S přechodem do cloudu řeší v současné době firmy požadavky na bezpečný vzdálený přístup svých zaměstnanců, partnerů i zákazníků k firemním datům.
Zvlášť pak u výrobních firem vidíme, že hodně jejich systémů stále zůstává v on-premise řešení. Výsledkem bývá hybridní model, kdy se část systémů nachází v prostorách zákazníka (on-premise) a část je přesunuta do cloudu. Vždy je třeba zajistit, aby obě tyto části bezproblémově fungovaly a komunikovaly mezi sebou.
Navíc je v dnešní době samozřejmě, že s firemními systémy a daty potřebují spolupracovat nejen zaměstnanci a partneři, ale i zákazníci. Pro firmy nové ekonomiky, jejichž produktem jsou nehmotné služby typicky poskytované přes internet, je bezpečná identifikace jejich zákazníků alfou a omegou obchodního úspěchu. A velmi důležité je zajistit nejen bezpečný přístup, ale zároveň i přístup pohodlný a přímočarý.
Výše uvedené modely uchovávání dat a přístupy k nim můžeme rozdělit na dvě části, které technologie Okta podporuje. Jedná se o:
- Identitu a ověřování zaměstnanců
- Identitu a ověřování zákazníků
Technologie Okta tedy nabízí nejenom řešení, které pokryje potřeby ověření kmenových i externích zaměstnanců firmy, ale i jednoduchým způsobem zabezpečí ověřování firemních zákazníků, obchodních partnerů či dalších, na dálku spolupracujících firem.
Co je důležité a na co Okta klade velký důraz je, aby způsob přihlašování byl jednotný napříč všemi firemními systémy vždy stejný a aby měl uživatel vždy stejné ověřovací údaje do všech systémů. Cílem je vyhnout se situaci, kdy má uživatel různé přístupové údaje k různým systémům – tedy různé přihlašovací údaje, různá hesla. Taková situace je z hlediska bezpečnosti dat riziková.
Životní cyklus uživatele a zařízení
Typický (a špatný) postup ve firmách při příchodu nového zaměstnance je zřízení pro něj různých přístupů do různých systémů. Často se i na některé zapomene, postupně dle vyvstávajících potřeb se přístupy doplňují a tím už vzniká nechtěný chaos.
Ještě o něco horší situace nastává, když zaměstnanec z firmy odchází. Velice často pak zůstávají zapomenuté účty, které měly být zrušené a nejsou, a má to pak dopady nejenom na bezpečnost celého řešení, ale i na počet potřebných licencí.
Ideálním modelem, jak životní cyklus uživatele a zařízení řídit, je zakládat všechny uživatelské účty na jednom místě a ty se pak automaticky pomocí technologie Okta prováží s jednotlivými systémy.
Nástroje technologie Okta
- Single Sign On, tedy jednotné přihlašování. Cílem je, aby uživatel měl jedno uživatelské jméno případně heslo (pokud se používá – v ideálním případě ověřovací token nebo jiná forma ověření) a aby byly aplikovány vždy stejné bezpečnostní politiky napříč všemi firemními systémy.
- Universal directory, tedy adresářová služba, která slouží jako jednotný centrální bod, kterému všechny systémy, do kterých se uživatelé pomocí technologie Okta hlásí, budou důvěřovat. Z této adresářové služby lze pak řídit celý životní cyklus uživatele. Neznamená to však, že je třeba okamžitě nahradit stávající ověřovací službu. Rozumnou variantou je postupně napojit stávající adresářové služby typu Active Directory. Možností kombinování těchto ověřovacích systémů je mnoho.
- Okta nabízí několik možností vícefaktorového ověřování. Má svou vlastní aplikaci Okta Verify, což je ověřovací aplikace, která funguje jak na mobilním zařízení, (iOS i Android), tak i např. na příslušných smart hodinkách.V případě, že uživatelé již nějaký autentikátor používají, Okta umožňuje integrovat i další autentikátory třetích stran, jako např. Google Autenticator, RSA Secure ID, Symantec aj. V případě, že autentikátor není v dané chvíli dostupný, je možné použít i ověření pomocí SMS či e-mailu. Okta Verify podporuje push notification (známé např. z přístupů do internetového bankovnictví), když např. na mobilním telefonu, ze kterého se uživatel přihlašuje, automaticky vyskočí požadavek na potvrzení „ano, jsem to já, chci se přihlásit“ či „ne, jedná se o omyl“. Existuje možnost i pracovat off-line, kdy Okta nabízí jedinečný identifikátor (šesti místné číslo, které se opíše do přihlašovací aplikace).Naprosto unikátní pro Oktu je schopnost vyhodnocení rizika dle lokality a dalších ukazatelů, a v případě bezpečné situace Okta uživatele přihlásí bez obtěžování dalšími faktory.
- Okta Lifecycle Management – v okamžiku, kdy je uživatel založen v centrálním systému, ideálně v Okta Universal Directory, tak dle definovaných a nastavených pravidel (např. členství ve skupinách či na základě různě nastavených atributů) je možné automaticky vytvářet účty a přiřazovat služby v systémech třetích stran i vč. přiřazení licencí. Pro bezproblémové fungování Okta vyvinula vlastní protokol (SCIM), který umožňuje založení uživatelských účtů a vytváření akcí napříč mnoha softwary a systémy. Okta podporuje všechny hlavní světově používané systémy a má i vlastní rozhraní, které lze snadno implementovat do firemního systému.
Shrnutí
Okta je rozsáhlá a komplexní technologie pro správu identit nabízející mnoho scénářů a zároveň nepopiratelným obchodním i technologickým lídrem této inovativní oblasti ve světě IT.
David Peřina, Managing Director System4u a.s.
