Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Latvijas Pasta e-paraksta kartes lietotāju autentifikācijai un IT resursu piekļuvei

   

Vēsture

 

Kopš oktobra varam parakstīt elektroniski nosūtītos dokumentus ar e-parakstu. To var pievienot gan e-pastam, gan Word dokumentiem, gan citu formātu failiem. Šo pakalpojumu piedāvā Latvijas Pasts (vairāk informācijas par to http://info.e-me.lv). Diemžēl LP e-paraksta viedkarti nevar izmantot par oficiālu identifikācijas karti, jo ID karšu projekts Latvijā dažādu iemeslu dēļ nevirzās uz priekšu. IBM piedāvā LP e-paraksta kartēm papildu lietojumu. Tās drošo sertifikātu var izmantot lietotāju autentifikācijas un organizācijas vienotās ielogošanās (Single Sign-On - SSO) nodrošināšanai. Šis risinājums ļauj piekļūt IT sistēmām daudz drošākā veidā salīdzinājumā ar standarta ielogošanos, kas balstās uz lietotāja ID un paroles ievadīšanu.

 

Paroles – nopietns korporatīvās drošības apdraudējums

Gandrīz katrs ir saskāries ar neērtībām, kādas rodas, pieaugot paroļu skaitam. Laiks, kuru patērējam, ievadot, mainot, pierakstot, aizmirstot un atjaunojot paroles, nemitīgi pieaug. Kad kādu paroli aizmirstam, vairs nevaram piekļūt nepieciešamajiem IT resursiem. Tas ir ļoti kaitinoši un noteikti neveicina darba produktivitāti. Dažkārt paiet krietns laiks, līdz izdodas aizmirsto paroli atjaunot.

Pēc industrijas analītiķu Gartner Group pētījuma palīdzības dienesti aptuveni 40 procentus resursu velta nozaudēto paroļu atjaunošanai. Vidējās izmaksas vienai šādai operācijai ir aptuveni 25 USD. Lai izvairītos no neērtībām, lietotāji bieži izvēlas vienkāršas un viegli atminamas paroles vai - vēl ļaunāk – paroles pieraksta uz lapiņām, kuras piestiprina pie monitora (pieredzējušākie lietotāji pielīmē lapiņu zem tastatūras). Šāda rīcība, protams, nopietni apdraud IT sistēmu drošību.

Nekvalitatīva lietotāju paroļu izvēle un nepareiza to administrācija ir viens no nopietnākajiem korporatīvās drošības apdraudējumiem mūsdienās. Šo un saistītu problēmu risināšanai IBM piedāvā izmantot Tivoli Access Manager for Enterprise Single Sign-on (TAM E-SSO) programmatūru. Tā stiprina drošību un paaugstina lietotāju produktivitāti, nodrošinot organizācijas vienotās ielogošanās risinājumu Enterprise Single Sign-on (E-SSO).

Tā vietā, lai piespiestu lietotājus atcerēties dažādās paroles, kuras katrai sistēmai var būt atšķirīgas, TAM E-SSO programmatūra lietotāju autentifikāciju veic vienreiz, tālāk pati atpazīst ielogošanās situācijas un atbilstoši uz tām reaģē. Rezultātā samazinās riski, kas rodas, atkārtoti ievadot un mainot ID un paroles. Šis risinājums izmanto Passlogix tehnoloģiju, kas nodrošina vienotu paroļu izmantošanu praktiski jebkurai lietotāju programmatūrai, piemēram, Lotus Notes, SAP, kā arī dažādām Microsoft un Java lietojumprogrammām.

 

TAM E-SSO priekšrocības

TAM E-SSO autentificē lietotāju vienreiz un pēc tam automātiski atklāj un apstrādā vēlākos pieprasījumus pēc lietotāja identifikācijas informācijas (credentials). TAM-ESSO var atbildēt uz dažādiem lietotāja pieprasījumiem no Windows, Web, Mainframe/Host aplikācijām. TAM-ESSO atbalsta praktiski visus autentifikācijas mehānismus – paroles, biometriju, viedkartes, tāpat arī jebkuru autentifikācijas servisu – Windows, Entrust PKI, RSA Keon PKI, LDAP.

TAM-ESSO uzglabā lietotāja identifikācijas informāciju šifrētā datubāzē, izmantojot kādu no sinhronās šifrēšanas algoritmiem (Triple-DES, AES/IES, RC4, Cobra, Blowfish). Lietotāji no jebkura datora var piekļūt nepieciešamajai informācijai Active Directory  vai LDAP direktorijā, izmantojot TAM E-SSO Credential Synchronization rīku. TAM-ESSO var veidot vēstures failu, kur tiek ievietota informācija par visiem notikumiem, piemēram, lietotāja ielogošanos.

