Secure Access
Secure Access ( ESA ) -ratkaisun kuvaus
Secure Access
Secure Access ( ESA ) -ratkaisun kuvaus
Secure Access
Secure Access (aiemmin tunnettu nimellä Efecte Secure Access ) on yksi Matrix42 Core , Pro and IGA Cloud Environment -ympäristöjen komponenteista. Se asennetaan Cloud Environmentin asennuksen yhteydessä, ja se tukee useita todennusprotokollia ja mahdollistaa useiden eri IdP:iden (Identity Pro ) käytön erilaisille loppukäyttäjille. Secure Access avulla vaadittu todennusmenetelmä voi vaihdella käyttäjien tai sisäänkirjautumisen jälkeen käytettävissä olevien palveluiden mukaan.
Secure Access on ollut oletusarvoisesti osa Cloud versiosta 2021/3 lähtien.
Mihin sitä käytetään?
Secure Access käytetään käyttäjien todentamiseen Matrix42 Core , Pro and IGA ratkaisuissa sekä itsepalvelussa.
Secure Access avulla voit todentaa erityyppisiä käyttäjiä turvallisesti kirjautuessasi sisään:
- Matrix42 Core , Pro and IGA -itsepalvelu
- Matrix42 Core , Pro and IGA -ratkaisut (kuten IGA , ITSM jne.)
Voit käyttää useita eri todennusmenetelmiä samanaikaisesti, ja käyttäjät voivat käyttää eri palveluita tai ratkaisuja valitun todennuksen perusteella.
Sitä käytetään myös haitallisen toiminnan valvontaan todennuksen aikana, ja siksi raa'an voiman hyökkäys- ja klikkien kaappaamissuojaukset ovat oletusarvoisesti käytössä.
Katso ja tunne
Kirjautumissivu
Kaikki Matrix42 Core , Pro and IGA ratkaisut käyttävät yhteistä kirjautumissivua. Kirjautumissivua käytetään kirjautumiseen Matrix42 Core , Pro and IGA -itsepalveluun ja -ratkaisuihin.
Käytetyistä todennusprotokollista riippuen (konfiguroitavissa) näytetään erilliset välilehdet (yrityksen) kirjautumiselle ja muille todennusmenetelmille.
Kirjautumisnäytön keskellä olevaa taustakuvaa ja logoa voidaan muuttaa asiakkaan suunnittelun mukaan. Alla olevissa kuvakaappauksissa käytetään Matrix42 logoa ja oletustaustakuvaa. Näitä voi muuttaa vain ESA isännästä, joten jos sinulla ei ole pääsyä sinne, sinun on pyydettävä Matrix42 tekemään tämä muutos näiden uid mukaisesti: ESA :n teemojen määrittäminen
Kieliasetukset
Käyttäjillä on mahdollisuus vaihtaa oletuskieli toiseen valitsemalla se oikeassa yläkulmassa olevasta avattavasta valikosta.
Oletuskielet ovat: englanti, suomi, ruotsi ja saksa.
Saatavilla olevat kielet ovat: englanti, suomi, saksa, ruotsi, puola, kroatia, tšekki, tanska, hollanti, viro, ranska, italia, latvia, liettua, norja, venäjä, espanja ja turkki.
Hallintakonsolit
Kun määrität, mitkä käyttäjät voivat siirtyä kirjautumissivulle, määritä todennuksen valmistelutehtävä palvelun hallinta-alustassa.
Todennusmäärityksiin on tehtävä lisämuutoksia vain, kun todennusprotokollia muutetaan tai uusia otetaan käyttöön. 
Todennusprotokolla on myös määritettävä Secure Access hallintakonsolissa, jossa myös todennusmääritykset määritellään. Katso esimerkiksi: https://<instanssisi URL-osoite>/auth/admin 
Tekniset tiedot
Arkkitehtuuri ja komponentit
Secure Access (ESA) on Keycloakin ( keycloak ) Secure Access ESA Keycloak on avoimen lähdekoodin sovellus, joka tarjoaa todennuspalveluita.
Matrix42 on muokannut sitä seuraavasti:
- Kirjautumisnäytöt korvataan
- Mukautetut todentajat mahdollistavat pääsyn Matrix42 Core , Pro and IGA ratkaisuihin.
