DVOUFAKTOROVÁ AUTENTIZACE U SLUŽBY EGJE CLOUD
Řešení doufaktorové autentizace u služby EGJE cloud je koncipováno tak, že jeden autentizační faktor je na úrovni aplikace a druhý na úrovni aplikační infrastruktury hostingového prostředí. Jeden z faktorů je tak společný pro všechny aplikace provozované v hostingu, mimo EGJE např. ESP nebo systémy třetích stran, které Elanor provozuje pro poskytování služeb mzdového outsourcingu v zahraničí. Dále toto řešení umožňuje dvoufaktorovou autentizaci i u aplikací, které ji samy nepodporují.
- Pověření je rozloženo mezi zákazníka a provozovatele – jedním autentizačním faktorem je zákazníkova autentizační autorita a druhým faktorem standardní přihlášení jménem a heslem, které dostal uživatel přiděleno od Elanor.
- Zákazníkova autentizační autorita je vždy prvním autentizačním faktorem, uživatelé se tedy přihlašují k aplikacím v hostingu jako důvěryhodní. Služba dvoufázové autentizace je založena na řešení společnosti F5 Networks, které Elanor již používá jako WAF (Web Application Firewall).
Služba je dostupná pouze pro web klienty EGJEWeb a Elanor HR Portál, nikoliv pro „tlustého klienta“ EGJE. Aktuálně jsou v našem EGJE cloud aplikace EGJEWeb naiplementovány tři typy dvoufaktorových autentizací:
- ADFS (Active Directory Federation Services), protokol SAML (Security Assertion Markup Language)
- Azure Active Directory, protokol Open ID Connect
- Okta, protokol Open ID Connect
Všechny typy vyžadují konfiguraci jak na straně Elanor, tak na straně zákazníka. Zákazník musí mít zprovozněné buď ADFS, nebo účty v Azure AD, nebo účty u společnosti Okta. Dále je nutné vytvořit vztah důvěry, tzn. na straně Elanor musí být nastavena zákazníkova autentizační autorita a na straně zákazníka musí být nastaveno správné URL důvěryhodné aplikace. Z hlediska uživatele to ve všech případech funguje takto:
- Uživatel se nejprve připojí na úvodní stránku EGJEWeb,
- odsud je přesměrován pro ověření identity zákazníkovou autentizační autoritou,
- následně je uživatel přesměrován zpět na stránku EGJEWeb již jako důvěryhodný,
- poté se standardně přihlásí jménem a heslem přiděleným od Elanor.
Dvoufaktorová autentizace pro EGJEWeb je v současné době zprovozněna a otestována a probíhá nasazení u pilotního klienta.
DVOUFAKTOROVÁ AUTENTIZACE V EGJE
Doufaktorová autentizace v EGJE je k dispozici od verze e201905 pro Java klienta a od verze e201909 i pro web klienta. Vedle standardního zadání uživatelského jména a hesla se uživatel autentizuje ještě zadáním PIN na speciální čipové kartě, která je vložena do zařízení uživatele. Aplikace EGJE byla rozšířena o evidenci certifikátů, pro ukládání veřejných klíčů je použit stávající aparát pro ukládání dokumentů. Řešení je v tuto chvíli ve zkušebním provozu u pilotního zákazníka.