L1/L2 BIO 09.01 ISO A.5.15 CIS CIS Microsoft Azure Foundations Benchmark

Azure Applications: OAuth-implementatie Voor Veilige Authenticatie

📅 2025-01-15
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

OAuth 2.0 en OpenID Connect vormen de moderne standaard voor authenticatie en autorisatie binnen Azure Applications. Voor Nederlandse overheidsorganisaties is een correcte OAuth-implementatie essentieel om te voldoen aan BIO-normen, NIS2-vereisten en Zero Trust-principes. Zonder robuuste OAuth-implementatie blijven applicaties kwetsbaar voor ongeautoriseerde toegang, tokenmisbruik en beveiligingsincidenten die kunnen leiden tot datalekken en compliance-schendingen.

Aanbeveling
IMPLEMENTEER VERPLICHT - STANDAARDISEER OAUTH-IMPLEMENTATIE VOOR ALLE AZURE APPLICATIONS
Risico zonder
High
Risk Score
9/10
Implementatie
200u (tech: 120u)
Van toepassing op:
Azure App Service
Azure Functions
Azure Logic Apps
Azure Container Apps
Azure Static Web Apps
Microsoft Entra ID

OAuth-implementatie in Azure Applications is fundamenteel voor moderne cloud-beveiliging binnen Nederlandse overheidsorganisaties. Zonder correcte OAuth-implementatie ontstaan kritieke beveiligingsrisico's: applicaties zijn toegankelijk zonder of met zwakke authenticatie, waardoor onbevoegden toegang krijgen tot gevoelige gegevens zoals persoonsgegevens, basisregistraties en zaaksystemen. Tokens worden niet geverifieerd of verlopen niet correct, waardoor gestolen tokens onbeperkt bruikbaar blijven en aanvallers langdurig toegang kunnen behouden tot gecompromitteerde accounts. Er is geen of onvoldoende integratie met Microsoft Entra ID, waardoor voorwaardelijke toegang, meervoudige authenticatie en risicogestuurde authenticatie niet worden afgedwongen. Claims uit tokens worden niet gevalideerd, waardoor autorisatiebeslissingen gebaseerd zijn op ongeverifieerde of gemanipuleerde informatie. En er ontbreken logging- en monitoringmechanismen om tokenmisbruik, brute-force-aanvallen of anomalieën tijdig te detecteren. Voor CISO's, auditors en toezichthouders is het dan moeilijk aan te tonen dat passende technische en organisatorische maatregelen zijn getroffen volgens BIO, ISO 27001 en NIS2. Bovendien worden veel Azure Applications opgezet als onderdeel van digitale transformatieprojecten, waarbij security-by-design pas later wordt ingevuld. Zonder structurele OAuth-implementatie blijven deze tijdelijke keuzes jarenlang doorwerken in productie, wat leidt tot technische schuld en verhoogde beveiligingsrisico's.

PowerShell Modules Vereist
Primary API: Azure Resource Manager (ARM), Microsoft Graph
Connection: Connect-AzAccount, Connect-MgGraph
Required Modules: Az.Accounts, Az.Resources, Az.Websites, Microsoft.Graph.Authentication, Microsoft.Graph.Applications

Implementatie

Dit artikel beschrijft hoe u een samenhangende OAuth-implementatie voor Azure Applications opzet die aansluit op de Nederlandse Baseline voor Veilige Cloud. We behandelen de belangrijkste bouwstenen: OAuth 2.0-architectuurprincipes en grant types (authorization code flow met PKCE voor webapplicaties, client credentials flow voor service-to-service communicatie, en moderne alternatieven zoals device code flow), Microsoft Entra ID-integratie (app-registraties, tenant-configuratie, certificaat-gebaseerde authenticatie en secret management via Azure Key Vault), tokenvalidatie en beveiliging (JWT-verificatie, tokenexpiratie, refresh token handling en tokenrevocatie), autorisatie op basis van claims (rolgebaseerde toegangscontrole, claim-based policies en context-afhankelijke autorisatie), en operationele aspecten (logging, monitoring, foutafhandeling en incidentresponse). Daarnaast laten we zien hoe u met het bijbehorende PowerShell-script een feitelijk overzicht maakt van de OAuth-implementatiestatus van Azure Applications binnen uw abonnementen, zodat verbeteracties prioriteerbaar en herhaalbaar worden aangestuurd. De focus ligt op realistische implementatie in omgevingen met meerdere teams en leveranciers, waarbij compliance-eisen, cloud-schaalbaarheid en ontwikkelsnelheid met elkaar in balans moeten blijven.

OAuth 2.0-architectuurfundamenten en grant types voor Azure Applications

Een effectieve OAuth-implementatie voor Azure Applications begint bij een helder begrip van de verschillende OAuth 2.0-grant types en wanneer deze geschikt zijn voor specifieke scenario's. Voor Nederlandse overheidsorganisaties zijn de belangrijkste flows: authorization code flow met PKCE voor webapplicaties en native apps, client credentials flow voor service-to-service communicatie, en in specifieke scenario's device code flow voor apparaten zonder browser. Authorization code flow met PKCE (Proof Key for Code Exchange) is de aanbevolen keuze voor alle interactieve gebruikersscenario's: een gebruiker wordt doorgestuurd naar Microsoft Entra ID voor authenticatie, ontvangt na succesvolle authenticatie een authorization code, en wisselt deze code vervolgens in tegen een access token en optioneel een refresh token. PKCE voegt een extra beveiligingslaag toe door een code verifier en code challenge te gebruiken, waardoor het risico op authorization code interception wordt geminimaliseerd. Deze flow ondersteunt meervoudige authenticatie, voorwaardelijke toegang en risicogestuurde authenticatie, en is bij uitstek geschikt voor webapplicaties, single-page applications en mobiele apps die API's aanroepen namens gebruikers.

