info@yenlo.com
ned
Menu
WSO2 Identity Server 10 min

Hoe voer je deprovisioning van identiteiten op de juiste manier uit met WSO2 Identity Server – terwijl je de AVG naleeft?

Ontdek het belang van identiteitsdeprovisionering. Leer waarom het onder de GDPR/ AVG verplicht is en hoe een naadloos deprovisioneringsproces uw organisatie kan helpen. We raden aan om WSO2 Identity Server te gebruiken om een juiste identiteitsdeprovisionering te bereiken.

Dinali Dabarera Integration Consultant
Dinali Dabarera
Integration Consultant
Hoe voer je deprovisioning van identiteiten op de juiste manier uit met WSO2 Identity Server – terwijl je de AVG naleeft 1

Wat is identiteitsdeprovisioning?

Aan alles komt een einde. Dit gezegde slaat op ons leven en alles wat we doen, ook in de digitale wereld. Je bent misschien klant van een webshop: je kunt je bij de webshop aanmelden voor een account en iets bij ze bestellen. Op een gegeven moment, om welke reden dan ook, zou je kunnen besluiten om geen bestellingen bij de webshop meer te doen. Het maakt eigenlijk niet uit waarom je bent gestopt met bestellen. Nou, voor de webshop wel, want ze willen jou als klant behouden. Maar als jij geen klant meer wil zijn, is dat een feit. En de webshop moet het voor je mogelijk maken om te vertrekken. Dit heet deprovisioning van identiteiten en het is niet optioneel, het is verplicht.

In juridische termen is het ongedaan maken van de identiteit een recht van een gebruiker op grond van artikel 17 van de AVG – het recht om vergeten te worden. Daarom is het essentieel voor een digitaal platform om deprovisioning voor zijn gebruikers te implementeren volgens de regels, vooral in de EU-regio of wanneer je gegevens van EU-burgers verwerkt.

Er zijn meerdere manieren waarop deprovisioning kan plaatsvinden op een digitaal platform:

  1. Identiteiten of gebruikers kunnen hun gebruikersaccount zelf deactiveren/opschorten. Deze manier van deprivisioning is het tijdelijk uitschakelen van de account en de gebruiker kan de account activeren wanneer hij maar wil. Facebook biedt bijvoorbeeld deze mogelijkheid om de accounts van gebruikers tijdelijk te deactiveren, zodat hun accounts pas weer kunnen worden ontdekt als ze de accounts weer activeren
  2. Identiteiten of gebruikers kunnen hun account zelf verwijderen. Deze manier van deprovisioning is permanent en de identiteit van de gebruiker is na de verwijdering dan niet meer beschikbaar op die plek. Als de gebruikers terug willen komen, moeten ze zichzelf opnieuw registreren of hetzelfde onboardingproces nogmaals doorlopen.
  3. De beheerder van het platform kan een gebruikersaccount verwijderen of tijdelijk uitschakelen. Dit is absoluut onmisbaar op een platform, bijvoorbeeld in geval van nood of om te reageren op een verzoek van een gebruiker.
  4. Automatische verwijdering van gebruikersaccounts die al lange tijd inactief geweest zijn: elk platform heeft zijn inactieve en actieve gebruikers. Inactieve gebruikers kunnen je platform incidenteel of af en toe gebruiken als proefgebruikers of testgebruikers. Daarom moet er een manier zijn om deze proef- of testgebruikers op te schonen om verouderde gegevens te verwijderen en resources veilig te stellen.

Waarom is een juiste deprovisioning belangrijk voor een IDM-systeem?

Veel onderzoeken tonen aan dat als je via je platform een naadloze deprovisioning-procedure kunt bieden, de kans bestaat dat je klanten bij je terugkomen, omdat ze je proces van begin tot eind waarderen – Carbone, L.P. en Haeckel, S.H., 1994. Engineering customer experiences. Marketing management, 3, pag. 8-19. Daarom is het een onmisbare functie voor elke CIAM-oplossing om standaard deprovisioningsmogelijkheden te bieden die voldoen aan de wetten van regelgevende instanties. Het niet aanbieden van deprovisioning is niet alleen in strijd met de wet, maar ook slecht voor de zaken.

