Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Identity broker

Technologie

Bedrijf dat ervoor zorgt dat een programma of site verschillende manieren van aanmelden aanbiedt aan gebruikers. Bijvoorbeeld aanmelden met een Google-account of via Facebook.

Een identity broker is een tussenpersoon of dienst die het authenticatie- en autorisatieproces bemiddelt tussen meerdere identity providers en service providers. De identity broker fungeert als centraal punt dat identiteitsgegevens vertaalt en doorstuurt, zodat gebruikers met een enkele set credentials toegang krijgen tot diensten van verschillende aanbieders zonder bij elke dienst apart een account aan te hoeven maken.

In de wereld van cybersecurity speelt de identity broker een steeds belangrijkere rol naarmate organisaties meer clouddiensten, SaaS-applicaties en externe platforms gebruiken. Zonder een centraal punt voor identiteitsbeheer ontstaat een wildgroei aan accounts, wachtwoorden en toegangsrechten die moeilijk te beheren en te beveiligen is. Een identity broker brengt orde in deze complexiteit door als vertrouwde tussenpersoon te fungeren tussen de gebruiker en de diensten die deze nodig heeft.

Hoe werkt een identity broker?

Een identity broker werkt door vertrouwensrelaties op te bouwen met zowel identity providers (IdP's) als service providers (SP's). De identity provider is de bron van waarheid over de identiteit van een gebruiker, zoals je bedrijfs-Active Directory, Google Workspace of een ander identiteitssysteem. De service providers zijn de applicaties en diensten waar de gebruiker toegang toe nodig heeft.

Wanneer een gebruiker probeert in te loggen op een dienst, wordt het verzoek doorgestuurd naar de identity broker. De broker bepaalt welke identity provider moet worden geraadpleegd en stuurt het authenticatieverzoek door. Na succesvolle authenticatie ontvangt de broker een bevestiging en vertaalt deze naar een formaat dat de service provider begrijpt. Dit vertaalproces is essentieel, omdat verschillende systemen verschillende protocollen en standaarden gebruiken.

De broker ondersteunt daarbij gangbare federatie-protocollen zoals SAML 2.0, OpenID Connect en OAuth 2.0. Door meerdere protocollen te ondersteunen, kan de broker fungeren als een universele vertaler. Een identity provider die SAML spreekt kan via de broker worden gekoppeld aan een service provider die OpenID Connect verwacht, zonder dat een van beide systemen hoeft te worden aangepast.

Platforms zoals Keycloak, Okta en Azure AD B2C fungeren als identity brokers en bieden extra functionaliteit bovenop de basisbemiddeling. Ze implementeren multifactor authenticatie, rol-gebaseerd toegangsbeheer, conditional access policies en audit logging. Dit maakt de identity broker niet alleen een vertaler maar ook een beveiligingslaag die beleid afdwingt op alle identiteitsstromen.

In de praktijk werkt het proces zo: een medewerker opent een applicatie en wordt doorgestuurd naar de identity broker. De broker toont een loginpagina waar de medewerker kan kiezen via welke identity provider deze wil inloggen, bijvoorbeeld via het bedrijfsaccount, een social login of een partner-identity provider. Na authenticatie via de gekozen provider ontvangt de broker een token dat de identiteit en rechten van de gebruiker bevestigt. De broker verrijkt dit token indien nodig met extra claims, past beveiligingsbeleid toe en stuurt de gebruiker terug naar de oorspronkelijke applicatie met een nieuw, applicatiespecifiek token.

Wanneer heb je een identity broker nodig?

Een identity broker is nodig zodra je organisatie te maken heeft met meerdere identity providers of meerdere service providers die moeten samenwerken. Dit is het geval bij fusies en overnames, waarbij identiteitssystemen van verschillende organisaties moeten worden geintegreerd. Het is ook relevant bij samenwerkingsverbanden waarbij partners toegang nodig hebben tot elkaars systemen.

Organisaties die een groot aantal clouddiensten en SaaS-applicaties gebruiken, profiteren van een identity broker als centraal punt voor single sign-on. In plaats van losse integraties te bouwen tussen elke identity provider en elke applicatie, verbind je alles via de broker. Dit vermindert de complexiteit exponentieel en maakt het beheer van identiteiten en toegang overzichtelijk.

Voor organisaties die Identity and Access Management willen centraliseren, biedt een identity broker de architecturale basis. Alle authenticatie- en autorisatiestromen lopen via een enkel punt, wat het mogelijk maakt om uniform beleid af te dwingen, zoals het vereisen van MFA voor alle applicaties of het blokkeren van toegang vanuit bepaalde locaties.

