Wat is XXID en hoe werkt het?

XXID is een Single Sign On (SSO)-oplossing ontwikkeld door Grexx. Bouw je een applicatie op het Grexx Platform, dan gebruik je XXIDom veilig in te loggen. In dit artikel duiken we wat dieper in de techniek: hoe werkt XXID precies en wat heb jij daar aan?

‍

Single SignOn-oplossingen bestaan om met één set inloggegevens in te kunnen loggen opmeerdere applicaties en services. Je ziet het vaak wanneer je gebruik maakt vaneen online service of webshop: je kunt ervoor kiezen om een nieuw account aan te maken, in te loggen op een bestaand account óf in te loggen met een Google-of Microsoft-account. In dat laatste geval maak je gebruik van Single Sign On:je gebruikt je account bij Google of Microsoft om te laten weten wie je bent.

Een voorbeeld:

Bij Spotify kun je inloggen met Google, Facebook of Apple. Je kunt ook een Spotify-account gebruiken. Kies je voor inloggen via Google, Facebook of Apple? Dan gebruik je SSO.

‍

Zo’n account dat jouw identiteit autoriseert, noem je een identiteitsprovider. De bekendste identiteitsproviders waarmee je je via SSO kunt aanmelden zijn Google, Microsoft, Apple en Facebook. Ook anderebekende platformen als GitHub, Discord, Twitter en een lokale Azure ActiveDirectory kunnen opties zijn om jouw identiteit te autoriseren.

Alternatieve SSO-oplossingen

Er bestaan veel verschillende Single Sign On-oplossingen. Bekende namen zijn Okta, Auth0,Microsoft Entra ID en OneLogin. Iedere oplossing heeft zo zijn eigen voor- en nadelen. Vaak zijn SSO-oplossingen onderdeel van een breder IAM-programma:Identity Access Management, oftewel het beheer van gebruikersrechten binnen een bedrijf of organisatie.

‍

💡 De naam XXID is een samentrekking tussen greXX en IDentity

‍

Wat is XXID?

XXID is deSSO-oplossing die we gebouwd hebben voor het Grexx Platform. Het is al ruim tien jaar succesvol in gebruik en ondersteunt alle reguliere autorisatie methodes.

XXID wordt ingezet voor authenticatie en wijst iedere gebruiker een ID/identity toe. Het regelt ook hoe gebruikers inloggen en hoe gebruikersgegevens doorgegeven worden aan de omgeving.

‍

XXID in de praktijk

Bouw je een applicatie op het Grexx Platform, dan is XXID de standaard autorisatiemethode voor je studio- en developmentomgeving. Als bouwer of beheerder kun je eenvoudig aangeven welke providers je wilt toestaan.

De opties:

• E-mail en wachtwoord (dmv Active Directory)
• Google, Facebook, Microsoft
• eHerkenning, DigiD (onder voorwaarden)
• Yivi (voorheen IRMA)
• Maatwerk integraties via SAML, OAuth, OpenID
• En er zijn meer mogelijkheden. Wil je iets dat nog niet kan, dan kunnen we dat vaak voor je realiseren.

Verder ondersteunt XXID ook multifactorauthenticatie (2FA/MFA), waaronder code via app, e-mail of sms.

Absolute privacy

XXID is ontworpen conform de privacy by design filosofie: absolute privacy van de gebruiker is het uitgangspunt. Als applicatiebeheerder ben je niet gebonden aan die filosofie, je kunt XXID ook anders inzetten. Maar we faciliteren het wel.

Dat kan bijvoorbeeld als volgt:

• Logt een gebruiker in met XXID, dan krijgt de applicatie geen informatie over wie de gebruiker is. In plaats daarvan genereert XXID een unieke User ID, dat verder niet te matchen is aan persoonsgegevens.
• Oftewel: logt een gebruiker in met een Google-account, dan ken je deze user niet als naam[a]gmail.com, maar als user12345. Dat betekent dat de gebruiker in principe anoniem kan handelen.

‍

Goed om te weten: je kunt XXID uiteraard gebruiken voor verschillende applicaties - binnen en buiten het Grexx platform. In dat geval ondersteunen we standaard de privacy van gebruikers over de applicaties heen:

• Gebruiker X logt met een Google-account in op applicatie A. Deze applicatie kent de gebruiker als user12345
• Diezelfde gebruiker X logt met datzelfde Google-account in op applicatie B. Deze applicatie kent de gebruiker als user13579
• Oftewel: user ID’s zijn altijd uniek. Gebruikers van meerdere applicaties zijn puur op basis van een user ID dus nooit aan elkaar te koppelen. Dit is een feature die alternatieve SSO-oplossingen niet bieden.
• Kiest de developer ervoor om meer informatie vanuit de identiteitsprovider op te halen (zoals een e-mailadres), dan kan er uiteraard wel gematched worden tussen gebruikers van verschillende applicaties.

‍

Overigens kun je qua privacy (als developer) verschillende paden bewandelen. Je kunt er ook voor kiezen dat informatie vanuit de identiteitsprovider (zoals een e-mailadres) juist wél opgevraagd wordt. En aan de andere kant van het spectrum kun je er ook voor kiezen dat de inlog via XXID de applicatie juist van aanvullende informatie voorziet:

• Gebruikt de user eHerkenning? Dan kan bijvoorbeeld ook het KvK-nummer opgevraagd worden.
• Gebruikt de user Google? Dan kan ook de profielfoto opgevraagd worden.

Uiteraard krijgt de gebruiker melding van de opgevraagde aanvullende informatie. Die aanvullende informatie wordt in het Grexx Platform omschreven als Information Claims.