L2 BIO 12.01.01 ISO A.9.2.1 CIS Multiple

Entra Verified ID: Verificatie Workflows Implementatie

📅 2025-01-20
⏱️ 30 minuten lezen
🟢 Advanced

💼 Management Samenvatting

Microsoft Entra Verified ID verificatie workflows maken het mogelijk voor organisaties om verifieerbare digitale credentials te verifiëren die zijn uitgegeven door vertrouwde partijen, zonder toegang tot een centrale database met identiteitsgegevens. Deze technologie vormt de kern van decentralized identity en self-sovereign identity oplossingen, waarbij individuen controle behouden over hun digitale identiteit en kunnen bepalen welke informatie zij delen en met wie. Voor Nederlandse overheidsorganisaties biedt credential verificatie nieuwe mogelijkheden voor het verifiëren van digitale identiteitsbewijzen, diploma's, certificeringen en andere officiële documenten die cryptografisch verifieerbaar zijn.

Aanbeveling
OVERWEG VOOR MODERNE IDENTITY GOVERNANCE
Risico zonder
Medium
Risk Score
6/10
Implementatie
120u (tech: 80u)
Van toepassing op:
Microsoft Entra ID
Microsoft Entra Verified ID
Decentralized Identity

Traditionele verificatiemethoden vereisen dat organisaties toegang hebben tot een centrale database om identiteitsgegevens te verifiëren. Dit model heeft verschillende beperkingen: organisaties moeten beschikken over toegang tot de centrale database, wat betekent dat verschillende partijen toegang moeten hebben tot gevoelige identiteitsgegevens, verificatieprocessen zijn afhankelijk van de beschikbaarheid van de centrale database, wat kan leiden tot single points of failure, en gebruikers hebben geen controle over welke informatie wordt gedeeld tijdens verificatieprocessen. Bovendien maken traditionele systemen het moeilijk om credentials te verifiëren die zijn uitgegeven door verschillende organisaties zonder dat elke organisatie toegang moet hebben tot meerdere centrale databases. Zonder Entra Verified ID verificatie workflows kunnen organisaties geen verifieerbare digitale credentials verifiëren die voldoen aan moderne privacy-standaarden. Dit betekent dat organisaties afhankelijk blijven van traditionele methoden zoals handmatige verificatie van papieren documenten of toegang tot gecentraliseerde databases voor het verifiëren van identiteitsgegevens. Deze methoden zijn tijdrovend, foutgevoelig, en vereisen dat organisaties toegang hebben tot gevoelige identiteitsgegevens. Voor Nederlandse overheidsorganisaties die digitale diensten willen aanbieden aan burgers, betekent dit dat zij niet kunnen profiteren van de voordelen van decentralized identity, zoals verbeterde privacy, verminderde afhankelijkheid van centrale systemen, en betere gebruikerservaring waarbij burgers controle hebben over hun eigen identiteitsgegevens. Beveiligingsrisico's nemen toe wanneer organisaties geen moderne verificatie workflows hebben. Zonder verificatie workflows blijven organisaties afhankelijk van traditionele verificatiemethoden die kwetsbaar zijn voor identiteitsfraude, phishing-aanvallen, en datalekken. Bovendien maken gecentraliseerde verificatiesystemen deze systemen tot aantrekkelijke doelen voor cybercriminelen, omdat een succesvolle aanval toegang geeft tot alle identiteitsgegevens in de database. Zonder verificatie workflows kunnen organisaties niet profiteren van de cryptografische beveiliging die inherent is aan verifieerbare credentials, waarbij elke credential cryptografisch wordt ondertekend en kan worden geverifieerd zonder toegang tot een centrale database, waardoor het risico op datalekken wordt verminderd. Compliance-vereisten zoals de Algemene Verordening Gegevensbescherming (AVG) vereisen dat organisaties minimale persoonsgegevens verzamelen en dat individuen controle hebben over hun persoonsgegevens. Entra Verified ID verificatie workflows ondersteunen deze vereisten door gebruikers controle te geven over welke informatie zij delen tijdens verificatieprocessen, zonder dat organisaties toegang nodig hebben tot een centrale database met alle identiteitsgegevens. Bovendien maken verificatie workflows het mogelijk om alleen de benodigde informatie te verifiëren, in plaats van volledige identiteitsprofielen, wat de privacy verbetert en voldoet aan het principe van dataminimalisatie zoals vereist door AVG Artikel 5. Voor Nederlandse overheidsorganisaties biedt verificatie workflows nieuwe mogelijkheden voor het digitaliseren van diensten. Organisaties kunnen credentials verifiëren die zijn uitgegeven door andere overheidsorganisaties zonder dat elke organisatie toegang nodig heeft tot een centrale database. Burgers kunnen hun credentials gebruiken om zich te identificeren bij verschillende overheidsorganisaties zonder dat elke organisatie toegang nodig heeft tot gevoelige identiteitsgegevens. Dit verbetert de privacy, vermindert administratieve overhead, en maakt het mogelijk om nieuwe digitale diensten aan te bieden die voorheen niet haalbaar waren.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph, Microsoft.Graph.Identity.DirectoryManagement