Secure Access sisältää seuraavat osat:
Apache
Matrix42 Core , Pro and IGA käyttävät Apache HTTP -palvelinta välityspalvelimena kaikille Matrix42 Core , Pro and IGA -ratkaisuille. Kun käyttäjä avaa selaimen ja kirjoittaa Matrix42 Core , Pro and IGA :n tarjoaman ratkaisun URL-osoitteen, pyyntö lähetetään Apache-palvelimelle. Jos pyyntö on valtuutettu (käyttäjä on syöttänyt tunnistetietonsa oikein), se välitetään edelleen Matrix42 Core , Pro and IGA ratkaisulle, jota käyttäjä yrittää käyttää (esimerkiksi: ITSM, ESS, IGA ).
ESA
Secure Access tarjoaa hallintakonsolin, jonka avulla voit määrittää tiettyjä vaatimuksia käyttäjien kirjautumiselle Matrix42 Core , Pro and IGA ratkaisuihin. Hallintakonsolissa voit määrittää, mitä tietoja Pro tarjoajalta (IdP) kerätään ja mitä tietoja lähetetään Matrix42 Core , Pro and IGA -ratkaisuun (esimerkiksi: itsepalvelu, ITSM, IGA jne.).
ESA tietokanta
Secure Access käyttää Postgre SQL -tietokantaa tallentaakseen asiakaskohtaiset kokoonpanot ja yhteenvedon Matrix42 Core , Pro and IGA ratkaisuihin kirjautuneiden käyttäjien tiedoista.
Tietovirrat
Jokaisella Matrix42 Cloud -ympäristön asiakkaalla, olipa kyseessä sitten dedikoitu tai yksityinen ympäristö, on oma dedikoitu Apache HTTP -palvelimensa, joka on konfiguroitu käyttämään Shibbolethia ( https://www.shibboleth.net ) palveluntarjoajanaan. Keycloak toimii todellisen identiteetintarjoajan välityspalvelimena, joka voi olla Azure , AD , OpenLDAP tai vastaava ratkaisu.
Kun käyttäjä kirjoittaa Matrix42 Core , Pro and IGA sovelluksen URL-osoitteen, pyyntö ohjataan asiakkaan Apache HTTP -palvelimelle DNS-merkinnän kautta. Tämä toiminta on sama riippumatta siitä, onko ympäristö käytössä erillisenä vai yksityisenä ympäristönä. Alla oleva kuva näyttää erillisen pilviympäristön, joka on varattu yhdelle tietylle asiakkaalle/vuokralaiselle:
Jokaisen asiakkaan Apache HTTP -palvelin on määritetty ohjaamaan todentamattomat pyynnöt Keycloak ( ESA ), joka käsittelee todennuksen. Todennus tehdään joko:
-
Näyttää oman kirjautumisnäytön
- Tämä tehdään, jos asiakas käyttää AD /LDAP:tä tai jos käyttäjän tunnistetiedot on tallennettu paikallisesti ESM:ään.
- Käyttäjän selaimen uudelleenohjaaminen Azure tarjoamaan kirjautumisnäyttöön.
Jos asiakas käyttää Azure tai AD FS:ää, Keycloak ( ESA ) voidaan määrittää sallimaan kertakirjautuminen (SSO). Tässä tilanteessa käyttäjän ei tarvitse kirjoittaa kirjautumistietojaan uudelleen, jos hän on jo tehnyt sen hyväksytyllä tavalla. Käyttäjä on esimerkiksi käynnistänyt kannettavan tietokoneensa, joka on määritetty todentautumaan Azure / AD FS:n avulla käynnistyksen yhteydessä.
ESA voi sisältää useita eri alueita omilla todennusmenetelmillä. Esimerkiksi sisäiset käyttäjät voivat käyttää omia todennusmenetelmiään ja ulkoiset käyttäjät omiaan.
