DVOUFAKTOROVÁ AUTENTIZACE U SLUŽBY EGJE CLOUD

Řešení doufaktorové autentizace u služby EGJE cloud je koncipováno tak, že jeden autentizační faktor je na úrovni aplikace a druhý na úrovni aplikační infrastruktury hostingového prostředí. Jeden z faktorů je tak společný pro všechny aplikace provozo­vané v hostingu, mimo EGJE např. ESP nebo systémy třetích stran, které Elanor provozuje pro poskytování služeb mzdového outsourcingu v zahraničí. Dále toto řešení umožňuje dvoufak­torovou autentizaci i u aplikací, které ji samy nepodporují.

  • Pověření je rozloženo mezi zákazníka a provozovatele – jedním autentizačním faktorem je zákazníkova autentizační autorita a druhým faktorem standard­ní přihlášení jménem a heslem, které dostal uživatel přiděleno od Elanor.
  • Zákazníkova autentizační autorita je vždy prvním auten­tizačním faktorem, uživatelé se tedy přihlašují k aplikacím v hostingu jako důvěryhodní. Služba dvoufázové autentizace je založena na řešení společnosti F5 Networks, které Elanor již používá jako WAF (Web Application Firewall).

Služba je dostupná pouze pro web klienty EGJEWeb a Elanor HR Portál, nikoliv pro „tlustého klienta“ EGJE. Aktuálně jsou v našem EGJE cloud aplikace EGJEWeb naiplementovány tři typy dvoufaktorových autentizací:

  • ADFS (Active Directory Federation Services), protokol SAML (Security Assertion Markup Language)
  • Azure Active Directory, protokol Open ID Connect
  • Okta, protokol Open ID Connect

Všechny typy vyžadují konfigu­raci jak na straně Elanor, tak na straně zákazníka. Zákazník musí mít zprovozněné buď ADFS, nebo účty v Azure AD, nebo účty u společnosti Okta. Dále je nutné vytvořit vztah důvěry, tzn. na straně Elanor musí být nas­tavena zákazníkova autentizační autorita a na straně zákazníka musí být nastaveno správné URL důvěryhodné aplikace. Z hlediska uživatele to ve všech případech funguje takto:

  • Uživatel se nejprve připojí na úvodní stránku EGJEWeb,
  • odsud je přesměrován pro ověření identity zákazníkovou autentizační autoritou,
  • následně je uživatel přesměrován zpět na stránku EGJEWeb již jako důvěryhodný,
  • poté se standardně přihlásí jménem a heslem přiděleným od Elanor.

Dvoufaktorová autentizace pro EGJEWeb je v současné době zprovozněna a otestována a probíhá nasazení u pilotního klienta.

 dvoufazovka

DVOUFAKTOROVÁ AUTENTIZACE V EGJE

Doufaktorová autentizace v EGJE je k dispozici od verze e201905 pro Java klienta a od verze e201909 i pro web klienta. Vedle standardního zadání uživa­telského jména a hesla se uživa­tel autentizuje ještě zadáním PIN na speciální čipové kartě, která je vložena do zařízení uživatele. Aplikace EGJE byla rozšířena o evidenci certifikátů, pro ukládání veřejných klíčů je použit stávající aparát pro ukládání dokumentů. Řešení je v tuto chvíli ve zkušeb­ním provozu u pilotního zákazníka.

 

Zpět na archiv

Další články

www.elanor.cz
cs-cz