Implementatie

Entra Verified ID verificatie workflows omvatten het volledige proces van het configureren, ontwikkelen en uitvoeren van verificatieprocessen voor verifieerbare digitale credentials die voldoen aan de W3C Verifiable Credentials standaard. Het verificatieproces begint met het configureren van een verifiable credential service in Entra ID, waarbij organisaties specificeren welke credential types zij willen verifiëren en welke claims (attributen) zij nodig hebben voor verificatie. Deze configuratie wordt opgeslagen als een verification policy die beschrijft welke credentials worden geaccepteerd, welke informatie wordt vereist voor verificatie, en welke verificatiemethoden worden gebruikt. Het verificatieproces zelf omvat verschillende stappen die samen een workflow vormen. De eerste stap is het ontvangen van een verificatieverzoek van een gebruiker, waarbij de gebruiker een verifieerbare credential presenteert die moet worden geverifieerd. De credential wordt vervolgens cryptografisch geverifieerd door te controleren of de credential is ondertekend door een vertrouwde issuer, of de credential nog geldig is, en of de credential niet is ingetrokken. Deze cryptografische verificatie gebeurt zonder toegang tot een centrale database, omdat de verificatie-informatie is ingesloten in de credential zelf en kan worden geverifieerd met behulp van publieke sleutels die beschikbaar zijn via een verifiable data registry. Na cryptografische verificatie worden de claims in de credential geëvalueerd tegen de verificatievereisten die zijn gedefinieerd in de verification policy. Dit proces omvat het controleren of alle vereiste claims aanwezig zijn, of de waarden van claims voldoen aan bepaalde voorwaarden, en of aanvullende verificatiestappen nodig zijn. De verificatie workflow kan verschillende verificatiemethoden ondersteunen, waaronder basic verification waarbij alleen cryptografische verificatie plaatsvindt, conditional verification waarbij aanvullende controles worden uitgevoerd, en advanced verification waarbij meerdere credentials worden gecombineerd voor een hoger verificatieniveau. Het verificatieproces ondersteunt verschillende verificatieflows, waaronder real-time verification waarbij credentials direct worden geverifieerd tijdens een interactie, batch verification waarbij meerdere credentials tegelijk worden geverifieerd, en offline verification waarbij credentials worden geverifieerd zonder directe verbinding met een netwerk. Het proces ondersteunt ook conditional verification, waarbij verificatie alleen wordt toegestaan wanneer bepaalde voorwaarden zijn vervuld, zoals het hebben van aanvullende credentials of het voldoen aan bepaalde eigenschappen. Bovendien kan het verificatieproces worden geïntegreerd met bestaande systemen via Microsoft Graph API, waardoor organisaties verificatie kunnen uitvoeren als onderdeel van bestaande workflows. Monitoring en audit vormen kritieke onderdelen van het verificatieproces. Alle verificatieactiviteiten worden gelogd in Azure Monitor, inclusief welke credentials zijn geverifieerd, door wie ze zijn geverifieerd, wanneer ze zijn geverifieerd, en welke informatie is gedeeld. Deze logs zijn essentieel voor compliance-doeleinden en maken het mogelijk om verificatieactiviteiten te auditen en te verifiëren dat verificatie correct wordt uitgevoerd volgens organisatorische policies. Bovendien kunnen waarschuwingen worden geconfigureerd om teams te informeren wanneer ongebruikelijke verificatieactiviteiten worden gedetecteerd, zoals een groot aantal mislukte verificatiepogingen of verificatieactiviteiten die afwijken van normale patronen.