Hoewel je misschien gegevens over inactieve gebruikers wilt bewaren (stel dat ze willen terugkomen als klant), is het beter om naadloze deprovisioning aan te bieden.

Een goed deprovisioningsmechanisme kent vele voordelen:

  • Bespaar tijd en geld: een juiste methode hebben voor deprovisioning die voldoet aan de AVG zal zowel consumenten als platformeigenaren tijd en geld besparen, omdat hierdoor datalekken en rechtszaken voorkomen worden die ontstaan wanneer gegevens worden op straat komen te liggen nadat een identiteit het platform heeft verlaten.
  • Bespaar middelen en opslag: het langdurig inactief of uitgeschakeld houden van gebruikersaccounts op het platform is een verspilling van middelen. Er moet extra opslagruimte worden toegewezen voor deze gebruikersaccounts en dit heeft ook invloed op de prestaties van de zoekacties op het platform. Daarom is een geautomatiseerde manier om deze accounts te verwijderen de beste manier om middelen en daarmee ook geld te besparen.
  • Verbeter de gebruikerservaring van het platform: als je meerdere methoden hebt voor deprovisioning, laat je gebruikers zien dat het systeem volwassen is, dat je oog hebt voor de consumenten en dat je hen wilt bieden wat het beste voor ze is.
  • Verminder onnodige openbaarmaking van gegevens: volgens de AVG mogen alleen de nodige gegevens openbaar worden gemaakt met toestemming van de gebruiker. Daarom is het verwijderen van inactieve gebruikers na een melding de meest geschikte manier om de privacy te beschermen van anderen die zich op je platform hebben geregistreerd.

Naast bovenstaande voordelen moet een IDM-oplossing altijd voldoen aan de regelgeving inzake gegevensbescherming, zoals de AVG.

Wat is de AVG-regelgeving met betrekking tot deprovisioning?

Er zijn twee artikelen in de Algemene Verordening Gegevensbeschermings waarmee je rekening moet houden wanneer je een deprovisioningsplatform introduceert binnen je organisaties. Hieronder vind je ze in detail:

  • Art. 17 – Recht op uitwissing.

 Wanneer gebruikers toestemming geven aan een platformtoepassing om hun gebruikersgegevens te gebruiken, moeten ze het recht hebben om onder verschillende voorwaarden te vragen om verwijdering van hun gegevens, zoals beschreven in dit artikel.

Het is een MUST voor een platform om indien nodig alle tracers van een gebruiker te verwijderen als hij daarom verzoekt in het kader van een datalek of privacyschending.

Volgens de AVG moeten platforms zoals die voor gezondheidszorg zich aan dit artikel houden bij het verwerken van speciale categorieën gegevens, bijvoorbeeld: gegevens over de gezondheid.

  • Art. 19 – Meldingsplicht betreffende rectificatie of uitwissing van persoonsgegevens of beperking van verwerking

 Als platform dat persoonsgegevens verzamelt, is het verplicht om voorafgaand aan een verwijdering van persoonsgegevens de betrokkene of gebruiker op de hoogte te stellen van het volgende:

  • De reden voor de verwijdering
  • Welke gegevens worden verwijderd?
  • Welke gegevens blijven in het systeem?
  • Wanneer is de gegevensverwijdering gebeurd?
  • Te volgen stappen om bezwaar te maken tegen het verwijderen van gegevens.

Kortom, dit benadrukt dat identiteiten als individuen het recht hebben om te eisen dat hun gebruikersaccounts en persoonlijke gegevens worden verwijderd en dat deze gegevens dan overal moeten worden verwijderd, ook in logboeken en andere databasebronnen. Als het een automatische verwijdering betreft, moet het platform de gebruikers informeren of op de hoogte stellen voordat de account wordt verwijderd en voorzorgsmaatregelen treffen om de verwijdering indien nodig te stoppen.

Het juiste proces voor deprovisioning implementeren is cruciaal.

Hoe bereik je deprovisioning met WSO2 Identity Server?