Client credentials flow is geoptimaliseerd voor service-to-service communicatie waarbij geen gebruiker betrokken is. Een applicatie of service authenticeert zichzelf met behulp van een client ID en client secret (of certificaat) en ontvangt direct een access token zonder gebruikersinteractie. Deze flow is ideaal voor achtergrondprocessen, batchjobs, microservices-communicatie en integraties tussen systemen. Voor productieomgevingen wordt certificaat-gebaseerde authenticatie sterk aanbevolen boven client secrets, omdat certificaten beter beheersbaar zijn, minder risico lopen op diefstal via code repositories, en ondersteuning bieden voor automatische rotatie via Azure Key Vault. Azure Applications kunnen tokens ontvangen en valideren die zijn uitgegeven door Microsoft Entra ID of andere OAuth 2.0-compliant identity providers, waarbij de keuze voor een specifieke identity provider afhankelijk is van de organisatorische vereisten en integratiebehoeften.

De gekozen architectuurprincipes moeten expliciet worden vertaald naar concrete configuraties binnen Azure Applications. Denk aan eisen als: alle productie-applicaties vereisen OAuth 2.0-authenticatie met tokens uitgegeven door vertrouwde identity providers (bij voorkeur Microsoft Entra ID), authorization code flow met PKCE wordt gebruikt voor alle interactieve scenario's, client credentials flow wordt gebruikt voor service-to-service scenario's met certificaat-gebaseerde authenticatie, tokens worden geverifieerd op geldigheid, expiratie en issuer, refresh tokens worden veilig opgeslagen en gebruikt volgens OAuth 2.0-best practices, en alle OAuth-gerelateerde activiteiten worden gelogd met minimaal timestamp, client-identificatie, token claims en authenticatiestatus. Deze configuraties moeten niet alleen worden beschreven, maar ook technisch worden afgedwongen via Azure Application-configuraties en gecontroleerd via geautomatiseerde checks en periodieke audits. Belangrijk is om vanaf het begin een balans te vinden tussen strengheid en gebruiksvriendelijkheid: te restrictieve OAuth-configuraties die structureel worden omzeild of genegeerd, ondermijnen zowel de beveiliging als de gebruikerservaring. Daarom is het raadzaam om per applicatiecategorie een groeipad te definiëren, waarbij u start met minimaal aanvaardbare maatregelen en in de tijd naar een hogere volwassenheid toewerkt. Het bij dit artikel geleverde PowerShell-script helpt om deze groei meetbaar te maken door periodiek de feitelijke OAuth-implementatiestatus van Azure Applications inzichtelijk te maken.

Microsoft Entra ID-app-registraties en tenant-configuratie

Gebruik PowerShell-script oauth-implementation.ps1 (functie Invoke-Monitoring) – Voert een OAuth-implementatiecontrole uit op Azure Applications binnen de opgegeven scope en rapporteert over kernaspecten zoals app-registraties, tokenvalidatie en Microsoft Entra ID-integratie..

Integratie met Microsoft Entra ID vormt de kern van een veilige OAuth-implementatie voor Azure Applications. Elke applicatie of set van gerelateerde applicaties heeft idealiter een eigen Azure AD-app-registratie die fungeert als OAuth-client. Deze app-registratie definieert welke Microsoft Entra ID-permissies (scopes) de applicatie nodig heeft, welke redirect URI's zijn toegestaan voor authorization code flow, en welke authenticatiemethoden worden ondersteund (client secret, certificaat, of managed identity). Voor Nederlandse overheidsorganisaties is het gebruikelijk om onderscheid te maken tussen verschillende typen app-registraties: publieke clients voor webapplicaties en native apps die authorization code flow gebruiken, en vertrouwelijke clients voor service-to-service scenario's die client credentials flow gebruiken. Publieke clients worden geconfigureerd met redirect URI's die overeenkomen met de applicatie-URL's, terwijl vertrouwelijke clients worden geconfigureerd met client secrets of certificaten voor authenticatie.

Voor Azure App Services kan Microsoft Entra ID worden geconfigureerd als authenticatieprovider via de ingebouwde EasyAuth-functionaliteit of via applicatiecode met behulp van Microsoft Authentication Library (MSAL) of Microsoft Identity Web. EasyAuth biedt een eenvoudige manier om authenticatie in te schakelen zonder code-aanpassingen, waarbij de App Service automatisch tokens valideert en claims beschikbaar maakt aan de applicatie. Voor meer controle en flexibiliteit kan authenticatie worden geïmplementeerd in de applicatiecode zelf, waarbij ontwikkelaars volledige controle hebben over tokenvalidatie, autorisatiebeslissingen en foutafhandeling. Azure Functions ondersteunen OAuth via HTTP-triggers die kunnen worden beveiligd met function keys of met Microsoft Entra ID-authenticatie, waarbij de runtime automatisch tokens valideert en claims beschikbaar maakt aan de functiecode. Azure Logic Apps bieden ingebouwde connectors voor Microsoft Entra ID-authenticatie, waardoor workflows veilig kunnen authenticeren bij andere services en API's.