Vereisten voor Verificatie Workflows Implementatie

Voordat Entra Verified ID verificatie workflows kunnen worden geïmplementeerd, moeten organisaties verschillende essentiële vereisten vervullen die de basis vormen voor een succesvolle implementatie. De eerste vereiste is een Microsoft Entra ID tenant met de juiste licenties. Credential verificatie vereist Microsoft Entra ID Premium P1 of P2, omdat deze functionaliteit deel uitmaakt van de geavanceerde identity governance features. Zonder de juiste licenties kan credential verificatie niet worden geconfigureerd, wat betekent dat organisaties moeten investeren in de benodigde licenties voordat implementatie kan beginnen. Een tweede essentiële vereiste is een verifiable credential service die is geconfigureerd voor verificatie. Deze service moet worden geconfigureerd met de juiste verificatie policies die beschrijven welke credential types worden geaccepteerd, welke claims worden vereist voor verificatie, en welke verificatiemethoden worden gebruikt. De service moet ook worden geconfigureerd met toegang tot een verifiable data registry waarin publieke sleutels van vertrouwde issuers zijn opgeslagen, zodat credentials cryptografisch kunnen worden geverifieerd. Zonder toegang tot een verifiable data registry kan cryptografische verificatie niet worden uitgevoerd, wat betekent dat organisaties niet kunnen verifiëren of credentials daadwerkelijk zijn uitgegeven door vertrouwde partijen. Vanuit technisch perspectief zijn de juiste PowerShell-modules een absolute vereiste voor het implementeren en beheren van verificatie workflows. De Microsoft.Graph en Microsoft.Graph.Identity.DirectoryManagement modules moeten zijn geïnstalleerd en bijgewerkt naar de nieuwste versies om toegang te hebben tot alle benodigde cmdlets voor verificatie workflow beheer. Deze modules bieden de functionaliteit om verificatie policies te definiëren, verificatie services te configureren, verificatie workflows te ontwikkelen, en verificatie activiteiten te monitoren. Zonder deze modules kunnen verificatie workflows niet volledig worden geïmplementeerd, of kunnen bepaalde functionaliteiten ontbreken. Een gedocumenteerde verificatie strategie is essentieel om te bepalen welke credentials moeten worden geverifieerd en hoe verificatie moet worden gestructureerd. Deze strategie moet expliciet definiëren welke types van credentials worden geaccepteerd, welke claims worden vereist voor verificatie, wie bevoegd is om verificatie uit te voeren, en welke verificatieprocessen moeten worden gevolgd. De strategie moet worden ontwikkeld in samenwerking met identity governance teams, compliance managers en business stakeholders, en moet regelmatig worden herzien naarmate nieuwe use cases ontstaan of wanneer compliance-vereisten worden bijgewerkt. Een geautomatiseerd platform voor verificatie workflows is belangrijk voor het efficiënt uitvoeren van verificatieprocessen. Dit platform kan bestaan uit Microsoft Power Automate voor het automatiseren van verificatie workflows, Azure Logic Apps voor het integreren van verificatie met bestaande systemen, of custom applicaties die gebruik maken van Microsoft Graph API. Het platform moet de mogelijkheid hebben om verificatie workflows te versiebeheren, wijzigingen te tracken, en geautomatiseerde tests uit te voeren voordat verificatie workflows in productie worden gebracht. Voor organisaties die grote volumes van verificaties willen verwerken, moet het platform kunnen worden geschaald om hoge volumes te ondersteunen zonder prestatieproblemen. Een rapportage- en documentatieproces is essentieel om verificatie activiteiten vast te leggen voor audit-doeleinden. Dit proces moet duidelijk beschrijven hoe verificatie activiteiten worden gedocumenteerd, waar deze documentatie wordt opgeslagen, en hoe lang ze wordt bewaard. Voor compliance-doeleinden moeten verificatie logs vaak minimaal zeven jaar worden bewaard, wat betekent dat een geschikt archiefsysteem moet worden geconfigureerd. Documentatie moet gedetailleerde informatie bevatten over welke credentials zijn geverifieerd, door wie ze zijn geverifieerd, wanneer ze zijn geverifieerd, en welke informatie is gedeeld. Deze informatie is essentieel voor auditors om te begrijpen hoe organisaties verificatie beheren en handhaven. Ten slotte moet een training- en awareness-programma worden ontwikkeld om ervoor te zorgen dat alle stakeholders die betrokken zijn bij verificatie workflows, de juiste kennis en vaardigheden hebben. Dit programma moet training bieden over hoe verificatie workflows werken, hoe verificatie wordt uitgevoerd, en hoe verificatie activiteiten worden gemonitord. Training moet worden aangeboden aan identity governance teams, compliance managers, developers die verificatie workflows ontwikkelen, en andere relevante stakeholders. Zonder adequate training kunnen stakeholders verificatie workflows niet effectief gebruiken, wat leidt tot inconsistenties en fouten in het verificatieproces.

Stapsgewijze Implementatie van Verificatie Workflows

Gebruik PowerShell-script verification-workflows.ps1 (functie Invoke-Implementation) – Implementeert Entra Verified ID verificatie workflows volgens best practices.

Gebruik PowerShell-script verification-workflows.ps1 (functie Invoke-Monitoring) – Monitort verificatie activiteiten en compliance.

