Periodiek autorisatiebeheer

Hoe bedrijfkritisch  een website ook kan zijn, veiligheid staat altijd voorop. Dit artikel geeft inzicht in gebruikersbeheer en bevat een eenvoudige tip om je security-beleid te optimaliseren door periodiek onderhoud te verrichten aan de gebruikersaccounts van je XperienCentral-installatie.

Het autorisatiebeheer-panel

In de redactieomgeving vind je via de menu-optie ‘Configuratie’ -> ‘Autorisatie’ het Autorisatie beheer-panel. In dit panel  kun je gebruikeraccounts onderhouden:

Accounttypes

Globaal zijn er 3 types accounts te onderscheiden:

• Systeemaccounts. Dit zijn vrijwel altijd de accounts ‘Administrator’ en ‘Developer’. Deze accounts zijn nodig voor het correct functioneren van XperienCentral en/of externe koppelingen. GX Software beheert deze accounts. Verwijder deze accounts niet en reset ook niet het wachtwoord. GX Software streeft ernaar om op termijn al deze accounts de post-fix ‘(do not change/remove!)’ te geven, zodat deze duidelijk te herkennen zijn.
  
  
• GX Software-gebruikeraccounts. Dit zijn (meestal) tijdelijke accounts die worden aangemaakt voor medewerkers van GX Software. GX Software maakte deze accounts vaak aan tijdens de voorbereiding op de livegang van een installatie of nieuwe functionaliteit, zodat engineers, consultants of architecten van GX Software content kunnen aanmaken of inrichten. Het is verstandig om deze accounts te bewaren.^* De bijbehorende wachtwoorden mogen wel worden gereset.
• GX Software streeft ernaar om op termijn al deze accounts de post-fix ‘(GX account)’ te geven, zodat deze duidelijk te herkennen zijn.
  
  
• Reguliere gebruikeraccounts. Dit zijn accounts van medewerkers van de klantorganisatie of derde partijen (bijvoorbeeld vormgever of hostingpartij). Deze accounts kunnen beter niet worden verwijderd.^* De bijbehorende wachtwoorden mogen wel worden gereset.

^*De reden om deze accounts te bewaren, is dat er met deze accounts mogelijk ooit content is aangemaakt. Verwijder je deze accounts toch, dan is er geen referentie meer vanuit de content naar deze accounts, met mogelijk nadelige gevolgen van dien.

Periodiek onderhoud door GX Software

Periodiek - in elk geval 2 keer per jaar - voert GX Software een securitycheck uit. Een dergelijke check houdt het volgende in:

• GX Software wijzigt de wachtwoorden van systeemaccounts met inachtneming van een strenge complexiteit. De nieuwe wachtwoorden worden geborgd in een secure klantinformatiesysteem bij GX Software. Alleen de afdeling Customer Services en de architecten van GX Software kunnen deze wachtwoorden raadplegen.
• GX Software wijzigt de wachtwoorden van alle GX Software-gebruikeraccounts en stelt hierbij willekeurig niet te reproduceren wachtwoorden in en borgt deze gewijzigde wachtwoorden niet, waardoor GX Software deze accounts niet meer kan gebruiken om in te loggen.

Aanvullend onderhoud door de klant (tip)

De tip is eenvoudig: stel een mechanisme in dat ervoor zorgt dat de acties die GX Software uitvoert, worden gevolgd door een update van alle reguliere gebruikeraccounts. Doorloop hierbij de lijst van alle gebruikers en voer het volgende uit:

• Controleer of de personen nog in dienst zijn en/of nog wel toegang dienen te hebben.
• Zo niet, verander dan het wachtwoord van het bewuste account in een willekeurig, niet te reproduceren wachtwoord dat niet wordt geborgd. Een eenvoudige truc hiervoor is blind een aantal willekeurige toetsen in te typen , hierbij afwisselend de shift-toets te gebruiken en zeker een of meerdere ‘vreemde’ karakters te kiezen. Het gebruik van een wachtwoordgenerator  bevelen wij niet aan, maar mag uiteraard ook zolang het wachtwoord maar niet ergens wordt vastgelegd.

Het koppelen van XperienCentral aan single-sign-on software (tip)

XperienCentral biedt ook de mogelijkheid om het gebruikersbeheer van de accounts centraal te regelen via single-sign-on software. Dit is een soort centraal inlogsysteem waarbij het autorisatiebeheer in handen ligt van de IT-afdeling. Meer informatie over de koppeling en vereisten kun je hier raadplegen.