IDM Identity Management w AMODIT

Streszczenie

Celem tego artykułu jest przedstawienie, jak system AMODIT zarządza tożsamościami użytkowników i zapewnia bezpieczeństwo danych. Przeanalizujemy mechanizmy i funkcje, które umożliwiają skuteczne i bezpieczne zarządzanie tożsamościami, a także korzyści, które przynosi to zarówno użytkownikom, jak i organizacjom.

IDM (Identity Management) – wprowadzenie

Zarządzanie tożsamościami, czyli IDM, to proces i zbiór technologii służących do zarządzania cyfrowymi identyfikatorami i dostępem użytkowników do systemów informatycznych, aplikacji i zasobów. IDM obejmuje rejestrację użytkowników, uwierzytelnianie, autoryzację, zarządzanie uprawnieniami, zarządzanie hasłami oraz audyt działań użytkowników. Celem IDM jest zapewnienie bezpiecznego i skutecznego zarządzania tożsamościami, minimalizowanie ryzyka i ułatwianie dostępu do odpowiednich zasobów dla użytkowników w organizacji.

Interoperacyjność z dostawcami tożsamości zewnętrznych

AMODIT pozwala na sfederowaną infrastrukturę zarządzania tożsamościami (IDM), w tym Single Sign-On (SSO). Rozwiązanie zapewnia integrację z systemem Active Directory oraz Azure AD. Rozwiązanie obsługuje standardowe protokoły federacji tożsamości, takie jak SAML (Security Assertion Markup Language) i OAuth czy OpenID Connect, co umożliwia bezpieczne uwierzytelnianie i autoryzację użytkowników między różnymi aplikacjami i usługami.

AMODIT jest interoperacyjny. Oznacza to, że może działać wraz z innymi systemami zarządzania tożsamościami, które są dostarczane przez różne organizacje lub usługodawców. W praktyce, interoperacyjność oznacza, że rozwiązanie może uwierzytelniać użytkowników, korzystając z identyfikatorów i poświadczeń dostarczanych przez zewnętrznych dostawców tożsamości.

Korzyści dla użytkowników i organizacji

Dzięki możliwości korzystania z jednego zestawu poświadczeń (takich jak nazwa użytkownika i hasło) swojego konta Google, Microsoft itp. oraz ustawionego MFA, użytkownik może łatwo uzyskać dostęp do AMODIT. To zapewnia bezpieczeństwo, wygodę i oszczędność czasu dla użytkowników oraz ułatwia zarządzanie tożsamościami, umożliwiając korzystanie z istniejących tożsamości użytkowników zewnętrznych dostawców.

Siła hasła

AMODIT stosuje wymogi dotyczące siły haseł, aby zapewnić ochronę kont użytkowników:

• Hasło powinno zawierać przynajmniej 8 znaków, małą literę, dużą literę, znak specjalny;
• Hasło może mieć ustawiony okres ważności, po którym wymuszana jest jego zmiana;
• Sprawdzana jest zbieżność hasła z 10 poprzednimi wersjami.
• Blokowanie na 15 minut możliwości zalogowania po 3 nieudanych próbach logowania.

Bezpieczne przesyłanie haseł

Bezpieczne przesyłanie haseł jest istotnym aspektem zarządzania tożsamościami i zapewnienia ochrony poufnych danych użytkowników.

AMODIT stosuje różne mechanizmy i zasady w zakresie ochrony haseł:

1. Szyfrowanie połączenia (SSL/TLS): AMODIT korzysta z protokołu SSL/TLS, który zapewnia szyfrowanie danych w trakcie transmisji przez internet. Dzięki temu hasła są zabezpieczone przed przechwyceniem i odczytaniem przez osoby trzecie.
2. Bezpieczne praktyki uwierzytelniania: AMODIT stosuje bezpieczne metody uwierzytelniania, które nie przesyłają haseł w postaci jawnej. Stosuje różne protokoły, takie jak SAML (Security Assertion Markup Language) lub OAuth czy OpenID Connect, które umożliwiają uwierzytelnianie przy użyciu tokenów bez konieczności przesyłania haseł.
3. Hashowanie haseł: AMODIT stosuje funkcje skrótu (hash) do przechowywania haseł użytkowników. AMODIT nie przechowuje hasła w postaci jawnej, hasła są przekształcane w niemożliwe do odwrócenia skróty, co zapewnia wysoką ochronę. Podczas uwierzytelniania, system porównuje skrót(hash) wprowadzanego hasła z zapisanym skrótem w bazie danych, bez przesyłania samego hasła.

Dzięki tym środkom bezpieczeństwa, AMODIT minimalizuje ryzyko przechwycenia i wykorzystania haseł przez niepowołane osoby podczas ich przesyłania przez internet. Bezpieczne przesyłanie haseł jest kluczowe dla ochrony danych użytkowników i zapewnienia poufności w kontekście zarządzania tożsamościami.

Zarządzanie sesją

AMODIT udostępnia możliwość ustawienia czasu wygaśnięcia sesji (authentication timeout), po upływie którego użytkownik zostanie automatycznie wylogowany z systemu przy braku aktywności w tym czasie (np. użytkownik zrobił sobie przerwę obiadową pozostawiając w przeglądarce otwarte okna systemu AMODIT).

Wycofywanie dostępu

De-provisioning (wycofywanie dostępu) uprzywilejowanych poświadczeń jest ważnym aspektem zarządzania tożsamościami. Dotyczy to usuwania lub dezaktywacji kont i uprawnień, które zapewniają wysoki poziom dostępu do poufnych lub krytycznych zasobów w organizacji.

W AMODIT może to być realizowane poprzez

1. Blokowanie dostępu: Konto z uprzywilejowanymi uprawnieniami jak konto administratora może być w każdej chwili zablokowane natychmiastowo odbierając dostęp do aplikacji. Blokowanie może również nastąpić na podstawie synchronizacji z Active Directory lub Azure AD. W tym przypadku może istnieć przesunięcie czasowe związane z harmonogramem synchronizacji.
2. Reset haseł: Administrator może zresetować hasło każdemu użytkownikowi, w tym innym administratorom, aby uniemożliwić dalsze korzystanie z tych poświadczeń po wycofaniu dostępu.
3. Audyt i monitorowanie: AMODIT monitoruje wszelkie działania adminitracyjne każdego administratora, w tym logowanie, zmiany w konfiguracji systemu, zmiany w konfiguracji procesów, zmiany w zakresie grup, użytkowników i słowników.
4. Usuwanie kont: AMODIT nie umożliwia całkowitego usunięcia konta po dezaktywacji ze względu na historię działań na tym koncie.

Podsumowanie

Podsumowując, zarządzanie tożsamością w systemie AMODIT jest kompleksowe i skuteczne, zapewniając bezpieczeństwo i wygodę zarówno dla użytkowników, jak i organizacji.