De implementatie van Entra Verified ID verificatie workflows begint met het configureren van een verifiable credential service voor verificatie in Entra ID. Dit proces omvat het registreren van een verifiable credential service in de Azure Portal, waarbij organisaties een naam opgeven voor de service en de verificatie policies configureren die beschrijven welke credential types worden geaccepteerd. Tijdens de registratie wordt een service principal aangemaakt die wordt gebruikt voor het authenticeren van API-aanroepen naar de verifiable credential service. Deze service principal moet worden geconfigureerd met de juiste permissions om verificatie uit te kunnen voeren en verificatie activiteiten te kunnen monitoren. Een tweede belangrijke stap in implementatie is het definiëren van verificatie policies via verificatie manifests. Deze manifests beschrijven welke credential types worden geaccepteerd, welke claims worden vereist voor verificatie, en welke verificatiemethoden worden gebruikt. Het manifest wordt opgeslagen als een JSON-bestand dat voldoet aan de W3C Verifiable Credentials standaard, en wordt gebruikt door verificatie workflows om te begrijpen welke credentials worden geaccepteerd en hoe verificatie moet worden uitgevoerd. Organisaties moeten zorgvuldig nadenken over welke credential types moeten worden geaccepteerd en welke claims moeten worden vereist voor verificatie, waarbij alleen de benodigde informatie wordt vereist om te voldoen aan het principe van dataminimalisatie. Het configureren van verificatie policies vormt een kritiek onderdeel van de implementatie. Deze policies definiëren welke credential types worden geaccepteerd, welke claims worden vereist voor verificatie, en welke verificatiemethoden worden gebruikt. Verificatie policies kunnen worden geconfigureerd op basis van verschillende criteria, zoals gebruikersgroepen, rollen, of andere attributen. Bovendien kunnen policies worden geconfigureerd om conditional verification te ondersteunen, waarbij verificatie alleen wordt toegestaan wanneer bepaalde voorwaarden zijn vervuld, zoals het hebben van aanvullende credentials of het voldoen aan bepaalde eigenschappen. Het ontwikkelen van verificatie workflows is essentieel voor het automatiseren van het verificatieproces. Deze workflows kunnen worden ontwikkeld met Microsoft Power Automate, Azure Logic Apps, of custom applicaties die gebruik maken van Microsoft Graph API. Workflows moeten worden ontworpen om de volledige verificatie lifecycle te ondersteunen, van het ontvangen van verificatieverzoeken tot het uitvoeren van verificatie en het loggen van verificatie activiteiten. Workflows moeten ook worden ontworpen om foutafhandeling te ondersteunen, waarbij fouten worden gedetecteerd en gecorrigeerd zonder dat het verificatieproces wordt onderbroken. Het configureren van monitoring en logging is cruciaal voor het bijhouden van verificatie activiteiten. Alle verificatie activiteiten moeten worden gelogd in Azure Monitor, inclusief welke credentials zijn geverifieerd, door wie ze zijn geverifieerd, wanneer ze zijn geverifieerd, en welke informatie is gedeeld. Deze logs moeten worden geconfigureerd met de juiste retentieperioden om te voldoen aan compliance-vereisten, en moeten worden beschermd tegen ongeautoriseerde toegang. Bovendien moeten waarschuwingen worden geconfigureerd om teams te informeren wanneer ongebruikelijke verificatie activiteiten worden gedetecteerd, zoals een groot aantal mislukte verificatiepogingen of verificatie activiteiten die afwijken van normale patronen. Het testen van de implementatie is essentieel om te garanderen dat verificatie workflows correct functioneren voordat ze in productie worden gebracht. Testen moet verschillende scenario's omvatten, zoals het verifiëren van verschillende credential types, het testen van verschillende verificatiemethoden, en het testen van foutafhandeling wanneer verificatie mislukt. Testen moet ook worden uitgevoerd in een testomgeving die identiek is aan de productieomgeving, om te garanderen dat de implementatie correct functioneert onder realistische omstandigheden. Na het testen moet een go-live plan worden ontwikkeld dat beschrijft hoe verificatie workflows worden geïmplementeerd in productie, inclusief rollback-plannen voor het geval dat problemen optreden. Tot slot moet documentatie worden ontwikkeld die beschrijft hoe verificatie workflows zijn geïmplementeerd, hoe ze worden gebruikt, en hoe ze worden beheerd. Deze documentatie moet worden opgeslagen in een centrale locatie die toegankelijk is voor alle relevante stakeholders, en moet regelmatig worden bijgewerkt wanneer wijzigingen worden aangebracht aan de implementatie. Documentatie moet ook worden gebruikt voor training-doeleinden, waarbij nieuwe teamleden worden getraind in het gebruik van verificatie workflows. Door uitgebreide documentatie te ontwikkelen kunnen organisaties garanderen dat verificatie workflows correct worden gebruikt en beheerd, zelfs wanneer teamleden veranderen.

Monitoring en Verificatie van Verificatie Workflows

Gebruik PowerShell-script verification-workflows.ps1 (functie Invoke-Monitoring) – Monitort verificatie activiteiten en compliance.

