Ga naar content
Wij zijn de #1 Microsoft partner
#1 Microsoft partner van NL
Console Werken bij

Klantvraag: SharePoint on-premises met Multi-Factor Authentication

Blogs
26-9-2017

Het gebeurt met regelmaat dat een organisatie zijn SharePoint nog niet in de cloud heeft staan, maar deze on-premises heeft draaien. Door deze hybride situatie kunnen medewerkers wel al wennen aan de manier van samenwerken in de cloud, maar wordt deze nog lokaal beheerd. Wanneer men wel overgaat naar de cloud kan Multi-Factor Authentication (MFA) een vereiste zijn, dus wil men deze werkwijze al zo snel mogelijk implementeren en gemeengoed maken binnen de organisatie.

Van een organisatie kreeg ETTU laatst het verzoek om de on-premises SharePoint omgeving extern beschikbaar te stellen met als eis dat dit met Multi-factor authenticatie (MFA) moest gebeuren. Het is geen ongebruikelijke vraag, maar wel eentje waarvan de opties en implicaties per case goed afgewogen dienen te worden. 

 

Maken van de keuze voor Multi-Factor Authentication

Het blijft altijd een pijnpunt binnen organisaties: het maakt niet uit hoeveel beveiliging je op je systemen hebt staan, wanneer het niet of niet goed gebruikt wordt is je data kwetsbaar. Daarom is Two-Factor of Multi-Factor Authentication een goede manier om de toegang tot vertrouwelijke gegevens zo goed mogelijk te beveiligen. Omdat grote bedrijven als Google, Facebook en Uber het gebruiken, zijn je medewerkers al wat gewend aan de handeling en zien ze in dat het zorgt voor een extra beveiligde laag. Door eerst je wachtwoord in te voeren en vervolgens de code, die naar je telefoon of token is gestuurd, wordt de kans kleiner dat mensen met nare bedoelingen bij je vertrouwelijke data kunnen komen.

 

Azure Multi-Factor Authentication

Er zijn verschillende aanbieders voor MFA, elk met hun eigen voor- en nadelen. Normaal gesproken proberen we om zoveel mogelijk van alle software bij één aanbieder te beleggen, omdat het beheer makkelijker wordt en de aanbieder verantwoordelijk is voor de beveiliging. Helaas is dit soms niet mogelijk en moet er verder gekeken worden.

Dit was het geval in de volgende klantcase. We startten met het kijken naar de mogelijkheden om Azure Multi-Factor Authentication te introduceren, aangezien de klant al SharePoint heeft draaien. Zo houd je alles binnen hetzelfde systeem en is het voor de gebruikers geen grote overstap. Omdat alle licenties al in gebruik waren en er nieuwe licenties dubbelop gekocht zouden moeten worden om de Azure Multi-Factor Authentication te gebruiken, zou dit voor buitenproportioneel veel extra kosten zorgen. Om deze reden kwam de methode van Azure niet als winnaar uit de bus.

 

Andere opties voor MFA

Nu er is besloten is Azure niet als methode te gebruiken voor MFA, werd het belangrijk om te kijken naar een oplossing die wel binnen de kaders van de klant valt. Al snel zagen we de optie om RSA-tokens te gebruiken. Het toeval wilde dat de klant al een RSA-infrastructuur gebruikte, dus konden we redelijk moeiteloos het gebruik van de RSA-tokens implementeren. Wat ons nog vrolijker stemde, was het feit dat er binnenkort een grote update gepland staat. Met deze update wordt het mogelijk om de authenticatie via een app te laten lopen, in plaats van het fysieke apparaatje aan je sleutelbos. Deze zogenaamde software tokens maken het voor de gebruiker minder omslachtig om zijn data te bereiken.

mobiele-telefoon-app.jpg

 

Het integreren van de RSA-token

Wanneer de MFA-software niet van dezelfde fabrikant is als van de andere gebruikte software, kan het misschien aanvoelen alsof het niet helemaal waterdicht is. De systemen spreken immers niet dezelfde taal! Echter, in het geval van MFA is hier geen sprake van, omdat de aanbieder van MFA niet veel te maken heeft met het systeem dat men probeert te bereiken. Zie het als een grote muur die opgetrokken wordt tussen de buitenwereld en de vertrouwelijke gegevens. Pas wanneer je echt kan aantonen dat je bent wie je zegt dat bent, mag je het kleine deurtje door. Het maakt in dit geval voor de bewaker van de deur niet uit welke gegevens hij beschermt. Daarom was het voor ons erg gemakkelijk om de muur van RSA om de bestaande informatie in SharePoint heen te bouwen.

Het enige nadeel van het gebruik van de RSA-token als MFA is dat gebruikers deze authenticatie altijd moeten uitvoeren. Wanneer men buiten de werkplek is, of dat nu thuis is of op een ander mogelijk onbeveiligd netwerk, is dit natuurlijk erg verstandig. Alleen, RSA maakt het noodzakelijk om ook op een dergelijke manier in te loggen wanneer de medewerker op de vaste werkplek aanwezig is. Je zou verwachten dat deze extra beveiliging niet nodig is wanneer de IT-beheerder op de werkplek verantwoordelijk is voor deze stap. Gelukkig komt er binnenkort een update uit, waarbij dit niet meer nodig is. We hopen dat deze snel wordt uitgerold!

Ook aan de slag met MFA binnen jouw organisatie? Neem contact met ons op voor de mogelijkheden.