Inleiding tot identiteitsvoorzieningen van Apple
Je organisatie heeft de beschikking over verschillende identiteitsvoorzieningen van Apple waarmee wachtwoorden en gebruikersnamen veilig kunnen worden beheerd op de werkplek en in de cloud. Apple gebruikt beveiligingsmaatregelen zoals authenticatie, autorisatie en identiteitsbundeling, die ervoor zorgen dat afzonderlijke gebruikers toegang hebben tot hun favoriete apps en andere hulpmiddelen zonder dat ze gebruikersnamen en wachtwoorden voor elke app en elk hulpmiddel hoeven in te stellen.
Hieronder vind je een overzicht van de belangrijkste beveiligingsmethoden (authenticatie, autorisatie en identiteitsbundeling) en voorbeelden van de manier waarop Apple deze methoden gebruikt in identiteitsvoorzieningen.
Apple voorzieningen en authenticatie
De eerste stap in een beveiligingsproces is authenticatie. Authenticatie wordt gebruikt om de echtheid van de identiteit van de gebruiker te verifiëren.
Apple gebruikt veel verschillende authenticatiemethoden. Met eenmalige aanmelding en Apple voorzieningen zoals een persoonlijke Apple Account, een beheerde Apple Account, iCloud, iMessage en FaceTime, kunnen gebruikers veilig communiceren, online documenten aanmaken en back‑ups maken van persoonlijke gegevens zonder dat de gegevens van hun organisatie gevaar lopen. Elke voorziening gebruikt een eigen beveiligingsarchitectuur. Zo zorgt Apple voor een veilige gegevensverwerking. Het maakt hierbij niet uit of de gegevens zich op een Apple apparaat bevinden of via een draadloos netwerk worden uitgewisseld. Daarnaast biedt de architectuur bescherming voor de persoonlijke gegevens van gebruikers, alsook bescherming tegen toegang tot informatie en voorzieningen door kwaadwillenden of onbevoegden. Ook beschikt Apple over een ingebouwd framework voor MDM-oplossingen (Mobile Device Management), zodat MDM-oplossingen de toegang tot specifieke voorzieningen op Apple apparaten kunnen regelen en beheren.
Apple voorzieningen en autorisatie
Authenticatie bewijst wie je bent, terwijl autorisatie definieert wat je mag doen. Autorisatie werkt alleen als je een gebruikersnaam en wachtwoord doorgeeft aan een identiteitsprovider (IdP). In abstracte zin is de IdP de "autoriteit", vormen de gebruikersnaam en het wachtwoord de "bevestiging" (omdat die persoon de eigen identiteit "bevestigt") en vertegenwoordigen de gegevens die een gebruiker na het inloggen ontvangt het "token".
Apple gebruikt veel verschillende soorten tokens en bevestigingen. Bevestigingen die kunnen worden gebruikt, zijn onder andere certificaten, smartcards en andere multifactorapparaten.
Identiteitsbundeling
Identiteitsbundeling is het proces waarbij er een vertrouwensrelatie tot stand wordt gebracht tussen IdP's binnen beveiligingsdomeinen, zodat gebruikers zich vervolgens vrij kunnen verplaatsen tussen systemen zonder dat de beveiliging in gevaar komt. Voor identiteitsbundeling is het noodzakelijk dat domeinen worden geconfigureerd door beheerders die elkaar vertrouwen en die dezelfde methode gebruiken voor het identificeren van gebruikers.
Een voorbeeld van identiteitsbundeling is het gebruik van een bedrijfsaccount om bij een IdP in te loggen. Om bijvoorbeeld het aanmaken van beheerde Apple Accounts voor een organisatie te stroomlijnen, heeft Apple bundeling tussen een identiteitsprovider (IdP), Google Workspace en Microsoft Entra ID en Apple School Manager, Apple Business Manager of Apple Business Essentials mogelijk gemaakt. Gebruikers kunnen dan met hun bestaande accounts van een identiteitsprovider (IdP), Google Workspace of Microsoft Entra ID inloggen bij iCloud of inloggen op Apple apparaten die zijn gekoppeld aan Apple School Manager, Apple Business Manager of Apple Business Essentials. Als gebruikers niet wordt gevraagd om hun identiteit opnieuw te bevestigen, vindt bundeling plaats met behulp van eenmalige aanmelding of een extensie voor eenmalige aanmelding via Kerberos.