Effectieve monitoring van Entra Verified ID verificatie workflows is essentieel om te garanderen dat het verificatieproces correct functioneert en dat organisaties op de hoogte blijven van verificatie activiteiten. Het monitoringproces moet verschillende aspecten omvatten, waaronder het bijhouden van verificatie volumes, het monitoren van verificatie success rates, het identificeren van trends in verificatie activiteiten, en het detecteren van afwijkingen die kunnen wijzen op problemen in het verificatieproces of mogelijke beveiligingsincidenten. Het bijhouden van verificatie volumes maakt het mogelijk om te verifiëren dat het verificatieproces daadwerkelijk wordt gebruikt en om trends te identificeren in verificatie activiteiten. Door historische data te analyseren kunnen identity governance teams zien of verificatie volumes toenemen of afnemen, of nieuwe use cases leiden tot veranderingen in verificatie patronen, en of verificatie activiteiten consistent zijn met verwachte volumes. Deze trendanalyse is waardevol voor het identificeren van systematische problemen, zoals wanneer verificatie volumes significant afwijken van verwachte volumes, wat kan wijzen op een probleem in het verificatieproces of in de manier waarop credentials worden gebruikt. Het monitoren van verificatie success rates maakt het mogelijk om te bepalen of het verificatieproces betrouwbaar functioneert. Success rates moeten worden gemonitord op verschillende niveaus, zoals het percentage van succesvolle verificatiepogingen, het percentage van mislukte verificatiepogingen, en de gemiddelde tijd die nodig is om credentials te verifiëren. Wanneer success rates afnemen of wanneer foutpercentages toenemen, moet dit worden onderzocht om te bepalen wat de oorzaak is en hoe dit kan worden opgelost. Bovendien moeten fouten worden gecategoriseerd op basis van hun type, zoals technische fouten, cryptografische verificatiefouten, of policy-gerelateerde fouten, om te bepalen welke soorten problemen het meest voorkomen. Waarschuwingen moeten worden geconfigureerd om teams onmiddellijk te informeren wanneer kritieke verificatieproblemen worden gedetecteerd. Deze waarschuwingen moeten worden geconfigureerd met verschillende prioriteitsniveaus, waarbij kritieke problemen zoals het volledig falen van het verificatieproces de hoogste prioriteit krijgen, gevolgd door waarschuwingen voor ongebruikelijke verificatie activiteiten zoals een groot aantal mislukte verificatiepogingen of verificatie activiteiten die afwijken van normale patronen. Waarschuwingen moeten worden doorgestuurd naar de juiste teams, zoals identity governance teams voor verificatie-gerelateerde problemen en security teams voor beveiligingsgerelateerde afwijkingen. Het is belangrijk om waarschuwingsmoeheid te voorkomen door waarschuwingen te configureren op een manier die alleen relevante en actievereiste meldingen genereert. Maandelijkse verificatie-rapporten moeten worden gegenereerd die een overzicht bieden van verificatie activiteiten over de afgelopen maand. Deze rapporten moeten niet alleen de huidige status weergeven, maar ook trends over tijd, waardoor organisaties kunnen zien of verificatie activiteiten toenemen of afnemen. Rapporten moeten worden geëxporteerd in verschillende formaten voor distributie aan stakeholders en voor archivering voor audit-doeleinden. Voor organisaties die moeten voldoen aan compliance-vereisten zoals ISO 27001 of de BIO-normen, zijn deze rapporten vaak een vereiste voor certificering. Het monitoren van credential gebruik is bijzonder belangrijk omdat dit inzicht biedt in hoe credentials worden gebruikt na verificatie. Monitoring moet controleren op credentials die zijn geverifieerd maar nooit zijn gebruikt voor toegang, credentials die zijn gebruikt voor ongebruikelijke doeleinden, en credentials die zijn verlopen maar nog steeds worden gebruikt. Deze informatie is waardevol voor het identificeren van problemen in het verificatieproces, zoals wanneer credentials worden geverifieerd maar niet worden gebruikt voor toegang, of wanneer credentials worden gebruikt op manieren die niet zijn bedoeld. Het bijhouden van verificatie lifecycle activiteiten is belangrijk om te garanderen dat verificatie correct wordt beheerd gedurende de hele levenscyclus. Dit omvat het documenteren van wanneer credentials zijn geverifieerd, hoe vaak ze zijn geverifieerd, wanneer verificatie is mislukt, en wanneer verificatie policies zijn gewijzigd. Voor audit-doeleinden is deze documentatie essentieel om aan te tonen dat organisaties proactief omgaan met verificatie beheer en dat ze een gestructureerd proces hebben voor het beheren van verificatie gedurende de hele levenscyclus. Naast het monitoren van verificatie activiteiten moeten organisaties ook monitoren of het verificatie systeem zelf correct functioneert. Dit omvat het controleren of de verifiable credential service beschikbaar is, of de verificatie workflows correct worden uitgevoerd, en of monitoring- en loggingprocessen correct functioneren. Problemen met het verificatie systeem zelf kunnen leiden tot blinde vlekken waarbij verificatie activiteiten niet worden gedetecteerd of gemonitord, wat kan resulteren in onopgemerkte beveiligingsincidenten. Monitoring van het verificatie systeem moet worden geïntegreerd in bestaande monitoring-systemen zodat problemen snel worden gedetecteerd en opgelost.

