Hlavní navigace

Přičichněte k Single Sign-On

8. 12. 2009

Sdílet

Jsou pracovníci IT oddělení často žádáni o reset hesla koncových uživatelů? Ztrácí se v množství uživatelských účtů? Po implementaci již nebudou zavaleni takovými požadavky.

Bezpečnost, téma, kterým jsme obklopeni na každém kroku. Ani dnes to nebude jinak. Pro jednoduchost si dovolím oblast bezpečnosti rozdělit na dvě velké skupiny.

První je bezpečnost vaší společnosti vzhledem k možným hrozbám zvnějšku. Tato oblast je v mnoha společnostech pokryta v dostatečné míře. Samozřejmě se ale najdou výjimky. Pokud mezi ně patříte, doporučuji vám raději odložit časopis a věnovat drahocenný čas posílení ochrany společnosti před vnějšími hrozbami. Určitě se to vyplatí!

Pokud čtete dále, patříte k té relativně šťastnější části čtenářstva. Druhá oblast je interní bezpečnost IT. Do této skupiny patří například LDAP directories, řízení přístupu uživatelů ke všemožným prostředkům, ověření identity uživatelů pro přístup do aplikací a samozřejmě i tzv. Single Sign-On (SSO).

Mezi největšími hráči na trhu v oblasti SSO figuruje i společnost Evidian patřící do skupiny Bull Group. Evidian se pohybuje na trhu s produkty pro Identity and Access Management, pod který spadá také SSO, již více než deset let. Připravenost SSO pro nasazení i v těch největších společnostech potvrzují mnohé reference s desetitisíci spokojenými uživateli, ale také stálá pozice od roku 2007 v leaders kvadrantu analytické společnosti Gartner.

V České republice má Bull Group zastoupení v podobě Bull CZ, která zajišťuje distribuci a podporu pro Single Sign-On od Evidianu. Pojďme se na SSO od Evidianu podívat podrobněji.

 

SSO firmy Evidian

Pro plně funkční Enterprise SSO od společnosti Evidian budete potřebovat SSO server, klienta pro koncové stanice, LDAP directory pro uložení uživatelských údajů a dat o nastavení systému a také auditní databázi.

Předpokladem pro nasazení je existující LDAP directory, která slouží jako jednotné úložiště pro identity uživatelů a další prostředky domény. Podmínkou pro ukládání SSO dat do stávající directory, je rozšíření schématu. Tento způsob implementace přináší mnoho výhod. Jednou z nich je bezpracné zahrnutí SSO do stávajících procesů zálohování a obnovy.

Evidian podporuje širokou škálu directories, mezi které patří klony od Microsoftu, IBM, Novelu, Sunu a další. Pro ty z vás, kterým je zásah do directory „proti srsti“, existuje řešení v podobě separátní directory jen pro účely SSO. Veškerá data jsou v obou implementačních řešeních uložena zašifrovaná a tím je dosaženo vysokého zabezpečení.

Nedílnou součástí řešení je auditní databáze. Do auditní databáze jsou ukládány všechny události spojené s autentizací uživatele do operačního systému a aplikací, změny hesel, ale také neúspěšné pokusy o přihlášení. Díky auditu budete moci dohledat, kdo, kdy a odkud přistoupil do jaké aplikace. Evidian dodává v základu databázi pro krátkodobé uložení auditních dat. Pro dlouhodobé uložení, je nasnadě využít stávající databázi, kterou využívá vaše společnost. Opět je podporována široká škála databází.

 

Server a klient

Dostáváme se k jádru řešení, které tvoří server a klient. Serverová a klientská aplikace je navržena pro prostředí Windows.

Server zajišťuje kooperaci všech částí řešení. Zásadními úkoly jsou autentifikace uživatele při pokusu o přihlášení do aplikace, sběr a ukládání auditních dat a také správa celého systému. Pro dosažení vysoké dostupnosti služby je vhodné nainstalovat více instancí serveru. Pokud dojde k výpadku jednoho ze serverů, klienti se automaticky obrátí na jiný dostupný server.

Poslední částí skládačky je klient. Klienta je nutné nainstalovat na všechny koncové stanice, na kterých bude požadováno SSO. Nejdůležitějším úkolem klienta je detekce aplikačních oken a vyplňování uživatelských přihlašovacích údajů do příslušných polí. Tím je dosaženo požadovaného výsledku, kdy se uživatel pouze jednou přihlásí do operačního systému a další přihlášení do aplikací je zajištěno pomocí klienta SSO.

Aby byla zajištěna funkcionalita i v případě práce offline, klient má lokální šifrovanou cache. Pro dosažení maximální bezpečnosti je vhodné využít vícefaktorové autentizace pro přístup do operačního systému. Řešení od Evidianu tuto možnost plně podporuje.

 

Proč SSO

A proč byste měli uvažovat o nasazení SSO? Existuje několik důvodů a je jen na vás, který bude tím nejdůležitějším. Jsou pracovníci IT oddělení často žádáni o reset hesla koncových uživatelů? Po implementaci již nebudou zavaleni takovými požadavky. Co uživatelská hesla a jejich složitost? Jak zajistit aby uživatelé opravdu plnili bezpečnostní politiky hesel? Klient SSO se automaticky postará o kompletní životní cyklus hesla. Po vypršení platnosti vygeneruje heslo nové, které bude přesně podle nastavených politik.

Ztrácíte se v množství uživatelských účtů a nejste si jisti, zda jsou všechny účty aktivní? Pomocí Single Sign-On získáte jasný přehled o využívaných účtech do aplikací a budete moci bezstarostně odstranit staré účty. V neposlední řadě Vám SSO usnadní splnění regulatorních opatření jako ISO27000, SOX, Basel, …

Co vám usnadní přemýšlení o možnostech SSO? Určitě to bude vlastní zkušenost. Neváhejte tedy a navštivte stránky www.bull.cz, kde je k dispozici ke stažení zkušební verze Evidian Enterprise Single Sign-On.

 

bitcoin_skoleni

Technologickým partnerem a sponzorem tohoto příspěvku je společnost Bull.

***tento článek vyšel v tištěném SecurityWorldu 2/2009

Autor článku