S prechodom na cloud sa spoločnosti zaoberajú požiadavkami na bezpečný vzdialený prístup k podnikovým údajom pre svojich zamestnancov, partnerov a zákazníkov.
Najmä vo výrobných podnikoch vidíme, že veľa ich systémov stále zostáva v lokálnych riešeniach. Výsledkom je zvyčajne hybridný model, v ktorom je časť systémov umiestnená v priestoroch zákazníka (on-premise) a časť je presunutá do cloudu. Vždy je dôležité zabezpečiť, aby obe časti bez problémov fungovali a komunikovali.
Okrem toho je dnes zrejmé, že nielen zamestnanci a partneri, ale aj zákazníci potrebujú spolupracovať s podnikovými systémami a údajmi. Pre spoločnosti novej ekonomiky, ktorých produktom sú nehmotné služby zvyčajne poskytované cez internet, je bezpečná identifikácia zákazníkov alfou a omegou obchodného úspechu. A je veľmi dôležité zabezpečiť nielen bezpečný prístup, ale aj pohodlný a jednoduchý prístup.
Uvedené modely ukladania údajov a prístupu k údajom možno rozdeliť na dve časti, ktoré podporuje technológia Okta. Sú to:
- Identita a autentifikácia zamestnancov
- Identita a overovanie zákazníka
Technológia Okta tak ponúka nielen riešenie, ktoré pokrýva potreby overovania interných aj externých zamestnancov spoločnosti, ale poskytuje aj jednoduchý spôsob overovania zákazníkov spoločnosti, obchodných partnerov alebo iných spoločností spolupracujúcich na diaľku.
Dôležité je a spoločnosť Okta kladie veľký dôraz na to, aby bol spôsob prihlásenia vždy rovnaký vo všetkých systémoch spoločnosti a aby mal používateľ vždy rovnaké autentifikačné údaje do všetkých systémov. Cieľom je zabrániť situácii, keď má používateľ rôzne prístupové údaje do rôznych systémov – t. j. rôzne prihlasovacie údaje, rôzne heslá. Takáto situácia je z hľadiska bezpečnosti údajov riziková.
Životný cyklus používateľa a zariadenia
Typickou (a zlou) praxou v spoločnostiach pri príchode nového zamestnanca je nastavenie rôznych prístupov do rôznych systémov. Často sa na niektoré z nich zabúda a postupne sa podľa vznikajúcich potrieb prístupy dopĺňajú, a tak vzniká neželaný chaos.
Situácia je ešte horšia, keď zamestnanec opustí spoločnosť. Veľmi často sa stáva, že zostanú účty, ktoré mali byť odstránené a nie sú, čo má vplyv nielen na bezpečnosť riešenia, ale aj na počet potrebných licencií.
Ideálnym modelom na správu životného cyklu používateľov a zariadení je nastavenie všetkých používateľských účtov na jednom mieste, ktoré sú potom automaticky prepojené s jednotlivými systémami pomocou technológie Okta.
Technologické nástroje Okta
- Jednotné prihlásenie. Cieľom je, aby mal používateľ jedno používateľské meno alebo heslo (ak sa používa – ideálne autentifikačný token alebo iná forma autentifikácie) a aby sa vo všetkých systémoch spoločnosti vždy uplatňovali rovnaké zásady zabezpečenia.
- Univerzálny adresár , adresárová služba, ktorá slúži ako jediný centrálny bod, ktorému budú dôverovať všetky systémy, do ktorých sa používatelia prihlasujú pomocou technológie Okta. Celý životný cyklus používateľa sa potom môže spravovať z tejto adresárovej služby. To však neznamená, že by sa mala existujúca autentifikačná služba okamžite nahradiť. Rozumnou možnosťou je postupné pripojenie existujúcich adresárových služieb Active Directory. Existuje mnoho spôsobov, ako tieto systémy overovania kombinovať.
- Služba Okta ponúka niekoľko možností viacfaktorového overovania. Má vlastnú aplikáciu Okta Verify, čo je autentifikačná aplikácia, ktorá funguje na mobilných zariadeniach (iOS a Android) aj na inteligentných hodinkách.Ak používatelia už používajú autentifikátor, Okta umožňuje integrovať aj iné autentifikátory tretích strán, ako napríklad Google Authenticator, RSA Secure ID, Symantec atď. V prípade, že autentifikátor nie je momentálne k dispozícii, možno použiť aj autentifikáciu prostredníctvom SMS alebo e-mailu. Okta Verify podporuje push notifikácie (známe napr. z prístupu do internet bankingu), kedy napr. na mobilnom telefóne, z ktorého sa používateľ prihlasuje, automaticky vyskočí žiadosť o potvrdenie s textom „áno, som to ja, chcem sa prihlásiť“ alebo „nie, toto je omyl“. K dispozícii je aj možnosť práce v režime offline, kde Okta ponúka jedinečný identifikátor (šesťmiestne číslo, ktoré sa skopíruje do prihlasovacej aplikácie). úplne unikátna pre Oktu je možnosť vyhodnotiť riziko na základe polohy a ďalších ukazovateľov a v prípade bezpečnej situácie Okta prihlási používateľa bez toho, aby sa zaoberala ďalšími faktormi.
- Okta Lifecycle Management – v okamihu, keď je používateľ založený v centrálnom systéme, ideálne v Okta Universal Directory, je možné podľa definovaných a nastavených pravidiel (napr. členstvo v skupinách alebo na základe rôzne nastavených atribútov) automaticky vytvárať účty a priraďovať služby v systémoch tretích strán, napr. pridelenie licencie. Spoločnosť Okta vyvinula vlastný protokol (SCIM), ktorý umožňuje vytvárať používateľské účty a akcie v mnohých softvéroch a systémoch. Služba Okta podporuje všetky hlavné systémy používané na celom svete a má vlastné rozhranie, ktoré možno ľahko implementovať do podnikového systému.
Zhrnutie
Spoločnosť Okta je rozsiahla a komplexná technológia správy identít, ktorá ponúka mnoho scenárov a je nesporným obchodným a technologickým lídrom v tejto inovatívnej oblasti vo svete IT.
David Peřina, generálny riaditeľ System4u a.s.