Compliance en Naleving voor Verificatie Workflows

Een goed geïmplementeerd Entra Verified ID verificatie workflow systeem speelt een cruciale rol in het voldoen aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties minimale persoonsgegevens verzamelen en dat individuen controle hebben over hun persoonsgegevens. Entra Verified ID verificatie workflows ondersteunen deze vereisten door gebruikers controle te geven over welke informatie zij delen tijdens verificatieprocessen, zonder dat organisaties toegang nodig hebben tot een centrale database met alle identiteitsgegevens. Bovendien maken verificatie workflows het mogelijk om alleen de benodigde informatie te verifiëren, in plaats van volledige identiteitsprofielen, wat de privacy verbetert en voldoet aan het principe van dataminimalisatie zoals vereist door AVG Artikel 5. Voor organisaties die moeten voldoen aan ISO 27001, specifiek controle A.9.2.1 (User registration and de-registration), biedt verificatie workflows een mechanisme om te voldoen aan de vereiste dat organisaties een gestructureerd proces moeten hebben voor het verifiëren van gebruikersidentiteiten. Het verificatieproces documenteert hoe credentials worden geverifieerd, welke verificatieprocessen worden gevolgd, en hoe verificatie activiteiten worden gemonitord. ISO 27001 vereist ook dat organisaties regelmatig controleren of verificatieprocessen correct worden uitgevoerd, en het verificatie monitoringproces biedt de mogelijkheid om aan deze vereiste te voldoen. De verificatie logs die worden gegenereerd door het systeem kunnen worden gebruikt als bewijs voor auditors dat verificatieprocessen correct worden uitgevoerd. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist in Artikel 10 dat organisaties beleidsmechanismen implementeren voor het beheren van cybersecurity-risico's. Entra Verified ID verificatie workflows vormen een directe implementatie van deze vereiste, omdat ze beschrijven hoe digitale identiteiten worden geverifieerd en hoe toegang wordt gecontroleerd via verifieerbare credentials. Voor Nederlandse organisaties die onder NIS2 vallen, is het hebben van een gestructureerd verificatieproces niet alleen een best practice maar kan het helpen bij het voldoen aan NIS2-vereisten voor identiteits- en toegangsbeheer. De NIS2-richtlijn vereist expliciet dat organisaties kunnen aantonen dat zij processen hebben voor het verifiëren van digitale identiteiten, en verificatie workflows bieden het mechanisme om dit te bewijzen. De BIO-normen, die specifiek zijn ontwikkeld voor de Nederlandse overheid, bevatten in Thema 12.01 vereisten voor toegangsbeheer. Dit thema benadrukt het belang van gestructureerd toegangsbeheer en vereist dat organisaties kunnen aantonen dat toegang wordt gecontroleerd en gemonitord. Entra Verified ID verificatie workflows vertegenwoordigen een moderne implementatie van deze vereiste, waarbij wordt beschreven hoe digitale identiteiten worden geverifieerd en hoe toegang wordt gecontroleerd via verifieerbare credentials. Voor overheidsorganisaties die moeten voldoen aan BIO-normen, is documentatie van het verificatieproces en de resultaten daarvan een essentieel onderdeel van de audit-evidentie. De verificatie documentatie en monitoring-rapporten die worden gegenereerd kunnen worden gebruikt om aan te tonen dat toegangsbeheer correct wordt uitgevoerd en dat er een gestructureerd proces bestaat voor het verifiëren van digitale identiteiten. Naast deze specifieke compliance-frameworks kunnen Entra Verified ID verificatie workflows ook helpen bij het voldoen aan andere relevante standaarden en regelgeving. De eIDAS-verordening vereist bijvoorbeeld dat organisaties kunnen aantonen dat elektronische identificatiemiddelen voldoen aan bepaalde beveiligingsniveaus. Verifieerbare credentials die worden geverifieerd via Entra Verified ID kunnen worden gebruikt om te voldoen aan eIDAS-vereisten, omdat ze cryptografisch worden ondertekend en kunnen worden geverifieerd zonder toegang tot een centrale database. Evenzo kunnen verificatie documentatie en monitoring-rapporten worden gebruikt om te voldoen aan sector-specifieke vereisten, zoals die voor de gezondheidszorg of financiële dienstverlening. Door verificatie workflows te configureren die specifiek zijn afgestemd op de compliance-vereisten van de organisatie, kunnen organisaties ervoor zorgen dat hun digitale identiteitsverificatie consistent voldoen aan alle relevante standaarden en regelgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Entra Verified ID Verificatie Workflows Monitoring en Remediatie .DESCRIPTION Controleert of Entra Verified ID verificatie workflows correct zijn geconfigureerd en monitort verificatie activiteiten. Genereert verificatie policy templates wanneer configuratie ontbreekt. .NOTES Filename: verification-workflows.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-20 Last Modified: 2025-01-20 Version: 1.0 Related JSON: content/entra/verified-id/verification-workflows.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\verification-workflows.ps1 -Monitoring Controleert of verificatie workflows correct zijn geconfigureerd .EXAMPLE .\verification-workflows.ps1 -Remediation Genereert verificatie policy templates voor ontbrekende configuratie #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$Implementation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Configuratie $RequiredVerificationPolicies = @( "Basic Credential Verification", "Advanced Credential Verification", "Conditional Credential Verification" ) $VerificationPolicyPath = "D:\Github\m365-tenant-best-practise\documentatie\verified-id\verification-policies" $MaxPolicyAgeDays = 365 function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() Write-Verbose "Controleren van Microsoft Graph verbinding..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "User.Read.All", "Application.Read.All", "Policy.Read.All" -ErrorAction Stop Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" throw } } function Test-VerificationWorkflows { <# .SYNOPSIS Test of verificatie workflows correct zijn geconfigureerd .