In scenario's met externe gebruikers, zoals klanten, partners of leveranciers, is een identity broker waardevol om deze gebruikers toegang te geven zonder hen op te nemen in je interne identiteitssysteem. De broker kan externe identity providers federeren, waardoor gebruikers hun eigen credentials gebruiken terwijl jij de toegang centraal beheert en bewaakt.

Met de opkomst van AI-agenten en geautomatiseerde systemen die toegang nodig hebben tot API's en clouddiensten, evolueert de rol van de identity broker verder. Moderne identity brokers fungeren ook als SSO voor machines en agenten, waarbij ze kortstondige credentials uitgeven, minimale rechten toekennen en elk verzoek evalueren tegen beveiligingsbeleid.

Voordelen en beperkingen

Het grootste voordeel van een identity broker is de vereenvoudiging van identiteitsbeheer. In plaats van N-op-N integraties tussen identity providers en service providers, creëer je N-op-1-op-M verbindingen via de broker. Dit reduceert de complexiteit drastisch en maakt het toevoegen van nieuwe providers of diensten een kwestie van een enkele configuratie in de broker.

De identity broker versterkt ook de beveiliging door een centraal punt te bieden waar beveiligingsbeleid wordt afgedwongen. MFA, conditional access, risicogebaseerde authenticatie en sessiebeheer kunnen uniform worden toegepast op alle identiteitsstromen, ongeacht de onderliggende identity provider of service provider. Dit voorkomt inconsistenties waarbij sommige applicaties strenger zijn beveiligd dan andere.

De audit- en compliancecapaciteiten van een identity broker zijn waardevol voor organisaties die moeten voldoen aan regelgeving. Alle authenticatie-events worden centraal gelogd, wat een compleet audittrail oplevert van wie wanneer waar heeft ingelogd. Dit is essentieel voor de AVG, NIS2 en andere regelgeving die transparantie over toegang tot persoonsgegevens vereist.

Een beperking is dat de identity broker een single point of failure kan worden. Als de broker niet beschikbaar is, kunnen gebruikers geen toegang krijgen tot hun applicaties. Hoge beschikbaarheid en redundantie van de broker-infrastructuur zijn daarom cruciaal. De meeste enterprise-grade identity brokers bieden ingebouwde redundantie, maar dit vereist wel zorgvuldige configuratie en monitoring.

De complexiteit van de initiële configuratie is een andere beperking. Het opzetten van vertrouwensrelaties met meerdere identity providers en service providers vereist expertise in federatieprotocollen en identiteitsarchitectuur. Een verkeerde configuratie kan leiden tot beveiligingslekken of toegangsproblemen.

Tot slot introduceert de identity broker een extra schakel in de authenticatieketen, wat impact kan hebben op de latency van het inlogproces. Bij goed ontworpen implementaties is deze vertraging verwaarloosbaar, maar bij complexe beleidsregels of trage identity providers kan de gebruikerservaring worden beinvloed.

Veelgestelde vragen

Wat is het verschil tussen een identity broker en een identity provider?

Een identity provider is de bron die de identiteit van een gebruiker beheert en verifieert, zoals Active Directory. Een identity broker bemiddelt tussen meerdere identity providers en service providers, vertaalt protocollen en dwingt centraal beleid af.

Is een identity broker hetzelfde als single sign-on?

Nee, maar ze zijn nauw verwant. Single sign-on is de gebruikerservaring waarbij je met een keer inloggen toegang krijgt tot meerdere applicaties. Een identity broker is de technische component die dit mogelijk maakt door te bemiddelen tussen identity providers en service providers.

Welke protocollen ondersteunt een identity broker?

De meeste identity brokers ondersteunen SAML 2.0, OpenID Connect en OAuth 2.0. Sommige ondersteunen ook LDAP, WS-Federation en SCIM voor gebruikersprovisioning. De protocolondersteuning bepaalt met welke systemen de broker kan integreren.

Hoe beveilig je de identity broker zelf?

Beveilig de broker met multifactor authenticatie voor beheerderstoegang, versleuteling van alle communicatie via TLS, regelmatige beveiligingsupdates, strikte firewall-regels en continue monitoring van authenticatie-events op verdacht gedrag.

Centraliseer jouw identiteitsbeheer en vind de juiste IAM-oplossing via IBgidsNL voor een veiliger en overzichtelijker toegangsbeheer.