Klienci
Wydarzenia

Wstęp

Centrum Autoryzacji (CA) to nowoczesna, kompletna i skalowalna platforma do centralnego zarządzania procesami związanymi z uwierzytelnianiem dostępu, autoryzacją operacji, kontrolą uprawnień, obsługą certyfikatów cyfrowych i usług PKI.

CA może służyć obsłudze klientów danej organizacji, jako mechanizm kontroli dostępu do systemów transakcyjnych. Może także dbać o weryfikację uprawnień pracowników (np. konsultantów Contact Center i operatorów Back Office) i kontrolować dostęp systemów technicznych do zasobów informatycznych.

Kanały dostępu

W procesie uwierzytelniania i autoryzacji operacji, CA wykorzystuje pojęcie kanału dostępu. Kanał dostępu utożsamiany jest na ogół z aplikacją (interfejsem użytkownika) bądź miejscem, w którym wymagane jest uwierzytelnienie użytkownika. Przykładowe kanały dostępu:

Transakcyjny interfejs WWW

Transakcyjny interfejs mobilny

System IVR

Call Center

z obsługą double-authentication

Oddział

Aplikacja mobilnego doradcy

Aplikacja partnera

Lista obsługiwanych kanałów dostępu zależy od struktury organizacji i jest jednym z elementów parametryzacji systemu. CA umożliwia wybór rożnych metod uwierzytelnienia i autoryzacji dla poszczególnych kanałów dostępu. Podobnie, atrybuty poszczególnych kanałów dostępu – takie jak status czy ważność kanału dostępu – również obsługiwane są niezależnie.

Na poziomie kanału dostępu, CA śledzi i kontroluje przypadki nieudanego uwierzytelnienia i autoryzacji operacji. Możliwe jest włączenie reguł odnoszących się do automatycznego blokowania dostępu do danego kanału po parametryzowanej liczbie błędów. Dodatkowo, możliwe jest czasowe blokowanie dostępu, bez konieczności operacyjnego odblokowania.

Dwa stopnie autoryzacji

Podstawową funkcjonalnością systemu CA jest obsługa konta autoryzacyjnego. Konto takie pozwala na weryfikację tożsamości użytkownika oraz kontrolę jego dostępu do zasobów i funkcji. CA obsługuje autoryzację operacji w dwóch wariantach:
podstawowym – I poziomu lub rozszerzonym – II poziomu.
Oba warianty różnią się rodzajem stosowanych narzędzi autoryzacyjnych. Decyzja, który mechanizm powinien być stosowany w danej sytuacji wynika ze zdefiniowanej logiki biznesowej i jest elementem parametryzacji systemu.

Autoryzacja I stopnia

I poziom autoryzacji stosowany jest zazwyczaj do uwierzytelnienia klienta, czyli weryfikacji jego tożsamości. Informacja o uwierzytelnieniu jest utrzymywana w trakcie sesji klienta i wykorzystywana do kontroli wykonania operacji pasywnych, np. odczytu informacji przez użytkownika. CA obsługuje następujące metody autoryzacji I poziomu:

  • identyfikator użytkownika + parametryzowane hasło statyczne (weryfikowana siła hasła, zakres dopuszczalnych znaków);
  • identyfikator użytkownika + część znaków z hasła statycznego (obsługa tzw. hasła maskowanego);
  • identyfikator użytkownika + wskazanie tokena (sprzętowego lub aplikacyjnego);
  • zweryfikowany wyróżnik urządzenia + PIN (stosowane np. dla aplikacji mobilnych);
  • zweryfikowany wyróżnik urządzenia + hasło graficzne (tzw. „wężyk”, stosowane również w aplikacjach mobilnych);
  • identyfikator karty płatniczej + PIN (stosowane np. w bankomatach);
  • uwierzytelnienie operacyjne (np. w Call Center lub w oddziale).

Autoryzacja II stopnia

Do autoryzacji operacji finansowych, szczególnie dotyczących nowych odbiorców lub wyższych kwot transakcji, stosowany jest mechanizm autoryzacji II poziomu. Zakłada on użycie dodatkowego narzędzia autoryzacyjnego, takiego jak:

  • karta kodów jednorazowych (OTP) – w CA dostępne jest zarządzanie listą kart kodów, możliwość zamawiania dodatkowych kart i mechanizmy automatycznego wznawiania kart;
  • kody SMS – przy użyciu Softax ICC, obsługa kodów SMS posiada także wsparcie funkcji bilingowych;
  • token sprzętowy kodów jednorazowych (OTP), oparty na kontroli czasu;
  • token sprzętowy challenge-response;
  • token programowy challenge-response w aplikacji mobilnej;
  • podpis cyfrowy – na podstawie klucza prywatnego PKI przechowywanego na karcie SmartCard.