Dus, hoe kun je deprovisioning inschakelen op de WSO2 Identity Server?

Laten we eerst eens kijken naar wat SCIM te bieden heeft. SCIM is een acroniem voor System for Cross-Domain Identity Management, en wordt meegeleverd met de Identity Server en kan worden gebruikt om identiteiten te beheren in Identity Server.

a) Identiteiten of gebruikers kunnen hun gebruikersaccount zelf deactiveren/opschorten

Het zelf deactiveren of opschorten van een gebruikersaccount kan worden geïmplementeerd door bestaande accounts uit te schakelen door een identiteitsclaim bij te werken met de naam http://wso2.org/claims/identity/accountDisabled

Deprovisionering bereiken met WSO2 Identity Server

Door deze gebruikersrechten of attributen bij te werken via SCIM2 API wordt de account in WSO2 Identity Server uitgeschakeld.

Volgens de AVG moeten we de gebruiker op de hoogte stellen nadat de account uitgeschakeld is. Je kunt standaard interne meldingen inschakelen om een e-mail naar de gebruiker te sturen om deze te laten weten dat de account uitgeschakeld is.

b) Identiteiten of gebruikers kunnen hun gebruikersaccount zelf verwijderen.

WSO2 Identity Server is een CIAM-oplossing die volledige beheercapaciteiten voor de levenscyclus van identiteiten biedt. WSO2 Identity Server biedt een SCIM2/Me-eindpunt met verwijderfunctionaliteit om MIJ TE VERWIJDEREN.

DELETE     /scim2/Me

DELETE https://localhost:9443/t/{tenant-domain}/scim2/Me

Deze API wordt gebruikt om de momenteel geverifieerde gebruiker te verwijderen. Als de gebruiker succesvol is verwijderd, wordt HTTP 204 geretourneerd.

Voorbeeldverzoek

curl -v -k –user  [gebruikersnaam]:[wachtwoord] -X DELETE https://localhost:9443/scim2/Me

Er MOET een melding gestuurd worden na het verwijderen van de gebruikersaccount. Je kunt deze e-mail verzenden door een e-mailmelding te activeren via userstore listeners – postDeleteUser(). Dit zal een aanpassing zijn die je moet doen op basis van je behoeften.

c) Gebruikersaccount uitschakelen en verwijderen door beheerders

Een beheerder heeft de mogelijkheid om een gebruiker uit te schakelen of uit het systeem te verwijderen wanneer dat nodig is.

Voor het uitschakelen van gebruikers biedt WSO2 Identity Server een kant-en-klare functie om in te schakelen. Hiermee kan elke beheerder een gebruikersaccount uitschakelen wanneer dat nodig is. Door het attribuut http://wso2.org/claims/identity/accountDisabled bij te werken via SCIM2 API geleverd door WSO2 Identity Server

Uitschakelen en verwijderen van beheerdersaccounts

Voor het verwijderen van gebruikersaccounts biedt WSO2 Identity Server meerdere opties:

  • Gebruik van een beheerconsole gebruiken om gebruikers te verwijderen.
Verwijdering van gebruikersaccounts met WSO2 Identity Server
  • Gebruik van SCIM2/Users rest API om gebruikers te verwijderen.

Sample request:

curl -v -k --user {IS_USERNAME}:{IS_PASSWORD} -X DELETE https://{IS_IP}:{IS_PORT}/wso2/scim/Users/{SCIM_USER_ID} -H “Accept: application/json”

  • Gebruik van SOAP Admin Service om gebruikers te verwijderen.

Voorbeeldverzoek: (insert code)

<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope" xmlns:ser="http://service.ws.um.carbon.wso2.org">
   <soap:Header/>
   <soap:Body>
      <ser:deleteUser>
         <!--Optional:-->
         <ser:userName>nila@wso2support.com</ser:userName>
      </ser:deleteUser>
   </soap:Body>
</soap:Envelope>

Het is belangrijk om de gebruikersaccount te verwijderen en de gebruiker op de hoogte te stellen na het verwijderen van het account, zoals eerder besproken.

d) Automatische verwijdering van inactieve gebruikersaccounts

Deze vereiste verschilt van organisatie tot organisatie. Daarom moet dit worden verzorgd via maatwerk met behulp van bestaande functies van WSO2 Identity Server en zijn API’s. Zoek het sequentiediagram op van hoe een standaard geautomatiseerd verwijderingsproces zou moeten zijn.