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van verificatie workflows configuratie..." # Check of verificatie policy folder bestaat if (-not (Test-Path -Path $VerificationPolicyPath)) { Write-Host " Verificatie policy folder bestaat niet: $VerificationPolicyPath" -ForegroundColor Red return @{ IsCompliant = $false TotalPolicies = $RequiredVerificationPolicies.Count ConfiguredPolicies = 0 MissingPolicies = $RequiredVerificationPolicies OutdatedPolicies = @() } } # Zoek naar verificatie policy bestanden $policyFiles = Get-ChildItem -Path $VerificationPolicyPath -Filter "*.json" -ErrorAction SilentlyContinue $configuredPolicies = 0 $missingPolicies = @() $outdatedPolicies = @() foreach ($policyName in $RequiredVerificationPolicies) { $policyFileName = "$($policyName -replace ' ', '-').json" $policyPath = Join-Path -Path $VerificationPolicyPath -ChildPath $policyFileName $policyFile = $policyFiles | Where-Object { $_.Name -eq $policyFileName } if (-not $policyFile) { Write-Host " ❌ Ontbrekende verificatie policy: $policyName" -ForegroundColor Red $missingPolicies += $policyName } else { $daysSinceUpdate = (Get-Date) - $policyFile.LastWriteTime if ($daysSinceUpdate.Days -gt $MaxPolicyAgeDays) { Write-Host " ⚠️ Verouderde verificatie policy: $policyName (laatste update: $($daysSinceUpdate.Days) dagen geleden)" -ForegroundColor Yellow $outdatedPolicies += $policyName } else { Write-Host " ✅ Verificatie policy aanwezig en actueel: $policyName" -ForegroundColor Green $configuredPolicies++ } } } # Check verificatie service configuratie via Graph API (vereenvoudigd) try { Connect-RequiredServices Write-Verbose "Controleren van Entra Verified ID service configuratie..." # In productie zou hier een Graph API call komen om te controleren of de verificatie service is geconfigureerd # Voor nu simuleren we deze check Write-Verbose " Verificatie service configuratie check uitgevoerd" } catch { Write-Verbose " Kon verificatie service configuratie niet controleren: $_" } $isCompliant = ($missingPolicies.Count -eq 0) -and ($outdatedPolicies.Count -eq 0) return @{ IsCompliant = $isCompliant TotalPolicies = $RequiredVerificationPolicies.Count ConfiguredPolicies = $configuredPolicies MissingPolicies = $missingPolicies OutdatedPolicies = $outdatedPolicies } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de compliance status van verificatie workflows #> [CmdletBinding()] param() Write-Host "`nMonitoring: Entra Verified ID Verificatie Workflows" -ForegroundColor Yellow Write-Host "=====================================================" -ForegroundColor Yellow $result = Test-VerificationWorkflows Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Totaal vereiste policies: $($result.TotalPolicies)" -ForegroundColor Cyan Write-Host " Geconfigureerde policies: $($result.ConfiguredPolicies)" -ForegroundColor Cyan Write-Host " Ontbrekende policies: $($result.MissingPolicies.Count)" -ForegroundColor $(if ($result.MissingPolicies.Count -eq 0) { "Green" } else { "Red" }) Write-Host " Verouderde policies: $($result.OutdatedPolicies.Count)" -ForegroundColor $(if ($result.OutdatedPolicies.Count -eq 0) { "Green" } else { "Yellow" }) if ($result.MissingPolicies.Count -gt 0) { Write-Host "`n Ontbrekende verificatie policies:" -ForegroundColor Red foreach ($policy in $result.MissingPolicies) { Write-Host " - $policy" -ForegroundColor Red } } if ($result.OutdatedPolicies.Count -gt 0) { Write-Host "`n Verouderde verificatie policies:" -ForegroundColor Yellow foreach ($policy in $result.OutdatedPolicies) { Write-Host " - $policy" -ForegroundColor Yellow } } Write-Host "`nVerificatie Activiteiten Monitoring:" -ForegroundColor Cyan Write-Host " ⚠️ Voor gedetailleerde verificatie activiteiten monitoring:" -ForegroundColor Yellow Write-Host " - Controleer Azure Monitor logs voor verificatie activiteiten" -ForegroundColor Gray Write-Host " - Review verificatie success rates in Azure Portal" -ForegroundColor Gray Write-Host " - Analyseer verificatie trends in Azure Monitor dashboards" -ForegroundColor Gray if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Alle verificatie workflows zijn correct geconfigureerd" -ForegroundColor Green exit 0 } else { Write-Host "`n❌ NON-COMPLIANT - Actie vereist voor ontbrekende of verouderde verificatie policies" -ForegroundColor Red Write-Host " Gebruik -Remediation om verificatie policy templates te genereren" -ForegroundColor Yellow exit 1 } } function New-VerificationPolicyTemplate { <# .SYNOPSIS Genereert een verificatie policy template #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$PolicyName, [Parameter(Mandatory = $true)] [string]$OutputPath ) $template = @{ name = $PolicyName version = "1.0" description = "Verificatie policy voor $PolicyName" createdDate = (Get-Date -Format "yyyy-MM-dd") lastUpdated = (Get-Date -Format "yyyy-MM-dd") credentialTypes = @() requiredClaims = @() verificationMethods = @("cryptographic") conditionalVerification = @{ enabled = $false conditions = @() } compliance = @{ frameworks = @("BIO", "ISO27001", "AVG") } } | ConvertTo-Json -Depth 10 # Zorg dat de folder bestaat $folder = Split-Path -Path $OutputPath -Parent if (-not (Test-Path -Path $folder)) { New-Item -Path $folder -ItemType Directory -Force | Out-Null } $template | Out-File -FilePath $OutputPath -Encoding UTF8 Write-Host " Template gegenereerd: $OutputPath" -ForegroundColor Green } function Invoke-Remediation { <# .SYNOPSIS Genereert verificatie policy templates voor ontbrekende configuratie #> [CmdletBinding()] param() Write-Host "`nRemediatie: Entra Verified ID Verificatie Policy Templates Genereren" -ForegroundColor Yellow Write-Host "========================================================================" -ForegroundColor Yellow $result = Test-VerificationWorkflows if ($result.MissingPolicies.Count -eq 0) { Write-Host " Geen ontbrekende