IDM Identity Management w AMODIT
Streszczenie
Celem tego artykułu jest przedstawienie, jak system AMODIT zarządza tożsamościami użytkowników i zapewnia bezpieczeństwo danych. Przeanalizujemy mechanizmy i funkcje, które umożliwiają skuteczne i bezpieczne zarządzanie tożsamościami, a także korzyści, które przynosi to zarówno użytkownikom, jak i organizacjom.
IDM (Identity Management) – wprowadzenie
Zarządzanie tożsamościami, czyli IDM, to proces i zbiór technologii służących do zarządzania cyfrowymi identyfikatorami i dostępem użytkowników do systemów informatycznych, aplikacji i zasobów. IDM obejmuje rejestrację użytkowników, uwierzytelnianie, autoryzację, zarządzanie uprawnieniami, zarządzanie hasłami oraz audyt działań użytkowników. Celem IDM jest zapewnienie bezpiecznego i skutecznego zarządzania tożsamościami, minimalizowanie ryzyka i ułatwianie dostępu do odpowiednich zasobów dla użytkowników w organizacji.
Interoperacyjność z dostawcami tożsamości zewnętrznych
AMODIT pozwala na sfederowaną infrastrukturę zarządzania tożsamościami (IDM), w tym Single Sign-On (SSO). Rozwiązanie zapewnia integrację z systemem Active Directory oraz Azure AD. Rozwiązanie obsługuje standardowe protokoły federacji tożsamości, takie jak SAML (Security Assertion Markup Language) i OAuth czy OpenID Connect, co umożliwia bezpieczne uwierzytelnianie i autoryzację użytkowników między różnymi aplikacjami i usługami.
AMODIT jest interoperacyjny. Oznacza to, że może działać wraz z innymi systemami zarządzania tożsamościami, które są dostarczane przez różne organizacje lub usługodawców. W praktyce, interoperacyjność oznacza, że rozwiązanie może uwierzytelniać użytkowników, korzystając z identyfikatorów i poświadczeń dostarczanych przez zewnętrznych dostawców tożsamości.
Korzyści dla użytkowników i organizacji
Dzięki możliwości korzystania z jednego zestawu poświadczeń (takich jak nazwa użytkownika i hasło) swojego konta Google, Microsoft itp. oraz ustawionego MFA, użytkownik może łatwo uzyskać dostęp do AMODIT. To zapewnia bezpieczeństwo, wygodę i oszczędność czasu dla użytkowników oraz ułatwia zarządzanie tożsamościami, umożliwiając korzystanie z istniejących tożsamości użytkowników zewnętrznych dostawców.
Siła hasła
AMODIT stosuje wymogi dotyczące siły haseł, aby zapewnić ochronę kont użytkowników:
- Hasło powinno zawierać przynajmniej 8 znaków, małą literę, dużą literę, znak specjalny;
- Hasło może mieć ustawiony okres ważności, po którym wymuszana jest jego zmiana;
- Sprawdzana jest zbieżność hasła z 10 poprzednimi wersjami.
- Blokowanie na 15 minut możliwości zalogowania po 3 nieudanych próbach logowania.
Bezpieczne przesyłanie haseł
Bezpieczne przesyłanie haseł jest istotnym aspektem zarządzania tożsamościami i zapewnienia ochrony poufnych danych użytkowników.
AMODIT stosuje różne mechanizmy i zasady w zakresie ochrony haseł:
- Szyfrowanie połączenia (SSL/TLS): AMODIT korzysta z protokołu SSL/TLS, który zapewnia szyfrowanie danych w trakcie transmisji przez internet. Dzięki temu hasła są zabezpieczone przed przechwyceniem i odczytaniem przez osoby trzecie.
- Bezpieczne praktyki uwierzytelniania: AMODIT stosuje bezpieczne metody uwierzytelniania, które nie przesyłają haseł w postaci jawnej. Stosuje różne protokoły, takie jak SAML (Security Assertion Markup Language) lub OAuth czy OpenID Connect, które umożliwiają uwierzytelnianie przy użyciu tokenów bez konieczności przesyłania haseł.
- Hashowanie haseł: AMODIT stosuje funkcje skrótu (hash) do przechowywania haseł użytkowników. AMODIT nie przechowuje hasła w postaci jawnej, hasła są przekształcane w niemożliwe do odwrócenia skróty, co zapewnia wysoką ochronę. Podczas uwierzytelniania, system porównuje skrót(hash) wprowadzanego hasła z zapisanym skrótem w bazie danych, bez przesyłania samego hasła.
Dzięki tym środkom bezpieczeństwa, AMODIT minimalizuje ryzyko przechwycenia i wykorzystania haseł przez niepowołane osoby podczas ich przesyłania przez internet. Bezpieczne przesyłanie haseł jest kluczowe dla ochrony danych użytkowników i zapewnienia poufności w kontekście zarządzania tożsamościami.
Zarządzanie sesją
AMODIT udostępnia możliwość ustawienia czasu wygaśnięcia sesji (authentication timeout), po upływie którego użytkownik zostanie automatycznie wylogowany z systemu przy braku aktywności w tym czasie (np. użytkownik zrobił sobie przerwę obiadową pozostawiając w przeglądarce otwarte okna systemu AMODIT).
Wycofywanie dostępu
De-provisioning (wycofywanie dostępu) uprzywilejowanych poświadczeń jest ważnym aspektem zarządzania tożsamościami. Dotyczy to usuwania lub dezaktywacji kont i uprawnień, które zapewniają wysoki poziom dostępu do poufnych lub krytycznych zasobów w organizacji.
W AMODIT może to być realizowane poprzez
- Blokowanie dostępu: Konto z uprzywilejowanymi uprawnieniami jak konto administratora może być w każdej chwili zablokowane natychmiastowo odbierając dostęp do aplikacji. Blokowanie może również nastąpić na podstawie synchronizacji z Active Directory lub Azure AD. W tym przypadku może istnieć przesunięcie czasowe związane z harmonogramem synchronizacji.
- Reset haseł: Administrator może zresetować hasło każdemu użytkownikowi, w tym innym administratorom, aby uniemożliwić dalsze korzystanie z tych poświadczeń po wycofaniu dostępu.
- Audyt i monitorowanie: AMODIT monitoruje wszelkie działania adminitracyjne każdego administratora, w tym logowanie, zmiany w konfiguracji systemu, zmiany w konfiguracji procesów, zmiany w zakresie grup, użytkowników i słowników.
- Usuwanie kont: AMODIT nie umożliwia całkowitego usunięcia konta po dezaktywacji ze względu na historię działań na tym koncie.
Podsumowanie
Podsumowując, zarządzanie tożsamością w systemie AMODIT jest kompleksowe i skuteczne, zapewniając bezpieczeństwo i wygodę zarówno dla użytkowników, jak i organizacji.