Certificaat-gebaseerde authenticatie voor service-to-service scenario's biedt superieure beveiliging vergeleken met client secrets. Certificaten kunnen worden gegenereerd en beheerd via Azure Key Vault, worden automatisch geroteerd volgens een vooraf gedefinieerd schema, en kunnen worden ingetrokken zonder impact op andere services. Azure Applications kunnen certificaat-authenticatie gebruiken voor zowel het authenticeren van clients (wanneer applicaties zelf tokens aanvragen namens een service) als het valideren van client-certificaten (wanneer clients zich authenticeren met certificaten in plaats van secrets). Voor Nederlandse overheidsorganisaties wordt certificaat-authenticatie sterk aanbevolen voor alle productie service-to-service scenario's, met name voor kritieke applicaties die gevoelige gegevens verwerken of toegang bieden tot essentiële systemen. Het beheer van certificaten moet worden geïntegreerd met bestaande PKI-infrastructuur waar mogelijk, en certificaatlevenscycli moeten worden gedocumenteerd en gecontroleerd als onderdeel van reguliere security audits. Managed identities bieden een alternatief voor certificaten wanneer applicaties draaien op Azure-resources, waarbij Azure automatisch de identiteit beheert en geen expliciete credentials hoeven te worden opgeslagen.

Tokenvalidatie, beveiliging en refresh token handling

Tokenvalidatie vormt een kritieke beveiligingslaag in OAuth-implementaties voor Azure Applications. Elke inkomende API-verzoek of applicatie-aanroep moet worden voorzien van een geldig access token dat wordt geverifieerd voordat toegang wordt verleend tot de applicatie of specifieke functionaliteiten. Azure Applications kunnen tokens valideren met behulp van ingebouwde middleware (zoals EasyAuth voor App Services) of via applicatiecode met behulp van JWT-validatiebibliotheken. Tokenvalidatie omvat verschillende controles: signature validatie om te verifiëren dat het token daadwerkelijk is uitgegeven door de verwachte identity provider en niet is gemanipuleerd, expiratie validatie om te voorkomen dat verlopen tokens worden geaccepteerd, issuer validation om te verifiëren dat het token afkomstig is van een vertrouwde identity provider (bijvoorbeeld de eigen Microsoft Entra ID-tenant), audience validation om te verifiëren dat het token bestemd is voor de juiste applicatie of resource, en claim validation om te controleren of specifieke claims zoals rollen, groepen of app permissions aanwezig zijn met de verwachte waarden.

Naast basisvalidatie moeten ook geavanceerde beveiligingsmaatregelen worden overwogen. Tokenrevocatie is belangrijk voor scenario's waarin een gebruiker wordt uitgeschakeld, een apparaat wordt gestolen, of een beveiligingsincident plaatsvindt: hoewel tokens technisch nog geldig zijn tot expiratie, moeten ze onmiddellijk ongeldig worden verklaard. Microsoft Entra ID ondersteunt tokenrevocatie via verschillende mechanismen, waaronder conditional access policies die tokens kunnen intrekken op basis van risicodetectie, en expliciete revocatie via de Microsoft Graph API. Voor kritieke scenario's kan worden overwogen om token-introspectie te gebruiken, waarbij elke API-aanroep resulteert in een verificatie bij de identity provider of het token nog geldig is. Dit introduceert echter extra latency en dependency op de identity provider, dus moet zorgvuldig worden afgewogen tegen beveiligingswinst. Token caching kan worden gebruikt om de performance te verbeteren, waarbij geldige tokens tijdelijk worden opgeslagen om herhaalde validatie te voorkomen, maar dit moet worden gecombineerd met mechanismen om gecachte tokens ongeldig te maken wanneer revocatie plaatsvindt.

Refresh token handling vereist speciale aandacht omdat refresh tokens langere levensduur hebben dan access tokens en kunnen worden gebruikt om nieuwe access tokens te verkrijgen. Refresh tokens moeten worden opgeslagen op een veilige locatie (bij voorkeur versleuteld in een beveiligde database of Azure Key Vault), moeten worden beschermd tegen cross-site scripting (XSS) en andere client-side aanvallen, en moeten worden geassocieerd met de oorspronkelijke client en gebruiker. Voor webapplicaties worden refresh tokens doorgaans opgeslagen in HTTP-only cookies om te voorkomen dat JavaScript-code toegang krijgt tot de tokens, wat XSS-aanvallen bemoeilijkt. Voor native apps kunnen refresh tokens worden opgeslagen in beveiligde storage zoals de Windows Credential Manager of iOS Keychain. Azure Applications moeten refresh tokens valideren voordat ze worden gebruikt om nieuwe access tokens aan te vragen, waarbij wordt gecontroleerd of het refresh token nog geldig is, of het is geassocieerd met de juiste client, en of er geen verdachte activiteiten zijn gedetecteerd. Wanneer een refresh token wordt gebruikt om een nieuw access token aan te vragen, moet de applicatie ook controleren of de gebruiker nog steeds actief is en of er geen wijzigingen zijn in de autorisatie (bijvoorbeeld intrekking van rollen of groepslidmaatschappen).