Automatische verwijdering van inactieve gebruikersaccounts

Om aan de vereiste te voldoen, kun je een aantal functies in WSO2 Identity Server gebruiken en aan deze vereiste voldoen

  • WSO2 Identity Server 6.1.0 heeft een kant-en-klare functie om gebruikersaccounts te vergrendelen als deze een bepaalde tijd lang inactief zijn. De duur van deze periode kun je instellen. Bovendien kun je een automatische melding verzenden voordat de account wordt vergrendeld.
Uitschakelen van WSO2 Identity Server
  • Als je na het uitschakelen de gebruikersaccount moet verwijderen, moet het vergelijkbare werkproces volgen door een aanpassing te doen.

e) De uitgaande geregistreerde gebruikers verwijderen

Met CIAM 2.0 moeten we uw identiteitsserver integreren met andere systemen van derden. Vervolgens moet u een aantal van de gebruikers die in het WSO2 Identity Server-systeem zijn gemaakt, outbound toewijzen aan andere systemen van derden.

Hiervoor moet u out-of-the-box aangeboden Outbound Provisioning-connectoren of Aangepaste Outbound Provisioning-connectoren gebruiken. Out-of-the-box-connectoren ondersteunen maken, bijwerken en verwijderen. Zorg er daarom voor dat u alle mogelijkheden ondersteunt wanneer u uw eigen connectoren maakt.

f) De optie Vergeet mij

WSO2 Identity Server heeft de vergeet-mij-tool geïntroduceerd. Deze kunt u uitvoeren op verwijderde gebruikers om andere informatie en referenties met betrekking tot deze gebruikers in logboeken en sessiearchieven te verwijderen. Dit is nodig om te voldoen aan de AVG, aangezien het vereist is om alle referenties van de verwijderde gebruikers te verwijderen.

Volgens WSO2 is deze tool ontworpen om alle gevallen van de identiteit van een verwijderde gebruiker te vervangen door een willekeurig gegenereerde UUID-waarde of een pseudoniem dat u opgeeft wanneer u de tool uitvoert. Daarom worden met het uitvoeren van de tool niet alle gegevens met betrekking tot een verwijderde gebruiker volledig verwijderd van de WSO2 Identity Server. Wat er feitelijk gebeurt, is dat hetzelfde pseudoniem elk record vervangt dat toebehoort aan een verwijderde gebruiker om de verbindingsintegriteit van gebruikersrecords te behouden. Dus zelfs na het verwijderen van alle referenties van de identiteit van een verwijderde gebruiker, kan de systeembeheerder alle gebeurtenissen volgen die door een bepaalde gebruiker worden uitgevoerd zonder enige verwijzing naar de identiteit van de gebruiker.

Deze tool is een externe bron die wordt aangeboden door WSO2 en is daarom beschikbaar om te downloaden en te gebruiken volgens uw vereisten.

Conclusie

De-provisioning van identiteit is niet alleen een van de belangrijkste componenten van het beheer van de identiteitslevenscyclus, maar ook wettelijk vereist. (Die moet voldoen aan de AVG). Als dit op de juiste manier wordt geïmplementeerd, minimaliseert het niet alleen het aantal handmatige taken dat ermee gepaard gaat, maar kan het ook in uw voordeel werken als organisatie. Gebruikers hechten namelijk waarde aan een naadloos proces voor de-provisioning en zullen wellicht zelfs gunstig over uw organisatie denken en terug willen komen. WSO2 Identity Server is een toonaangevende CIAM-oplossing (erkend door Gartner en KuppingerCole) die mogelijkheden voor de-provisioning kan bieden om samen met uw CIAM-oplossing een juiste de-provisioning van identiteiten te bereiken.

ned
Sluiten
Wat staat er op ons menu