(Partnerský příspěvek)
Přístup do informačních systémů
Řízení přístupu do informačního systému zajišťuje, že se do systému připojují jen takové osoby, které jsou oprávněny se systémem pracovat.
Informační systém musí provést „svatou trojici“ všeobecně známých činností pro ověření uživatele – jeho identifikaci, autentizaci a autorizaci. Identifikací se zjišťuje, o koho jde, což obvykle obnáší zadání uživatelského jména. V rámci autentizace podává uživatel důkaz, že je skutečně tou osobou, za kterou se vydává. To nejčastěji dokládá zadáním hesla. A autorizace slouží k určení oprávnění, která uživatele opravňují k práci se systémem.
S řízením přístupu úzce souvisí správa uživatelů a jejich účtů. V příslušné databázi uživatelů je založen uživatelský účet s přihlašovacími údaji, které jsou (pokud možno bezpečným způsobem) doručeny vlastníkovi účtu. Další správa účtu zahrnuje změnu údajů, reset hesla (včetně předání nových přihlašovacích údajů uživateli), zablokování a odblokování účtu. Na konci životního cyklu je uživatelský účet smazán či zablokován.
Autentizační metody
Mezi nejčastější autentizační údaje patří stále heslo, neboť autentizace heslem se snadno implementuje a je pro uživatele lehce pochopitelná. Firmy často definují pravidla pro složitost hesla, aby zvýšily zabezpečení přístupu do svých systémů. Definují se minimální délka hesla, maximální doba platnosti hesla, vynucování specifických znaků v heslu atd. Dále se může stanovit, po kolika neúspěšných pokusech se účet zablokuje, po kolika minutách se zase odblokuje, respektive zda jeho odblokování musí provést ručně administrátor.
Vše má ale své světlé i stinné stránky. Vynucování příliš složitých hesel bude uživatele navádět, aby si svá hesla psali na papírek nebo aby všude používali stejné heslo. Zablokování účtů po několika neúspěšných přihlášeních může být útočníky zase zneužito k provedení tzv. DOS útoku a znepřístupnění informačního systému legitimním uživatelům.
Alternativu k heslům představuje tzv. OTP autentizace, používající jednorázové číselné kódy, digitální certifikáty a biometrické autentizační metody. Tyto pokročilé autentizační metody však často znamenají finanční náklady v podobě pořízení specializovaných zařízení či nákupu certifikátů. Také je potřeba proškolit uživatele ve správném používání těchto autentizačních metod. A v neposlední řadě musí tyto způsoby přihlašování samozřejmě podporovat i samotné informační systémy.
Firmy a jejich informační systémy
IT prostředí ve firmách je heterogenní. Uživatelé přistupují do různých aplikací různým způsobem. Do některých aplikací přistupují webovým prohlížečem, jiné aplikace používají vlastního, tzv. tlustého klienta. V rámci firmy existuje obvykle více databází uživatelů. Některé aplikace mají vlastní databáze uživatelů, jiné čerpají uživatelské účty ze společné databáze, např. z LDAP adresáře. To komplikuje práci administrátorům, neboť musí spravovat účty ve více prostředích; v extrémním případě v každé aplikaci zvlášť. Nasazení jednotné politiky složitosti hesel může být komplikované, protože různé aplikace mohou podporovat různá pravidla pro vynucování složitosti hesel. S podporou pokročilých autentizačních metod v aplikacích to bude podobně problematické.
Koncept systému řízení přístupu
Řešením je zavedení systému řízení přístupu, který se skládá z centrální přístupové brány a centrálního LDAP adresáře. Uživatelé nepřistupují do každé aplikace zvlášť, ale pouze do přístupové brány. Ta poskytuje přihlašovací stránku, na které uživatelé zadávají své přihlašovací údaje. Přístupová brána ověří přihlašovací údaje vůči centrálnímu adresáři. Po úspěšném ověření přesměruje přístupová brána uživatele do cílové aplikace, která opětovné ověření uživatele již neprovádí a spoléhá se na ověření provedené přístupovou bránou.
Díky tomu, že uživatelé zadávají přihlašovací údaje pouze na jediném místě (v přístupové bráně), lze velice snadno implementovat pokročilé autentizační metody, aniž je musejí podporovat samotné aplikace. Postačí, když je bude podporovat přístupová brána. Použití centrálního adresáře uživatelských účtů zase přináší výhody pro administrátory, kteří spravují účty uživatelů na jednom místě. Díky centrálnímu adresáři lze také implementovat skutečně jednotnou politiku složitosti hesel.
Implementace takového systému řízení přístupu samozřejmě není jednoduchá. Je zapotřebí provést integraci aplikací firmy s přístupovou bránou takovým způsobem, aby přestaly autentizovat uživatele. To může vyžadovat větší či menší úpravy v aplikacích. U starších aplikací a aplikací, jejichž dodavatel již neexistuje, to může být nepřekonatelný problém a bude potřeba zvolit kompromisy nebo hledat náhradní řešení.
A co praxe?
Společnost NEWPS.CZ se specializuje na oblast řízení přístupu a řízení uživatelských identit. Disponuje portfoliem produktů, pomocí nichž lze vybudovat systém řízení přístupu na míru zákazníkovým potřebám. Pro realizaci přístupové brány slouží produkt AGW, správa uživatelských účtů se provádí pomocí webové aplikace Portál uživatele. Centrální LDAP lze propojit s aplikacemi řešením EST4IDM, což umožní propagaci uživatelských účtů do aplikací, které nelze integrovat s přístupovou bránou. A orgány veřejné moci mohou pomocí produktu LDAP2JIP synchronizovat uživatelské účty ve svém LDAP s centrálním adresářem úředníků státní správy, tzv. Jednotným identitním prostorem v systému Czech POINT.
Ing. Martin Šlancar
Autor je business analytikem ve firmě NEWPS.CZ
PŘEDPLATNÉ
ČLÁNKY DO MAILU