint on-premises met Multi-Factor Authentication

28 september 2017

Het gebeurt met regelmaat dat een organisatie zijn SharePoint nog niet in de cloud heeft staan. Door een hybride situatie kunnen medewerkers wel al wennen aan de manier van samenwerken in de cloud. Maar wordt deze nog lokaal beheerd. Wanneer men wel overgaat naar de cloud kan Multi-Factor Authentication (MFA) een vereiste zijn. Deze werkwijze wil men zo snel mogelijk implementeren en gemeengoed maken binnen de organisatie.

Van een organisatie kreeg ETTU laatst het verzoek om de on-premises SharePoint omgeving extern beschikbaar te stellen. De eis was dat dit met Multi-factor authenticatie (MFA) moest gebeuren. Het is geen ongebruikelijke vraag, maar wel eentje waarvan de opties en implicaties per case goed afgewogen dienen te worden.

Maken van de keuze voor Multi-Factor Authentication

Het blijft altijd een pijnpunt binnen organisaties: het maakt niet uit hoeveel beveiliging je op je systemen hebt staan, wanneer het niet of niet goed gebruikt wordt is je data kwetsbaar. Daarom is Two-Factor of Multi-Factor Authentication een goede manier om de toegang tot vertrouwelijke gegevens zo goed mogelijk te beveiligen. Grote bedrijven als Google, Facebook en Uber  gebruiken het, hierdoor zijn de medewerkers al wat gewend aan de handeling en zien ze in dat het zorgt voor een extra beveiligde laag. Door eerst je wachtwoord in te voeren en vervolgens de code op je telefoon of token staat op te geven wordt de kans kleiner dat mensen met nare bedoelingen bij je vertrouwelijke data kunnen komen.

Azure Multi-Factor Authentication

Er zijn verschillende aanbieders voor MFA, elk met hun eigen voor- en nadelen. Normaal gesproken proberen we om zoveel mogelijk van alle software bij één aanbieder te beleggen, omdat het beheer makkelijker wordt en de aanbieder verantwoordelijk is voor de beveiliging. Helaas is dit soms niet mogelijk en moet er verder gekeken worden.

Dit was het geval in de volgende klantcase. We starten met het kijken naar de mogelijkheden om Azure Multi-Factor Authentication te introduceren, aangezien de klant al Microsoft producten heeft draaien. Zo houd je alles binnen hetzelfde systeem en is het voor de gebruikers geen grote overstap. Omdat alle licenties al in gebruik waren en er nieuwe licenties dubbelop gekocht zouden moeten worden om de Azure Multi-Factor Authentication te gebruiken, zou dit voor buitenproportioneel veel extra kosten zorgen. Om deze reden kwam de methode van Azure niet als winnaar uit de bus.

Andere opties voor MFA

Nu er besloten is Azure niet als methode te gebruiken voor MFA, werd het belangrijk om te kijken naar een oplossing die wel binnen de kaders van de klant valt. Al snel zagen we de optie om RSA-tokens te gebruiken. De klant had al een RSA-infrastructuur in gebruik, dus konden we redelijk moeiteloos het gebruik van de RSA-tokens implementeren. Wat ons nog vrolijker stemde, was het feit dat er binnenkort een grote update gepland staat. Met deze update wordt het mogelijk om de authenticatie via een app te laten verlopen. Hierdoor is het niet meer nodig om een fysieke apparaatje aan je sleutelbos te hebben. Deze zogenaamde software tokens maken het voor de gebruiker minder omslachtig om zijn data te bereiken.

Het integreren van de RSA-token

Wanneer de MFA-software niet van dezelfde fabrikant is als voor de andere gebruikte software. Kan het misschien aanvoelen alsof het niet helemaal waterdicht is. De systemen spreken immers niet dezelfde taal! Echter, in het geval van MFA is hier geen sprake van, de aanbieder van MFA heeft niet veel te maken heeft met het systeem dat men probeert te bereiken. Zie het als een grote muur die opgetrokken wordt tussen de buitenwereld en de vertrouwelijke gegevens. Pas wanneer je echt kan aantonen dat je bent wie je zegt dat bent, mag je het kleine deurtje door. Het maakt in dit geval voor de bewaker van de deur niet uit welke gegevens hij beschermt. Daarom was het voor ons gemakkelijk om de muur van RSA om de bestaande informatie in SharePoint heen te bouwen.

Het enige nadeel van het gebruik van de RSA-token als MFA is dat gebruikers deze authenticatie altijd moeten uitvoeren. Wanneer men buiten de werkplek is, thuis of op een ander onbeveiligd netwerk, is dit erg verstandig. Alleen, RSA maakt het noodzakelijk om ook op een dergelijke manier in te loggen wanneer de medewerker op de vaste werkplek is. Je zou verwachten dat deze extra beveiliging niet nodig is wanneer de IT-beheerder verantwoordelijk is voor de werkplek. Gelukkig komt er binnenkort een update uit, waarbij dit niet meer nodig is. We hopen dat deze snel wordt uitgerold!

You Might Also Like

Geen reacties

Plaats een reactie