facebook LinkedIN LinkedIN - follow

Okta – bezpečná platforma pro Identity Management a Automation

S přechodem do cloudu řeší v současné době firmy požadavky na bezpečný vzdálený přístup svých zaměstnanců, partnerů i zákazníků k firemním datům.

                                                                               


Ne všechny firmy však chtějí (anebo také nemohou) přesunout všechna svá data do cloudu. Zvlášť pak u výrobních firem vidíme, že hodně jejich systémů stále zůstává v on-premise řešení. Výsledkem bývá hybridní model, kdy se část systémů nachází v prostorách zákazníka (on-premise) a část je přesunuta do cloudu. Vždy je třeba zajistit, aby obě tyto části bezproblémově fungovaly a komunikovaly mezi sebou.

Navíc je v dnešní době samozřejmé, že s firemními systémy a daty potřebují spolupracovat nejen zaměstnanci a partneři, ale i zákazníci. Pro firmy nové ekonomiky, jejichž produktem jsou nehmotné služby typicky poskytované přes internet, je bezpečná identifikace jejich zákazníků alfou a omegou obchodního úspěchu. A velmi důležité je zajistit nejen bezpečný přístup, ale zároveň i přístup pohodlný a přímočarý.

Výše uvedené modely uchovávání dat a přístupy k nim můžeme rozdělit na dvě části, které technologie Okta podporuje. Jedná se o:

  • Identitu a ověřování zaměstnanců
  • Identitu a ověřování zákazníků

Technologie Okta tedy nabízí nejenom řešení, které pokryje potřeby ověření kmenových i externích zaměstnanců firmy, ale i jednoduchým způsobem zabezpečí ověřování firemních zákazníků, obchodních partnerů či dalších, na dálku spolupracujících firem.

Co je důležité a na co Okta klade velký důraz, je, aby způsob přihlašování byl jednotný napříč všemi firemními systémy a aby měl uživatel vždy stejné ověřovací údaje do všech systémů. Cílem je vyhnout se situaci, kdy má uživatel různé přístupové údaje k různým systémům – tedy různé přihlašovací údaje, různá hesla. Taková situace je z hlediska bezpečnosti dat riziková.

Okta nabízí řešení, které nejen pokryje potřeby ověření identity kmenových i externích zaměstnanců firmy, ale také jednoduchým způsobem zabezpečí ověřování firemních zákazníků a obchodních partnerů.

Životní cyklus uživatele a zařízení

Typický (a špatný) postup ve firmách při příchodu nového zaměstnance je zřízení pro něj různých přístupů do různých systémů. Často se i na některé zapomene, postupně dle vyvstávajících potřeb se přístupy doplňují a tím už vzniká nechtěný chaos.

Ještě o něco horší situace nastává, když zaměstnanec z firmy odchází. Velice často pak zůstávají zapomenuté účty, které měly být zrušené a nejsou, a má to pak dopady nejenom na bezpečnost celého řešení, ale i na počet potřebných licencí.

Ideálním modelem, jak životní cyklus uživatele a zařízení řídit, je zakládat všechny uživatelské účty na jednom místě a ty se pak automaticky pomocí technologie Okta provážou s jednotlivými systémy.

Okta nabízí několik možností vícefaktorového ověřování a má svou vlastní mobilní aplikaci Okta Verify s push notifikací pro Android a iOS. Navíc umožňuje integrovat i autentikátory třetích stran, jako např. Google Autenticator, RSA Secure ID, Symantec aj. Nabízí i ověření pomocí SMS či e-mailu.

Nástroje technologie Okta

  • Single Sign On, tedy jednotné přihlašování. Cílem je, aby uživatel měl jedno uživatelské jméno, případně heslo (pokud se používá – v ideálním případě ověřovací token nebo jiná forma ověření) a aby byly aplikovány vždy stejné bezpečnostní politiky napříč všemi firemními systémy.
  • Universal directory. Jedná se o adresářovou službu, která slouží jako jednotný centrální bod, kterému všechny systémy, do kterých se uživatelé pomocí Okty hlásí, budou důvěřovat. Z této adresářové služby lze pak řídit celý životní cyklus uživatele. Neznamená to však, že je třeba okamžitě nahradit stávající ověřovací službu. Rozumnou variantou je postupně napojit stávající adresářové služby typu Active Directory. Možností kombinování těchto ověřovacích systémů je mnoho.
  • Okta nabízí několik možností vícefaktorového ověřování. Má svou vlastní aplikaci Okta Verify, což je ověřovací aplikace, která funguje jak na mobilním zařízení (iOS i Android), tak i např. na příslušných smart hodinkách.
    V případě, že uživatelé již nějaký autentikátor používají, Okta umožňuje integrovat i další autentikátory třetích stran, jako např. Google Autenticator, RSA Secure ID, Symantec aj. V případě, že autentikátor není v dané chvíli dostupný, je možné použít i ověření pomocí SMS či e-mailu. Okta Verify podporuje push notification (známé např. z přístupů do internetového bankovnictví), když např. na mobilním telefonu, ze kterého se uživatel přihlašuje, automaticky vyskočí požadavek na potvrzení „ano, jsem to já, chci se přihlásit“ či „ne, jedná se o omyl“. Existuje možnost i pracovat offline, kdy Okta nabízí jedinečný identifikátor (šestimístné číslo, které se opíše do přihlašovací aplikace). Naprosto unikátní pro Oktu je schopnost vyhodnocení rizika dle lokality a dalších ukazatelů, a v případě bezpečné situace Okta uživatele přihlásí bez obtěžování dalšími faktory.
  • Okta Lifecycle Management – v okamžiku, kdy je uživatel založen v centrálním systému, ideálně v Okta Universal Directory, tak dle definovaných a nastavených pravidel (např. členství ve skupinách či na základě různě nastavených atributů) je možné automaticky vytvářet účty a přiřazovat služby v systémech třetích stran i vč. přiřazení licencí. Pro bezproblémové fungování Okta vyvinula vlastní protokol (SCIM), který umožňuje založení uživatelských účtů a vytváření akcí napříč mnoha softwary a systémy. Okta podporuje všechny hlavní světově používané systémy a má i vlastní rozhraní, které lze snadno implementovat do firemního systému.

Shrnutí

Okta je rozsáhlá a komplexní technologie pro správu identit nabízející mnoho scénářů a zároveň je nepopiratelným obchodním i technologickým lídrem této inovativní oblasti ve světě IT. Pokud budete potřebovat jakékoli další informace, kontaktuje nás, jsme tady pro vás.

David Peřina David Peřina
Autor článku je ředitelem a předsedou představenstva společnosti System4u, a. s.