 

 

1. attēls. TAM E-SSO sastāvdaļas: autentifikācija (1.), šifrēšana (2.), pamatdaļa (3.), sinhronizācija (4.),  ICR (5.), vēstures fails (6.).

 

Kad lietojumprogrammatūra pieprasa identifikācijas informāciju, TAM E-SSO atpazīst šo notikumu, nosaka atbilstošo darbību un atbild, nosūtot pareizo lietotāja identifikācijas informāciju. Saskarne, kas veic šīs darbības, tiek saukta par Intelligent Client Response (ICR). ICR sadarbībā ar piekļuves komponentu (Access Component) nodrošina atbilstošās lietotāja identifikācijas informācijas izvēli. TAM E-SSO uzglabā lietotāja informāciju lokāli, bet ir iespējams sinhronizēt datus ar attālinātām direktorijām, ierīcēm u. tml. Ir iespējams sinhronizēt visu lietotāju informāciju vai arī tikai viena lietotāja specifiskus ierakstus. Sinhronizācija nodrošina dinamisku un efektīvu klientu administrāciju. Vēstures failā tiek saglabāta SSO notikumu – lietotāju identifikācijas informācijas lietošanas, maiņas un citu - vēsture.

TAM E-SSO iekļaujas IBM Tivoli Access Manager (TAM) programmatūras komplektā, kas kopā ar tīmekļa SSO IBM Tivoli Access Manager for e-business (TAMeb) un federatīvo (starporganizāciju) SSO – Tivoli Federated Identity Manager (TFIM) veido kompleksu, integrētu SSO risinājumu. TAM moduļi var strādāt gan atsevišķi, gan integrēti, izmantojot kopēju pārvaldi un lietotāju direktoriju. Tādējādi tiek nodrošināta vienota piekļuves kontrole un SSO funkcionalitāte praktiski jebkuriem IT resursiem un vidēm.

 

2. attēls. IBM Tivoli kompleksa SSO risinājuma shēma.

 

Pastiprinātā autentifikācija ar viedkarti

Tomēr IT sistēmu drošībai nereti ar parolēm vien nav pietiekami, un uzņēmumos izmanto papildus drošības pasākumus, piemēram, kodu kalkulatorus, viedkartes, pirkstu nospiedumu atpazīšanu un citas autentifikācijas shēmas. TAM E-SSO lietotāja atpazīšanai nodrošina arī vairāku līmeņu autentifikāciju. Latvijas apstākļos var izmantot LP e-paraksta kartes drošo sertifikātu.

IBM piedāvā dažādus lietojuma scenārijus. Piemēram, pamata piekļuves metode var būt pastiprinātā autentifikācija ar viedkarti. Tādā gadījumā ir iespējams izveidot sistēmu, kad lietotājs pats nenodarbojas ar paroļu pārvaldi. Viņa vietā to veic TAM E-SSO programmatūra. Lietotāja paroles dažādās sistēmās ģenerē TAM E-SSO atbilstoši uzņēmumā noteiktajiem sarežģītības standartiem. Sistēma maina arī paroles, un lietotājs pats var nezināt savas paroles. Iespējama situācija, ka lietotājs nemaz nenojauš, ka dažādām sistēmām vispār ir paroles. Vienīgais, kas viņam ir jāatceras, ir savas viedkartes PIN kods.

Var realizēt arī citu scenāriju, kad pamata ielogošanās tiek veikta, ievadot ID un paroli, bet piekļuvei paaugstinātas nozīmes sistēmām tiek pieprasīta autentifikācija ar viedkarti. Tāpat ir iespējams prasīt, lai viedkarte noteikti atrastos lasītājā katras ielogošanās brīdī vai arī lai tā tiktu nolasīta tikai vienreiz – darba sesijas sākumā. Ir iespējams veidot scenāriju, kad birojā tiek prasīta viedkarte, bet, strādājot no mājām, - ne. Vai arī gluži pretēji – stingrā autentifikācija tiek pieprasīta, mēģinot attālināti pieslēgties uzņēmuma sistēmām, bet birojā pietiek ar Windows ielogošanos.