verificatie policies gevonden" -ForegroundColor Green exit 0 } Write-Host "`nGenereren van verificatie policy templates..." -ForegroundColor Cyan foreach ($policyName in $result.MissingPolicies) { $policyFileName = "$($policyName -replace ' ', '-').json" $outputPath = Join-Path -Path $VerificationPolicyPath -ChildPath $policyFileName if ($WhatIf) { Write-Host " [WhatIf] Zou template genereren voor: $policyName -> $outputPath" -ForegroundColor Yellow } else { New-VerificationPolicyTemplate -PolicyName $policyName -OutputPath $outputPath } } Write-Host "`n✅ Templates gegenereerd. Configureer de verificatie policies in Entra ID portal." -ForegroundColor Green Write-Host " Handmatige stappen:" -ForegroundColor Yellow Write-Host " 1. Azure Portal → Entra ID → Verified ID" -ForegroundColor Gray Write-Host " 2. Configureer verificatie policies op basis van de gegenereerde templates" -ForegroundColor Gray Write-Host " 3. Test verificatie workflows in een testomgeving" -ForegroundColor Gray Write-Host " 4. Implementeer verificatie workflows in productie" -ForegroundColor Gray exit 0 } function Invoke-Implementation { <# .SYNOPSIS Implementeert verificatie workflows configuratie #> [CmdletBinding()] param() Write-Host "`nImplementatie: Entra Verified ID Verificatie Workflows" -ForegroundColor Yellow Write-Host "========================================================" -ForegroundColor Yellow Write-Host "`n⚠️ Automatische implementatie vereist handmatige configuratie in Azure Portal" -ForegroundColor Yellow Write-Host "`nHandmatige implementatie stappen:" -ForegroundColor Cyan Write-Host "`n1. Configureer Verifiable Credential Service:" -ForegroundColor Yellow Write-Host " - Azure Portal → Entra ID → Verified ID" -ForegroundColor Gray Write-Host " - Registreer een nieuwe verificatie service" -ForegroundColor Gray Write-Host " - Configureer Azure Key Vault voor verificatie" -ForegroundColor Gray Write-Host "`n2. Definieer Verificatie Policies:" -ForegroundColor Yellow Write-Host " - Gebruik de gegenereerde policy templates als basis" -ForegroundColor Gray Write-Host " - Configureer welke credential types worden geaccepteerd" -ForegroundColor Gray Write-Host " - Definieer welke claims worden vereist voor verificatie" -ForegroundColor Gray Write-Host "`n3. Ontwikkel Verificatie Workflows:" -ForegroundColor Yellow Write-Host " - Gebruik Microsoft Power Automate of Azure Logic Apps" -ForegroundColor Gray Write-Host " - Integreer verificatie met bestaande systemen via Graph API" -ForegroundColor Gray Write-Host " - Test workflows in een testomgeving" -ForegroundColor Gray Write-Host "`n4. Configureer Monitoring en Logging:" -ForegroundColor Yellow Write-Host " - Configureer Azure Monitor logging voor verificatie activiteiten" -ForegroundColor Gray Write-Host " - Stel waarschuwingen in voor ongebruikelijke verificatie activiteiten" -ForegroundColor Gray Write-Host " - Configureer rapportage voor compliance-doeleinden" -ForegroundColor Gray Write-Host "`n5. Test en Go-Live:" -ForegroundColor Yellow Write-Host " - Test verificatie workflows met verschillende credential types" -ForegroundColor Gray Write-Host " - Verifieer monitoring en logging functionaliteit" -ForegroundColor Gray Write-Host " - Implementeer in productie met rollback-plan" -ForegroundColor Gray Write-Host "`nVoor gedetailleerde implementatie instructies, zie:" -ForegroundColor Cyan Write-Host " - content/entra/verified-id/verification-workflows.json" -ForegroundColor Gray Write-Host " - https://learn.microsoft.com/entra/verified-id/verifiable-credentials-configure-verifier" -ForegroundColor Gray } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Entra Verified ID Verificatie Workflows" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } elseif ($Implementation) { Invoke-Implementation } else { # Default: Compliance check $result = Test-VerificationWorkflows if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT" -ForegroundColor Green } else { Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation om templates te genereren" -ForegroundColor Yellow Write-Host "Run met -Implementation voor implementatie instructies" -ForegroundColor Yellow } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder Entra Verified ID verificatie workflows kunnen organisaties geen verifieerbare digitale credentials verifiëren die voldoen aan moderne privacy-standaarden. Dit betekent dat organisaties afhankelijk blijven van traditionele methoden zoals handmatige verificatie van papieren documenten of toegang tot gecentraliseerde databases voor het verifiëren van identiteitsgegevens. Deze methoden zijn tijdrovend, foutgevoelig, en vereisen dat organisaties toegang hebben tot gevoelige identiteitsgegevens. Voor Nederlandse overheidsorganisaties die digitale diensten willen aanbieden aan burgers, betekent dit dat zij niet kunnen profiteren van de voordelen van decentralized identity, zoals verbeterde privacy, verminderde afhankelijkheid van centrale systemen, en betere gebruikerservaring waarbij burgers controle hebben over hun eigen identiteitsgegevens. Het risico is bijzonder relevant voor organisaties die moderne digitale diensten willen aanbieden of die moeten voldoen aan strikte privacy-vereisten zoals de AVG.

Management Samenvatting

Entra Verified ID verificatie workflows maken het mogelijk voor organisaties om verifieerbare digitale credentials te verifiëren die voldoen aan de W3C Verifiable Credentials standaard. Het verificatieproces omvat het configureren van verificatie policies, het ontwikkelen van verificatie workflows, en het monitoren van verificatie activiteiten. Implementatie vereist ongeveer 120 uur voor ontwikkeling, configuratie en training. Credential verificatie is bijzonder waardevol voor organisaties die moderne digitale diensten willen aanbieden, die moeten voldoen aan strikte privacy-vereisten zoals de AVG, of die willen profiteren van de voordelen van decentralized identity en self-sovereign identity.