Wat betekent OAuth2 voor je data-uitwisseling?

API’s maken het mogelijk dat applicaties van verschillende leveranciers makkelijk en snel te koppelen. Maar hoe veilig is dat en waarop moet je letten?

Koppel met één klik en ga direct aan de slag. Deze ronkende marketingtekst klopt technisch gezien als een bus. Even toestemming verlenen dat de app bij de data van de kernapplicatie kan en hop aan het werk. Het overdragen van autorisatie aan apps heet access delegation. Het OAuth2 framework voorziet hierin. Dit framework wereldwijd is geadopteerd door techreuzen als Google, Facebook en LinkedIn.

Voordeel OAuth2

Een voordeel voor de gebruiker is dat hij geen wachtwoord hoeft in te voeren om met de gekoppelde applicaties te kunnen werken. Autorisatie verleen je eenmalig en dan kan  data-uitwisseling tussen de applicaties in theorie oneindig plaatsvinden, ook al veranderen de inloggegevens van de applicatie waar toestemming aan is verleend. Stel, je webshop is gekoppeld aan je financiële applicatie, je logistieke systeem en ERP-systemen van je leveranciers. Je verandert om veiligheidsredenen het wachtwoord van de boekhoudsoftware. Dankzij OAuth2 blijft de verbinding tussen de gekoppelde systemen in stand. Je hoeft de koppeling niet opnieuw te autoriseren, dus je webshop kan gewoon open blijven.  

Autorisatie of authenticatie

Verwar autorisatie niet met authenticatie. Authenticatie is het identificeren van de gebruiker op basis van de inloggegevens die alleen hem bekend zijn. Autorisatie gaat over de rechten die je kunt verlenen aan een app voor toegang tot bepaalde data. De eerste versie van OAuth is in 2006 opgesteld. Sinds 2012 is de specificatie van het OAuth2 framework beschikbaar. Je kent vast wel dat je op een website voor een applicatie kunt inloggen met je social media account zoals Facebook, Google of Linkedin. Je geeft dat deze applicatie dan toestemming om bepaalde gegevens van je social media account over te nemen. Alleen de ontbrekende gegevens vul je aan. De techniek hierachter is OAuth2 en ook toegepast in mobiele apps.

Aandachtspunten

Maar er zijn ook aandachtspunten bij OAuth2. Zo moet je goed nagaan tot welke data de applicatie toegang krijgt. Steeds meer applicaties geven dit netjes aan. Dit heet scoping. Wordt er niet vermeld tot welke data de applicatie toegang wil, dan krijgt de app dezelfde toegangsrechten als de gebruiker. Daar is helemaal niets mis mee als je de app vertrouwt. Maar hoe kun je achterhalen of de leverancier te goeder trouw is? Daarvoor is een simpele richtlijn. Als de app in een appstore staat van de softwareleverancier met wie je wilt koppelen, kun je er vanuit gaan dat de app goed werkt met je software en dat de app-leverancier zorgvuldig met je data omgaat. Toch blijkt uit de praktijk dat vele koppelingen niet uit een app center komen. Het is dan maar de vraag of de leverancier correct met je data omgaat.

Toegangsrechten intrekken

Gelukkig kan je altijd de toegangsrechten van een app intrekken. Dit doe je in de applicatie waarvoor je de toegangsrechten hebt verleend aan een andere applicatie. Stel, je wilt een app niet meer gebruiken. Behalve het contract met de leverancier van de applicatie op te zeggen, moet je ook de toegangsrechten van deze applicatie blokkeren. Die blijven namelijk altijd van kracht tenzij de gebruiker deze beëindigt. Let hier op.

Meer mogelijkheden

Via het OAuth2 framework is ook andere dienstverlening mogelijk. Zo biedt Google een service waarbij jij een mailtje ontvangt, zodra er op een ander device is ingelogd met je Google account. Dit is een waarschuwing voor jou. Mocht je hier niets van afweten, blokkeer de app of het device dan met één klik de toegang tot jouw gegevens. Zo voorkom je dat onbevoegden aan de haal gaan met je gegevens.

OAuth2 en Exact

Er is altijd een spanningsveld tussen gebruiksvriendelijkheid, functionaliteit en veiligheid. Die drie zijn tegenpolen. Exact zoekt de balans: een veilige applicatie die toch de gewenste functionaliteit levert en ook nog eens gebruiksvriendelijk is. Het koppelen van applicaties aan Exact Online is gebruiksvriendelijk vanuit het Exact Online App Centre. Met één klik kun je een applicatie koppelen aan Exact Online en direct de integratie tussen de applicatie en Exact Online uitproberen. Dit koppelen gebeurt op basis van OAuth2. Goed om te weten is dat de applicatie die je wilt koppelen, dezelfde toegangsrechten krijgt als de gebruiker die de toegang verleent.

Veiligheid

Om de veiligheid van je Exact Online data te garanderen, adviseren wij je om alleen applicaties te koppelen die in het Exact Online App Centre zijn gepubliceerd. Deze applicaties zijn gereviewed door Exact en voldoen aan de autorisatie-eisen, zoals vastgelegd in de OAuth2 specificatie. Daarnaast zal scoping voor de nieuwe apps beschikbaar zijn begin 2018. Ook onderzoeken we de mogelijkheden om in te loggen via social media op basis van je LinkedIn, facebook of Google-account.