 

Ja nu tomēr pazaudēta vai aizmirsta

Protams, var rasties jautājums – ko man darīt situācijā, ja esmu pazaudējis savu viedkarti, nezinu nevienu paroli un vispār netieku ielaists nevienā sistēmā? Vai arī, ja lietotājs ir aizmirsis pašu Windows paroli un līdz pastiprinātās autentifikācijas sistēmai nemaz netiek? Vai šāda negadījuma novēršana palīdzības dienestam un, protams, lietotājam pašam nesagādās vēl lielākas problēmas un galvassāpes?

TAM E-SSO risina šāda rakstura problēmas, izmantojot Desktop Password Reset Adapter (DPRA) programmatūru. Ja ir jāatjauno Windows parole, DPRA izvada lietotāju cauri parastajam jautājumu un atbilžu procesam, kāds tiek izmantots, atjaunojot paroli. Rezultātā bez palīdzības dienesta iesaistīšanas lietotājs var atjaunot paroli un atgūt piekļuvi nepieciešamajiem resursiem, turklāt tas notiek, saudzējot gan savus, gan sistēmu administratoru nervus, jo paroles atjaunošana var notikt bez citu cilvēku vai datoru iesaistīšanas.

 

3.attēls. TAM E-SSO risinājuma shēma

 

Dažkārt vienu un to pašu datoru pārmaiņus izmanto vairāki lietotāji t. s. kioska režīmā. Diemžēl tas nozīmē ne vien papildu iespējas, bet arī lielāku risku. Lietotāji nereti pamet datoru ar atvērtām programmām un ievadītām parolēm, kas var izraisīt nopietnu informācijas noplūdi. TAM E-SSO Kiosk Adapter (KA) programmatūra seko tam, cik ilgi lietotāja sesija nav aktīva, un automātiski to aizver, ja pagājis iepriekš noteikts laika periods. KA atstāj lietotāja programmas aktīvas, bet noslēdz piekļuvi datoram. Kad lietotājs atgriežas, sesijas darbs var tikt atjaunots. Ja datoru vēlas izmantot cits lietotājs, atvērtās programmas tiek aizvērtas un lietotāja darba sesija izbeigta. Ja lietotājs izmanto viedkarti, ir iespējams sistēmu konfigurēt tā, lai, izņemot viedkarti no lasītāja, visi lietotāja procesi tiktu pārtraukti un sesijas terminētas. TAM E-SSO KA turklāt ļauj iestrādāt specifiskas sistēmu komandas, lai lietotāja darbs tiktu pārtraukts korekti.

 

Lietotāja produktivitātes paaugstināšanai

Lielākajā daļā organizāciju sistēmu administratori patērē ļoti daudz laika, pārvaldot lietotāju identifikācijas informāciju (credentials), kuru izmanto, lai unikāli identificētu lietotāju un viņam tiktu nodrošināta atbilstoša piekļuve lietojumprogrammām un citiem resursiem. Vienkāršākā identifikācijas informācija ir lietotāja ID ar paroli, bet tā var būt arī, piemēram, iepriekš aprakstītie LP viedkartēs glabātie sertifikāti.

Identifikācijas informācijas pārvaldes procesu automatizācija ir ļoti nozīmīga TAM E-SSO funkcija. To veic IBM Tivoli Identity Manager (TIM) programmatūra, kas sasaistei ar TAM E-SSO izmanto Provisioning Adapter (PO) moduli. Rezultātā organizācijai vairs nav fiziski jānosūta identifikācijas informācija lietotājiem, kuriem tā manuāli jāievada sistēmā. Tā vietā administratori var izveidot, labot un dzēst lietotāju informāciju, izmantojot TIM.

TAM E-SSO paaugstina lietotāju produktivitāti un stiprina IT sistēmu drošību, izmantojot vienotās ielogošanās risinājumu. Paroļu pārvalde tiek veikta automātiski, kas novērš to nepareizu glabāšanu un izslēdz vāju paroļu izvēles iespējas. TAM E-SSO nodrošina uzņēmuma paroļu administrācijas politikas ievērošanu (enforcement) – paroļu sarežģītību, maiņas biežumu utt. TAM E-SSO savām vajadzībām patērē ļoti maz resursu (parasti atmiņas izmantojums ir mazāks par 1 MB). TAM E-SSO risinājumu organizācijā var ieviest ļoti ātri. Tas ir viegli konfigurējams, izvēršams un vadāms. TAM E-SSO var sniegt būtisku ieguldījumu uzņēmuma informācijas drošības nostiprināšanā.

Mārtiņš GRANTS,

IBM Latvija ITS Projektu un pārdošanas grupas vadītājs

 
Design and programming by Anton Alexandrov - 2001