השלב הבא בזיהוי המשתמשים – SecureAuth
מאת: צביקה ישראלי, ,CTO מוביסק טכנולוגיות מפיצת פתרונות SecureAuth בישראל
ה-IT הארגוני החדש מציב בפני המנמ"ר את אתגר מורכבות הגישה למשאבי המידע הארגוניים. עד כה, יישומי ה-SSO – Single Sign On בדומיין הארגוני וה-IDM אפשרו למשתמשים גישה לכל שירותי המחשוב הארגוניים. התפתחותן של המגמות הבאות המחשוב הארגוני מביאה לשינוי בגישה הארגונית לסוגיית ההזדהות של המשתמשים והשימוש ב-SSO:
• למשתמשים יש יותר מהתקן אחד, הכוללים לפחות תחנת עבודה ומכשיר נייד אחד או יותר הניגשים למשאבי המידע ברשת ממקורות שונים כולל רשתות אלחוטיות פתוחות.
• המעבר לשירותי ענן ציבוריים כגון Office365, SalesForce ,Success Factors ,Google Apps מחייב לכל שירות חשבון נפרד וסיסמה ייחודית המתבססת על מנגנוני אימות שונים מאלה המוכרים לנו בתוך הרשת הארגונית. מהיותם שירותים חיצוניים ניתן להתחבר אליהם מכל מקום ולא רק מתוך הרשת הארגונית.
פתרונות IDM המסורתיים מטפלים בסוגיית ה-SSO בלא לתת מענה מלא למגמות החדשות המחייבות את הארגונים לשלוט בהתקנים ולזהות באופן וודאי את המשתמשים המתחברים למשאבי המידע הארגוניים. הפתרון של SecureAuth המופץ על ידי מוביסק בישראל הופך את הארגון לIdP – Identity Provider לכלל שירותי המחשוב הפנימיים והחיצוניים ופועל על כל סוגי ההתקנים (Desktop ומכשירים ניידים). המערכת תומכת בניהול הליך הזדהות שונה בהתאם להתקן, מיקום והתפקיד של המזדהה.
הפתרון מתבסס על חשבונות המשתמשים הקיימים ב-Directory הארגוני ומייצר בעבור כל אחד מהם זהות המשמשת להזדהות מול כלל השירותים הארגוניים. המערכת תומכת ביותר משלושים פרוטוקלי הזדהות כגון: Kerberos ,SAML ,OAuth ,X.509 Certificates ,WS-federation ,WS-Trust ,Basic Authentication ,Federation Services ועוד. על בסיס הקשת הרחבה של פרוטוקולי ההזדהות הופך ה-IdP, להיות מנגנון אימות ארגוני מרכזי ויחיד. בעת גישת משתמש למשאב ארגוני, המערכת מטפלת בבקשה וברקע מייצרת תהליך אימות בפרוטוקול הנדרש. מכיוון ש – SecureAuth מרכז את כל בקשות ההזדהות, הוא יכול להחיל עליהן בהתאם למדיניות הארגון דרישה לפקטור אימות נוסף מתוך מגוון של למעלה מעשרים שיטות אימות שונות שנתמכות על ידיד הפתרון כגון One Time Password, Pin Code, כרטיסים חכמים, שאלת ידע אישי ועוד. כל אלה מבטיחים כי המשתמש המתחבר לשירות בענן ציבורי (כגון SalesForce) הוא אכן המשתמש האמיתי.
המשתמש נדרש להקליד פעם אחת שם משתמש וסיסמה בכניסה (אלא אם הוא נדרש להקליד פאקטור אימות נוסף) והמערכת תקשר אותו ב-SSO לכלל השירותים הארגוניים (פנימיים וחיצוניים) שיש לו הרשאות גישה אליהם. פרטי המשתמש והסיסמה לעולם אינם יוצאים מהדומיין הארגוני. ה-IdP משתמש במזהים ייחודיים (Assertion Tokens) מול כל שירות חיצוני וללא צורך להכיל את פרטי המשתמש. למערכת יכולת זיהוי של אנומליות בתהליכי ה-Logon ויכולת יישם דרכי פעולה שונות בהתאם.
המערכת תומכת בהתקני אבטחה רבים וכך מסוגלת לספק SSO, גם בהתחברות להתקני אבטחת מידע ותקשורת שונים המשתמשים ליצירת תווך VPN למשתמשי הארגון
מעצם היותה המערכת האחראית לשירותי הזיהוי בארגון היא גם מסוגלת להיות ה-Certification Authority של שירותי הענן שבשימוש ולאפשר עבודה עם תעודות (Certificates) מול שירותי ענן כגון Office365 ובכך לאפשר לארגון בטחון בזיהוי המשתמשים הניגשים למשאבי המידע שלו הפנימיים והחיצוניים.
פורטל השירות העצמי למשתמשים המסופק כחלק מהמערכת מאפשר שיפור השירות והקטנת הפניות למרכז התמיכה הארגוני.
היישום המהיר של הפתרון של SecureAuth מהווה יתרון ומאפשר לארגון לעבור בתוך זמן קצר להזדהות חזקה ו-SSO לכלל השירותים, מייצר ערך של שירות וחדשנות ופותר את נקודת התורפה הכרוכה במעבר למחשוב החדש בתחום הזדהות המשתמשים.