Autorisatie op basis van claims en context-afhankelijke toegangscontrole

Autorisatie in OAuth-implementaties gaat verder dan alleen tokenvalidatie: op basis van claims in JWT-tokens moeten beslissingen worden genomen over welke applicatiefunctionaliteiten een gebruiker of service mag uitvoeren. Azure Applications kunnen claims extraheren uit JWT-tokens en gebruiken voor autorisatiebeslissingen via middleware of applicatiecode. Veelvoorkomende claim-based autorisatiescenario's omvatten: rolgebaseerde toegangscontrole waarbij toegang wordt verleend op basis van rollen die zijn toegewezen aan de gebruiker of service principal in Microsoft Entra ID, groepgebaseerde toegangscontrole waarbij toegang wordt verleend op basis van groepslidmaatschappen, scope-based autorisatie waarbij toegang wordt verleend op basis van OAuth 2.0-scopes die zijn verkregen tijdens het token request, en claim-based autorisatie waarbij toegang wordt verleend op basis van specifieke custom claims zoals afdeling, locatie of beveiligingsklassificatie.

Voor Nederlandse overheidsorganisaties is het gebruikelijk om autorisatie te baseren op een combinatie van rollen, groepen en context. Rollen worden gedefinieerd in Microsoft Entra ID en worden toegewezen aan gebruikers of service principals op basis van hun functie en verantwoordelijkheden. Deze rollen worden weerspiegeld in JWT-tokens via de 'roles' claim, waardoor Azure Applications kunnen controleren of een gebruiker over de benodigde rol beschikt voordat toegang wordt verleend. Groepen bieden flexibiliteit voor scenario's waarbij meerdere gebruikers toegang nodig hebben tot dezelfde functionaliteiten zonder individuele roltoewijzingen. Microsoft Entra ID security groups kunnen worden gebruikt voor autorisatie, waarbij groepslidmaatschappen worden weerspiegeld in de 'groups' claim van JWT-tokens. Context-afhankelijke autorisatie maakt het mogelijk om toegangsbeslissingen te nemen op basis van aanvullende factoren zoals tijdstip, locatie, apparaatstatus of risicoscore. Azure Applications kunnen deze context extraheren uit HTTP-headers, query-parameters of andere bronnen en combineren met claims voor geavanceerde autorisatiescenario's.

Het ontwerpen van een effectief autorisatiemodel vereist een duidelijk begrip van de verschillende applicatiefunctionaliteiten, de gevoeligheid van de gegevens die worden verwerkt, en de rollen en verantwoordelijkheden van gebruikers en services. Voor elke applicatiefunctionaliteit moet worden vastgelegd welke rollen, groepen of claims vereist zijn, en deze vereisten moeten worden geïmplementeerd via middleware of applicatiecode die tokens valideert en claims controleert voordat functionaliteiten worden uitgevoerd. Het is belangrijk om het principe van least privilege te volgen: gebruikers en services krijgen uitsluitend toegang tot de functionaliteiten die nodig zijn voor hun specifieke use case, en geen breed toegang tot alle beschikbare functionaliteiten. Periodieke reviews van roltoewijzingen en groepslidmaatschappen helpen ervoor te zorgen dat autorisatieconfiguraties actueel blijven en dat onnodige toegangsrechten worden ingetrokken wanneer rollen of verantwoordelijkheden veranderen. Azure Applications kunnen deze reviews ondersteunen door regelmatig autorisatieconfiguraties te exporteren en te analyseren, en door waarschuwingen te genereren wanneer ongebruikelijke toegangspatronen worden gedetecteerd.

Monitoring, logging en compliance voor OAuth-implementaties

Gebruik PowerShell-script oauth-implementation.ps1 (functie Invoke-Remediation) – Genereert een overzicht van Azure Applications die niet aan OAuth-implementatiecriteria voldoen en geeft tekstuele aanbevelingen voor vervolgstappen en governance..

Uitgebreide logging en monitoring zijn essentieel voor operationele beveiliging en compliance van OAuth-implementaties. Azure Applications bieden verschillende logging-mogelijkheden: application logs die informatie vastleggen over alle applicatie-aanroepen inclusief OAuth-authenticatiestatus, token claims, autorisatiebeslissingen en fouten, Application Insights-integratie voor gedetailleerde analytics en custom telemetry rond OAuth-activiteiten, en event hub-integratie voor real-time event processing en integratie met SIEM-systemen. Voor Nederlandse overheidsorganisaties is het gebruikelijk om alle OAuth-gerelateerde activiteiten te loggen met minimaal de volgende informatie: timestamp van het authenticatieverzoek, client-identificatie (client ID of applicatie-ID), gebruiker of service principal die authenticatie heeft uitgevoerd, gebruikte OAuth flow (authorization code, client credentials, etc.), token claims die zijn gebruikt voor autorisatie (rollen, groepen, scopes), resultaat van authenticatie en autorisatie (succes, fout, reden), aangeroepen functionaliteit of API-endpoint, en eventuele foutmeldingen of uitzonderingen. Deze logs moeten centraal worden opgeslagen met een bewaarperiode die voldoet aan compliance-vereisten (bijvoorbeeld 7 jaar voor audit-doeleinden volgens BIO-normen).