CA wspiera algorytmy niezbędne do współpracy z urządzeniami autoryzacyjnymi pracującymi w standardzie CAP/DPA i Radius, producentów takich jak Gemalto, VASCO, RSA i innych. Oferuje także zestaw usług Life Cycle Management dla urządzeń autoryzacyjnych.

Obsługa uprawnień

Każdy użytkownik, w zależności od roli, w jakiej korzysta z systemu, powinien mieć zdefiniowany konkretny zakres uprawnień. Najczęściej w przypadku klienta indywidualnego adekwatny będzie prosty model, a w przypadku klienta korporacyjnego - bardzo rozbudowany.

CA pozwala na obsługę ww. typów klientów, dzięki stosowanemu modelowi uprawnień, opartemu na mechanizmie typu ACL (Access Control List). Uprawnienia pozwalają zdefiniować jakiego rodzaju czynności klient może wykonać na danym obiekcie.

System posiada funkcję zmiany i regulacji parametrów oraz samodzielnego zarządzania nimi przez klienta. Dodatkowo, umożliwia definiowanie profili (grup uprawnień do czynności), co ułatwia zarządzanie zbiorami użytkowników.

Wielopodpis

Wielopodpis to wieloosobowa akceptacja wykonania operacji według definiowanego w CA schematu. Mechanizm wielopodpisu jest wykorzystywany głównie w systemach korporacyjnej bankowości internetowej.

Każda operacja wymaga wskazania użytkowników, których autoryzacja jest konieczna do akceptacji operacji. Każdy z uczestników wielopodpisu wykorzystuje narzędzie autoryzacyjne właściwe dla siebie i danego kanału dostępu.

Poszczególne reguły odnoszące się do liczby wymaganych podpisów mogą być objęte limitami kwotowymi, co pozwala zdefiniować schematy działania. Typowym przykładem takiego schematu jest model sytuacji w której do podpisania przelewu do 30 000 złotych wymagany jest jedynie podpis księgowej, a powyżej tej kwoty wymagane są podpisy członka zarządu i księgowej jednocześnie.

Obsługa SSO jako serwer i klient

Logowanie użytkownika w CA może zostać połączone z utworzeniem sesji. Wykorzystując mechanizm sesji, CA może pełnić funkcję serwera SSO (Single Sign-On), udostępniając jednolity proces uwierzytelniania użytkowników dla grupy zintegrowanych serwisów bądź aplikacji. Integracja może być zrealizowana dwojako:

  1. Poprzez przystosowanie systemów do wykorzystania mechanizmów autoryzacyjnych udostępnianych przez CA. Standardowo CA umożliwia uwierzytelnienia i autoryzację przy pomocy protokołu SAML – przekazanie sesji do zintegrowanego serwisu wymaga stworzenia, przesłania i weryfikacji artefaktu.
  2. Poprzez wykorzystanie w CA mechanizmów autoryzacyjnych właściwych dla integrowanych systemów. Może to wymagać składowania w CA specyficznych dla tych systemów danych wrażliwych takich jak identyfikatory użytkowników i hasła. CA loguje użytkownika w integrowanym systemie, udostępniając utworzone w ten sposób dane autoryzacyjne (np. specyficzny identyfikator sesji).

Jeśli w organizacji został wdrożony mechanizm SSO – CA może zostać z nim zintegrowane, zgodnie z protokołem oferowanym przez serwer SSO.

Więcej funkcji

Obsługa limitów

  • Limity kwotowe pojedynczej operacji i sumaryczne
  • Limity ilościowe
  • Limity okresowe dzienne, miesięczne, roczne

Wiele identyfikatorów logowania

  • Identyfikator konta autoryzacyjnego
  • Dodatkowe identyfikatory e-mail, nr telefonu
  • Dowolny identyfikator nadawany przez użytkownika

Obsługa harmonogramu pracy

  • Czasowe ograniczenie dostępu do systemu
  • Konfigurowalny zakres dni i godzin
  • Definiowane dla danego kanału dostępu lub użytkownika

Kontrola dostępu
na podstawie IP

  • Kontrola miejsca pracy użytkownika lista dozwolonych adresów IP, masek podsieci, nazw maszyn lub też identyfikatorów urządzeń
  • Zabezpieczenie przed skanowaniem kont próby uwierzytelniania na szeregu kont autoryzacyjnych, wykonywane z jednego adresu IP lub numeru telefonu są odrzucane

White-list i
Black-list

  • Obsługa black list listy parametrów operacji, które powodują jej odrzucenie
  • Obsługa white list listy parametrów będących wyjątkami dla black list
  • Możliwość integracji z systemami antyfraudowymi

Samodzielne zarządzanie przez klienta

  • Aktualne narzędzie autoryzacyjne
  • Sposób logowania
  • Aktywne kanały dostępu
  • Wartości limitów
  • Dodatkowe ograniczenia dostępu

Obsługa pracowników

Opisywane wcześniej, dostępne dla klientów, mechanizmy systemu CA można zastosować również dla pracowników organizacji, np. funkcjonalności kontroli dostępu na podstawie adresu IP, czy też zabezpieczanie dostępu do poszczególnych usług przy użyciu sprzętowego tokena lub karty SmartCard.

Dotyczy to zarówno pracowników związanych z obsługą klientów (pracowników Contact Center czy Back Office), jak również wszystkich pozostałych, dla których CA może pełnić funkcję mechanizmu autoryzującego dostęp do dowolnych zasobów firmy oraz oferować dodatkowe usługi dedykowane personelowi organizacji.

Przepustki

CA udostępnia mechanizm przypisywania do kont użytkowników tzw. przepustek, czyli zestawów „identyfikator+hasło” do dodatkowych systemów działających w organizacji. Stosowane są one, jeżeli API danego systemu wymaga własnego uwierzytelnienia pracownika przy wywołaniu komunikatu do tego systemu.

Przepustki zastępują wykonywanie operacji w systemach zewnętrznych na jednym koncie tzw. „technicznym”, czyli nie są anonimowe i umożliwiają auditing wykonywanych operacji przez każdego z pracowników. Umożliwiają również ustanawianie uprawnień w jednym centralnym miejscu (CA), nawet jeśli dotyczą wielu systemów w organizacji.

Proces zarządzania dostępem pracowników

CA oferuje trzystopniowy mechanizm potwierdzania dostępu pracowników do danych systemu tj. z poziomu Kierownika, Pracownika IT oraz Obsługi bezpieczeństwa.

W każdym z etapów istnieje możliwość prowadzenia pełnej ewidencji, również z użyciem dokumentacji papierowej, co często jest wymogiem proceduralnym.

Obsługa VPN

Wsparcie systemu CA może również obejmować zarządzanie dostępem do usługi VPN. Proces obejmuje autoryzację dostępu do usługi z użyciem dowolnego narzędzia autoryzacyjnego, w tym sprzętowego tokena typu challenge-response, czy też kart SmartCard.

Usługi katalogowe

Dostęp pracownika do określonych systemów może być zdefiniowany w ramach usług katalogowych, takich jak ActiveDirectory czy LDAP. CA umożliwia zintegrowanie się z tymi usługami i jednolite zarządzanie wszystkimi dostępami.

Dodatkowo możliwe jest świadczenie przez CA samodzielnych usług katalogowych, co daje możliwość integracji z zewnętrznymi systemami w sposób adekwatny do ich potrzeb.

Mechanizm zastępstw

CA umożliwia czasowe przypisanie roli do kanału autoryzacyjnego, poprzez wskazanie dat początku i końca ważności przypisania. Na podobnej zasadzie, możliwe jest delegowanie uprawnień, co można utożsamiać z usankcjonowaniem w ramach CA mechanizmu zastępstwa.

Konsola administracyjna

Centrum Autoryzacji firmy Softax, udostępnia interfejs w postaci konsoli administracyjnej.

Funkcje zarządzania uprawnieniami obejmują:

  • zarządzanie użytkownikami – dodawanie, blokowanie, usuwanie kont użytkowników,
  • budowanie hierarchii użytkowników w celu odwzorowania struktury współpracy np. organizacja – firma partnerska – pracownik tej firmy,
  • zarządzenie atrybutami, uprawnieniami i przywilejami użytkownika,
  • tworzenie profili (ról), zawierających predefiniowane zestawy uprawnień,
  • zarządzanie metodami uwierzytelniania i autoryzacji użytkownika, z możliwością przypisania różnych metod dla różnych systemów,
  • konfigurację typowego harmonogramu pracy użytkownika,
  • konfigurację powiadomień o udanych, nieudanych i nietypowych próbach zalogowania.