Vanuit complianceperspectief sluiten OAuth-implementaties direct aan op eisen uit de BIO, ISO 27001 en NIS2. Deze kaders vragen onder meer om adequate toegangscontrole op basis van behoefte, logging en monitoring van kritieke authenticatie- en autorisatie-activiteiten, bescherming tegen ongeautoriseerde toegang, en aantoonbaar beheer van applicatiebeveiliging. In auditdossiers wordt niet alleen gekeken naar beleidsdocumenten, maar ook naar concrete bewijsstukken uit de technische inrichting: OAuth-implementatieoverzichten, rapportages uit monitoring- en beveiligingstools, token validatie logs, en beschrijvingen van incidentafhandeling en verbeteracties. Door de output van het OAuth-implementatiescript op te nemen in periodieke rapportages aan CISO-organisatie en lijnmanagement, en deze te koppelen aan een portfolio van verbetermaatregelen, ontstaat een sluitende audittrail. Zo kan worden aangetoond welke applicaties wanneer zijn beveiligd met OAuth, welke resterende risico's nog worden geaccepteerd en welke afspraken zijn gemaakt over vervolgstappen.

Een goed ingerichte governance-structuur maakt van OAuth-implementatie een vast onderdeel van bredere cloud security- en risicobeheersing. Richt bijvoorbeeld een applicatie governance board in waarin periodiek de belangrijkste bevindingen uit OAuth-scans, security reviews en incidentanalyses worden besproken. Betrek daarbij vertegenwoordigers van applicatie-ontwikkelteams, platformteams, security, architectuur en lijnmanagement. Maak gebruik van OAuth-implementatietemplates en standaardconfiguraties die automatisch worden toegepast op nieuwe applicaties, en zorg dat afwijkingen van standaardconfiguraties expliciet moeten worden goedgekeurd en gedocumenteerd. Door OAuth-implementatie op deze manier te positioneren als structureel onderdeel van de Nederlandse Baseline voor Veilige Cloud, ontstaat een duurzaam evenwicht tussen innovatie en beveiliging: teams kunnen nieuwe applicaties ontwikkelen binnen duidelijke kaders, terwijl bestuurders en toezichthouders vertrouwen kunnen ontlenen aan aantoonbare, meetbare beveiligingsmaatregelen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Applications: OAuth-implementatie voor veilige authenticatie .DESCRIPTION Controleert of Azure Applications (App Service, Functions, Logic Apps) voldoen aan best practices voor OAuth-implementatie, inclusief Microsoft Entra ID integratie, tokenvalidatie, en managed identities. Waarom is deze control belangrijk? - Voorkomen van ongeautoriseerde toegang tot applicaties - Compliance met BIO, AVG en NIS2 vereisten - Zekerstellen van correcte OAuth-implementatie en tokenvalidatie - Audit trail voor authenticatie- en autorisatiegebeurtenissen .NOTES Filename: oauth-implementation.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/azure/application/oauth-implementation.json .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert uitgebreide compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Genereert rapporten en aanbevelingen voor verbetering .EXAMPLE .\oauth-implementation.ps1 Voert basis compliance check uit .EXAMPLE .\oauth-implementation.ps1 -Monitoring Toont gedetailleerd compliance rapport .EXAMPLE .\oauth-implementation.ps1 -Remediation Genereert aanbevelingen voor OAuth-implementatieconfiguraties #> # ============================================================================ # REQUIREMENTS # ============================================================================ #Requires -Version 5.1 #Requires -Modules Az.Accounts #Requires -Modules Az.Websites #Requires -Modules Az.Resources #Requires -Modules Microsoft.Graph.Authentication #Requires -Modules Microsoft.Graph.Applications # ============================================================================ # PARAMETERS # ============================================================================ [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation ) # ============================================================================ # GLOBAL VARIABLES # ============================================================================ $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure Applications: OAuth-implementatie voor veilige authenticatie" # ============================================================================ # FUNCTION: Connect-RequiredServices # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Azure services #> [CmdletBinding()] param() Write-Verbose "Controleren van Azure verbinding..." try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null Write-Host "Verbonden met Azure" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Azure als $($context.Account.Id)" } Write-Verbose "Controleren van Microsoft Graph verbinding..." $mgContext = Get-MgContext -ErrorAction SilentlyContinue if (-not $mgContext) { Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Yellow Connect-MgGraph -Scopes "Application.Read.All", "Directory.Read.All" -ErrorAction Stop | Out-Null Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Azure of Microsoft Graph: $_" throw } } # ============================================================================ # FUNCTION: Test-AppServiceOAuth # ============================================================================ function Test-AppServiceOAuth { <# .SYNOPSIS Test of App Service OAuth-authenticatie heeft geconfigureerd #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [Microsoft.Azure.Commands.WebApps.Models.PSSite]$WebApp ) try { $authSettings = Get-AzWebAppAuthSetting -ResourceGroupName $WebApp.ResourceGroup -Name $WebApp.Name -ErrorAction SilentlyContinue if (-not $authSettings) { return @{ HasOAuth = $false Provider = "None" ClientId = $null Enabled = $false } } $entraProvider = $authSettings.Providers | Where-Object { $_.Name -eq "AzureActiveDirectory" } return @{ HasOAuth = ($entraProvider -ne $null) Provider = if ($entraProvider) { "AzureActiveDirectory" } else { "Other" } ClientId = if ($entraProvider) { $entraProvider.ClientId } else { $null } Enabled = $authSettings.Enabled } } catch { Write-Verbose "Kon OAuth-instellingen niet ophalen voor $($WebApp.Name): $_" return @{ HasOAuth = $false Provider = "Unknown" ClientId = $null Enabled = $false } } } # ============================================================================ # FUNCTION: Test-AppRegistrationOAuth # ============================================================================ function Test-AppRegistrationOAuth { <# .SYNOPSIS Test of app-registratie OAuth-configuratie heeft #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$AppId ) try { $app = Get-MgApplication -Filter "AppId eq '$AppId'" -ErrorAction SilentlyContinue if (-not $app) { return @{ Exists = $false HasRedirectUris = $false HasOAuth2Permissions = $false } } return @{ Exists = $true HasRedirectUris = ($app.Web.RedirectUris.Count -gt 0) HasOAuth2Permissions = ($app.Api.OAuth2PermissionScopes.Count -gt 0 -or $app.RequiredResourceAccess.Count -gt 0) DisplayName = $app.DisplayName } } catch { Write-Verbose "Kon app-registratie niet ophalen voor AppId $AppId: $_" return @{ Exists = $false HasRedirectUris = $false HasOAuth2Permissions = $false } } } # ============================================================================ # FUNCTION: Test-ManagedIdentity # ============================================================================ function Test-ManagedIdentity { <# .SYNOPSIS Test of App Service of Function App een managed identity heeft #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [Microsoft.Azure.Commands.WebApps.Models.PSSite]$WebApp ) try { $identity = Get-AzWebAppIdentity -ResourceGroupName $WebApp.ResourceGroup -Name $WebApp.Name -ErrorAction SilentlyContinue return @{ HasSystemAssigned = ($identity.Type -eq "SystemAssigned" -or $identity.Type -eq "SystemAssigned, UserAssigned") PrincipalId = $identity.PrincipalId } } catch { Write-Verbose "Kon managed identity niet ophalen voor $($WebApp.Name): $_" return @{ HasSystemAssigned = $false PrincipalId = $null } } } # ============================================================================ # FUNCTION: Test-Compliance # ============================================================================ function Test-Compliance { <# .SYNOPSIS Test compliance met OAuth-implementatie best practices .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van OAuth-implementatie configuraties..." $result = [PSCustomObject]@{ ScriptName = "oauth-implementation" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() AppServiceIssues = @() FunctionAppIssues = @() OAuthIssues = @() ManagedIdentityIssues = @() } try { Write-Verbose "Ophalen van alle App Services..." $webApps = Get-AzWebApp -ErrorAction SilentlyContinue Write-Verbose "Ophalen van alle Function Apps..." $functionApps = Get-AzFunctionApp -ErrorAction SilentlyContinue $totalApps = @($webApps).Count + @($functionApps).Count $result.TotalResources = $totalApps if ($totalApps -eq 0) { $result.Details += "Geen App Services of Function Apps gevonden in dit subscription" $result.IsCompliant = $true return $result } # Check App Services foreach ($app in $webApps) { Write-Verbose "Controleren van App Service: $($app.Name)" $appCompliant = $true $appIssues = @() # Check 1: OAuth Authenticatie $oauthInfo = Test-AppServiceOAuth -WebApp $app if (-not $oauthInfo.HasOAuth -or $oauthInfo.Provider -ne "AzureActiveDirectory") { $appCompliant = $false $appIssues += "Geen OAuth-authenticatie met Microsoft Entra ID geconfigureerd" $result.OAuthIssues += @{ AppName = $app.Name ResourceGroup = $app.ResourceGroup Issue = "Geen OAuth-authenticatie" } } elseif ($oauthInfo.ClientId) { # Check app-registratie configuratie $appRegInfo = Test-AppRegistrationOAuth -AppId $oauthInfo.ClientId if (-not $appRegInfo.Exists) { $appIssues += "App-registratie niet gevonden of niet correct geconfigureerd" } elseif (-not $appRegInfo.HasRedirectUris) { $appIssues += "App-registratie heeft geen redirect URI's geconfigureerd" } } # Check 2: Managed Identity $identityInfo = Test-ManagedIdentity -WebApp $app if (-not $identityInfo.HasSystemAssigned) { $appIssues += "Geen managed identity geconfigureerd (aanbevolen voor service-to-service authenticatie)" $result.ManagedIdentityIssues += @{ AppName = $app.Name ResourceGroup = $app.ResourceGroup Issue = "Geen managed identity" } } # Determine compliance status if ($appIssues.Count -eq 0) { $result.CompliantCount++ $result.Details += "✓ App Service '$($app.Name)' voldoet aan OAuth-implementatie best practices" } else { $result.NonCompliantCount++ $appCompliant = $false $issuesText = $appIssues -join "; " $result.Details += "✗ App Service '$($app.Name)': $issuesText (ResourceGroup: $($app.ResourceGroup))" if (-not $oauthInfo.HasOAuth) { $result.Recommendations += "Configureer OAuth-authenticatie met Microsoft Entra ID voor App Service '$($app.Name)'" } if (-not $identityInfo.HasSystemAssigned) { $result.Recommendations += "Overweeg managed identity te configureren voor App Service '$($app.Name)' voor service-to-service authenticatie" } } } # Check Function Apps foreach ($func in $functionApps) { Write-Verbose "Controleren van Function App: $($func.Name)" $funcCompliant = $true $funcIssues = @() # Check Managed Identity for Function Apps try { $funcIdentity = Get-AzWebAppIdentity -ResourceGroupName $func.ResourceGroupName -Name $func.Name -ErrorAction SilentlyContinue if (-not $funcIdentity -or ($funcIdentity.Type -ne "SystemAssigned" -and $funcIdentity.Type -ne "SystemAssigned, UserAssigned")) { $funcIssues += "Geen managed identity geconfigureerd" $result.ManagedIdentityIssues += @{ AppName = $func.Name ResourceGroup = $func.ResourceGroupName Issue = "Geen managed identity" } } } catch { Write-Verbose "Kon managed identity niet controleren voor Function App $($func.Name): $_" } if ($funcIssues.Count -eq 0) { $result.CompliantCount++ $result.Details += "✓ Function App '$($func.Name)' voldoet aan OAuth-implementatie best practices" } else { $result.NonCompliantCount++ $funcCompliant = $false $issuesText = $funcIssues -join "; " $result.Details += "✗ Function App '$($func.Name)': $issuesText (ResourceGroup: $($func.ResourceGroupName))" $result.FunctionAppIssues += @{ AppName = $func.Name ResourceGroup = $func.ResourceGroupName Issue = "OAuth-implementatie configuratie ontbreekt" } $result.Recommendations += "Overweeg managed identity te configureren voor Function App '$($func.Name)' voor service-to-service authenticatie" } } # Overall compliance check $result.IsCompliant = ($result.NonCompliantCount -eq 0) # Add general recommendations if ($result.OAuthIssues.Count -gt 0) { $result.Recommendations += "Configureer OAuth-authenticatie met Microsoft Entra ID voor alle App Services die gebruikersauthenticatie vereisen" } if ($result.ManagedIdentityIssues.Count -gt 0) { $result.Recommendations += "Configureer managed identities voor alle Azure Applications voor veilige service-to-service authenticatie" } if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Implementeer tokenvalidatie en autorisatie policies voor alle applicatie-endpoints" $result.Recommendations += "Configureer uitgebreide logging en monitoring voor OAuth-authenticatie- en autorisatieactiviteiten" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" Write-Error "Fout bij compliance check: $_" } return $result } # ============================================================================ # FUNCTION: Invoke-Monitoring # ============================================================================ function Invoke-Monitoring { <# .SYNOPSIS Monitort de compliance status van OAuth-implementatie configuraties #> [CmdletBinding()] param() Write-Host "`nMonitoring: $PolicyName" -ForegroundColor Yellow Write-Host "===========================================" -ForegroundColor Yellow $result = Test-Compliance Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Totaal Azure Applications: $($result.TotalResources)" -ForegroundColor Cyan Write-Host " Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host " Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color if ($result.OAuthIssues.Count -gt 0) { Write-Host "`n Applications zonder OAuth-authenticatie: $($result.OAuthIssues.Count)" -ForegroundColor Yellow foreach ($issue in $result.OAuthIssues) { Write-Host " - $($issue.AppName) ($($issue.ResourceGroup))" -ForegroundColor Gray } } if ($result.ManagedIdentityIssues.Count -gt 0) { Write-Host "`n Applications zonder managed identity: $($result.ManagedIdentityIssues.Count)" -ForegroundColor Yellow foreach ($issue in $result.ManagedIdentityIssues) { Write-Host " - $($issue.AppName) ($($issue.ResourceGroup))" -ForegroundColor Gray } } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { $detailColor = if ($detail -like "✓*") { "Green" } elseif ($detail -like "✗*") { "Red" } else { "Gray" } Write-Host " $detail" -ForegroundColor $detailColor } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " → $recommendation" -ForegroundColor Cyan } } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Alle Azure Applications voldoen aan OAuth-implementatie best practices" -ForegroundColor Green exit 0 } else { Write-Host "`n⚠️ NON-COMPLIANT - Verbetering van OAuth-implementatie configuraties aanbevolen" -ForegroundColor Yellow exit 1 } } # ============================================================================ # FUNCTION: Invoke-Remediation # ============================================================================ function Invoke-Remediation { <# .SYNOPSIS Genereert rapporten en aanbevelingen voor verbetering #> [CmdletBinding()] param() Write-Host "`nRemediatie: OAuth-implementatie Verbetering" -ForegroundColor Yellow Write-Host "===================================================" -ForegroundColor Yellow $result = Test-Compliance if ($result.IsCompliant) { Write-Host " Alle Azure Applications voldoen aan best practices" -ForegroundColor Green exit 0 } Write-Host "`nGenereren van verbeteraanbevelingen..." -ForegroundColor Cyan # Generate detailed report $reportPath = "oauth-implementation-improvement-report-$(Get-Date -Format 'yyyyMMdd-HHmmss').txt" $reportContent = @" OAUTH-IMPLEMENTATIE VERBETERINGSREPORT Nederlandse Baseline voor Veilige Cloud Gegenereerd: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') OVERZICHT ======== Totaal Azure Applications: $($result.TotalResources) Compliant: $($result.CompliantCount) Non-Compliant: $($result.NonCompliantCount) BEVINDINGEN =========== "@ if ($result.OAuthIssues.Count -gt 0) { $reportContent += @" APPLICATIONS ZONDER OAUTH-AUTHENTICATIE --------------------------------------- Aantal Applications: $($result.OAuthIssues.Count) "@ foreach ($issue in $result.OAuthIssues) { $reportContent += "- $($issue.AppName) (ResourceGroup: $($issue.ResourceGroup))`n" } $reportContent += @" AANBEVELING: Configureer OAuth-authenticatie met Microsoft Entra ID voor alle App Services die gebruikersauthenticatie vereisen. Dit zorgt voor token-gebaseerde authenticatie en autorisatie via OAuth 2.0/OpenID Connect. "@ } if ($result.ManagedIdentityIssues.Count -gt 0) { $reportContent += @" APPLICATIONS ZONDER MANAGED IDENTITY ------------------------------------ Aantal Applications: $($result.ManagedIdentityIssues.Count) "@ foreach ($issue in $result.ManagedIdentityIssues) { $reportContent += "- $($issue.AppName) (ResourceGroup: $($issue.ResourceGroup))`n" } $reportContent += @" AANBEVELING: Configureer managed identities voor alle Azure Applications voor veilige service-to-service authenticatie zonder hardcoded credentials. "@ } $reportContent += @" ALGEMENE AANBEVELINGEN ====================== 1. Configureer OAuth-authenticatie met Microsoft Entra ID voor alle App Services die gebruikersauthenticatie vereisen 2. Implementeer managed identities voor service-to-service authenticatie 3. Configureer tokenvalidatie en autorisatie policies voor alle applicatie-endpoints 4. Implementeer fijnmazige autorisatie op basis van RBAC en app-rollen 5. Configureer uitgebreide logging en monitoring voor OAuth-authenticatie- en autorisatieactiviteiten 6. Gebruik conditional access policies voor context-afhankelijke toegangsbeslissingen 7. Documenteer OAuth-implementatiearchitectuur en patronen NEXT STEPS ========== 1. Review dit rapport met het Security en Development team 2. Prioriteer implementatie van OAuth-authenticatie voor kritieke applicaties 3. Plan implementatie van managed identities voor alle Azure Applications 4. Configureer logging en monitoring voor OAuth-authenticatie- en autorisatieactiviteiten 5. Documenteer gekozen OAuth-implementatiepatronen in architectuurdocumentatie "@ try { $reportContent | Out-File -FilePath $reportPath -Encoding UTF8 Write-Host " ✅ Rapport gegenereerd: $reportPath" -ForegroundColor Green Write-Host "`nOpen het rapport voor gedetailleerde aanbevelingen" -ForegroundColor Cyan } catch { Write-Host " ✗ Kon rapport niet genereren: $_" -ForegroundColor Red } Write-Host "`n✅ Remediatie-rapport gegenereerd" -ForegroundColor Green exit 0 } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "OAuth-implementatie Monitoring" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou verbeteringsrapport genereren voor: $PolicyName" -ForegroundColor Yellow Write-Host "===================`n" -ForegroundColor Yellow } else { Invoke-Remediation } } else { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "Alle Azure Applications voldoen aan OAuth-implementatie best practices" -ForegroundColor Green } else { Write-Host "Status: [WARNING] VERBETERING AANBEVOLEN" -ForegroundColor Yellow Write-Host "Aantal Applications met verbeterpunten: $($result.NonCompliantCount)" -ForegroundColor Yellow Write-Host "`nRun met -Monitoring voor gedetailleerd rapport" -ForegroundColor Cyan Write-Host "Run met -Remediation om verbeteringsrapport te genereren" -ForegroundColor Cyan } return $result } } catch { Write-Error "Error: $_" Write-Error $_.ScriptStackTrace exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder gestandaardiseerde OAuth-implementatie blijven Azure Applications kwetsbaar voor ongeautoriseerde toegang. Hardcoded credentials, ontbrekende tokenvalidatie en gebrek aan fijnmazige autorisatiecontroles maken het mogelijk voor aanvallers om toegang te krijgen tot gevoelige gegevens en kritieke systemen. Dit leidt tot verhoogd risico op datalekken, verstoringen van dienstverlening en non-compliance met BIO, AVG en NIS2-vereisten. Daarnaast maakt gebrek aan audit logging het onmogelijk om te verifiëren wie wanneer toegang heeft gehad, wat auditors ertoe brengt compliance-failures te rapporteren en kan leiden tot toezichtsancties.

Management Samenvatting

Veilige OAuth-implementatie voor Azure Applications vormt de basis van applicatiebeveiliging en vereist integratie met Microsoft Entra ID, implementatie van OAuth 2.0 en OpenID Connect voor token-gebaseerde authenticatie, fijnmazige autorisatiecontroles op basis van RBAC en app-rollen, gebruik van managed identities en certificaten voor service-to-service communicatie, uitgebreide tokenvalidatie en -cache, en comprehensive logging en monitoring voor audit doeleinden. Deze aanpak waarborgt dat alleen geautoriseerde identiteiten toegang krijgen tot applicaties en functionaliteiten, voldoet aan BIO, ISO 27001 en NIS2-vereisten, en minimaliseert risico's op beveiligingsincidenten en datalekken. Implementatie: 200 uur. Kritiek voor alle productie Azure Applications die gevoelige gegevens verwerken of toegang bieden tot kritieke systemen.