Infrastruktura PKI

PKI (Public Key Infrastructure) to zbiór usług, które, w połączeniu z procedurami, wykorzystywane są do tworzenia, przechowywania, weryfikacji, użycia i odwoływania certyfikatów cyfrowych.

CA udostępnia usługi PKI obejmujące poniżej wymienione dziedziny:

  • zarządzanie certyfikatami niekwalifikowanymi (wydawanie, unieważnianie, itd.),
  • realizacja podpisów cyfrowych z wykorzystaniem certyfikatów kwalifikowanych,
    wydanych przez polskie centra certyfikacji,
  • funkcje znakowania czasem – po podłączeniu do zewnętrznego, kwalifikowanego źródła czasu,
  • funkcje generowania i konserwacji podpisu elektronicznego,
  • funkcje weryfikacji podpisu elektronicznego,
  • generowanie i dystrybucję CRL dla wydanych certyfikatów,
  • przetwarzanie CRL dla certyfikatów zewnętrznych zarejestrowanych w CA,
  • funkcje szyfrowania i odszyfrowywania informacji z użyciem wybranych rozwiązań sprzętowych (HSM)
    albo bibliotek programowych (tzw. Cryptographic Services).

Standardy

Rozwiązania Softax w zakresie PKI są zgodne z następującymi normami i standardami:

  • RFC3280 Profil certyfikatów X509 w wersji 3 oraz list certyfikatów odwołanych (CRL)
  • PKCS#10 Format żądań certyfikatów
  • SPKAC Format żądania certyfikatu wspierany przez przeglądarki oparte na silniku Mozilla oraz przeglądarkę Opera
  • PKCS#11 Standard określający komunikację ze sprzętowymi modułami kryptograficznym oraz kartami
  • RFC3369 Format składni wiadomości kryptograficznych (Certificate Message Syntax – CMS)
  • RFC3211 Opis algorytmu użytego przy szyfrowaniu danych z wykorzystaniem hasła
  • RFC2560 Protokół i opis usługi Online Certificate Status Protocol (weryfikacja online statusu certyfikatu)
  • RFC3029 Protokół i opis usługi Data Validation and Certificate Status (walidacja danych i statusu certyfikatów)
  • ETSI TS 101 903 v. 1.3.2 Format podpisu XADES w wersji 1.3.2.
  • RFC3161 Protokół usługi znacznika czasu
  • PKCS#12 Format pliku do przechowywania kluczy prywatnych
  • PEM Format przechowywania certyfikatów i/lub kluczy prywatnych
  • DER Format określający sposób kodowania informacji zgodnie z normą ASN.1 – Distinguished Encoding Rules
  • PKCS#5 Standardy szyfrowania danych z wykorzystaniem hasła oparte o schemat PBKDF (tworzenie klucza na podstawie hasła)
  • RFC3039 Profil certyfikatu kwalifikowanego
  • RFC4514 Sposób reprezentowania binarnie zakodowanych nazw DN (Distinguished Name)
  • RFC3126 Format podpisu elektronicznego zapewniający jego długoterminową wartość dowodową

Sposoby integracji

Funkcje CA udostępnianie są jako webservice w standardzie SOAP z rozszerzeniem WS-Security, umożliwiając innym systemom i aplikacjom skorzystanie z funkcji autoryzacji. Zakres usług obejmuje praktycznie wszystkie funkcje realizowane przez CA:

  • zarządzanie kontami i kanałami autoryzacyjnymi,
  • zarządzenie uprawnieniami,
  • uwierzytelnienie,
  • autoryzacja,
  • usługi PKI,
  • zarządzanie certyfikatami cyfrowymi.

CA wspiera integrację z zewnętrznymi systemami autoryzacyjnymi za pomocą protokołów RADIUS, LDAP, SAML, Active‑Directory. Wśród integrowanych systemów mogą być usługi obsługujące tokeny sprzętowe, takie jak RSA, Vasco, Gemalto. Dodatkowo możliwe jest wykorzystanie lokalnej lub sieciowej infrastruktury HSM, jak również emulowanie usługi HSM wewnątrz CA.

Rozwiązanie CA może być wdrożone w pełnej formie, lub też z obsługą jedynie części funkcjonalności autoryzacyjnych, podlegających konfiguracji zgodnie z wymaganiami klienta.

Dodatkowym elementem podnoszącym bezpieczeństwo organizacji, jest wykorzystanie systemu detekcji nadużyć, np. Softax IFD. CA posiada funkcje pozwalające na pełną współpracę z takim systemem, zarówno w modelu przekazywania, jak i pobierania informacji.