Valvonta ja lokikirjaus
Seuranta
Secure Access valvotaan Matrix42 keskitetyssä valvontajärjestelmässä. Matrix42 ssa on useita antureita sovellusta kohden, jotta varmistetaan, että jos jossakin Matrix42 Cloud -sovelluksessa ilmenee ongelma, valvontajärjestelmä antaa hälytyksen ja ongelma tutkitaan mahdollisimman pian.
Matrix42 ei tuo mitään asiakastietoja Matrix42 valvontajärjestelmään.
| Anturi | Kuvaus | Toimenpiteet, jos anturi havaitsee ongelman |
| ESA , ESA DB tai Apache | Kaikkia pilvipalvelun komponentteja valvotaan, jotta varmistetaan, että ne toimivat ilman käyttökatkoksia. | Valvontatiketille luodaan yhteys Matrix42 -tukeen. |
| ESA / Keycloak toiminnallisuus (server.log) |
Valvonta noudattaa kahta kaavaa: "aiheutettu" ja "havaitsematon palvelinvirhe". Jos molemmat täyttyvät, hälytys luodaan. |
Valvontatukipyyntö luodaan Matrix42 -tuelle. |
Lokitiedostot
Secure Access luo järjestelmälokin, josta järjestelmänvalvojat voivat löytää yksityiskohtaiset lokitiedostot tarkastustarkoituksiin ja vianmääritykseen.
| Lokitiedosto | Kuvaus | Location | Pääsy |
| säilölokit vuokraaja-esa |
Loki sisältää:
|
Isäntä | Vain ylläpitäjät voivat käyttää tätä lokitiedostoa. Ylläpitäjällä on oltava pääsy isäntäpalvelimelle. |
| keycloak .log | Tämä loki sisältää tietoja epäonnistuneista kirjautumisyrityksistä, todennusvirheistä ja käyttäjien onnistuneista toimista. | Isännän ja ESM:n käyttöliittymä |
Vain ylläpitäjät voivat käyttää tätä lokitiedostoa. Ylläpitäjällä on oltava pääsy isäntäpalvelimen ESA säilöön (hakemistossa keycloak ) tai EPE keycloak liittimiin, joista ESA lokit voidaan ladata ESM-käyttöliittymästä.
|
| sertifikaatin kertaus.loki | Tämä loki sisältää tietoja varmenteen tilasta, virheistä ja toimista. | Isännän ja ESM:n käyttöliittymä | Vain järjestelmänvalvojat voivat käyttää tätä lokitiedostoa. Ylläpitäjällä on oltava pääsy isäntäpalvelimen ESA konttiin tai EPE-liittimiin, joista ESA lokit voidaan ladata ESM-käyttöliittymästä. |
Tuetut todennusmenetelmät
Secure Access avulla voit kirjautua turvallisesti Matrix42 Core , Pro and IGA -ratkaisuihisi useilla eri tavoilla.
Jos organisaatiolla on useita eri Pro (IdP), sen käyttäjät voidaan todentaa eri IdP:illä (esimerkiksi AD ja Entra ID ).
Käyttäjäliitto
Yhdistettyä käyttäjäidentiteettiä käytetään useiden verkkotunnusten tai sovellusten käyttämiseen käyttämällä vain yhtä käyttäjätietojoukkoa. Käyttäjien liittämisen vakiokäytäntönä on, että käyttäjän identiteetti linkitetään useisiin eri identiteetinhallintajärjestelmiin.
On hyvin yleistä, että organisaatiolla on jo käytössä hakemistopalvelu, jota he käyttävät käyttäjä- ja tunnistetietojen (käyttäjätunnus ja salasana) tallentamiseen. Käyttäjäliitto tarjoaa pääsyn ulkoisiin tietokantoihin ja hakemistoihin, kuten LDAP:hen ja Active Directory .
Secure Access voi vahvistaa tunnistetiedot hakemistosta ja hakea käyttäjän henkilöllisyystiedot käyttäjän todentamiseksi Efecte-ratkaisuihin. LDAP on tuettu vaihtoehto.
Kirjautumisvideo
Linkkejä määritysartikkeleihin
Kertakirjautuminen (SSO)
Kertakirjautuminen (SSO) on yleisesti käytetty todennusmenetelmä, ja se tarkoittaa, että käyttäjän ei tarvitse lisätä tunnistetietoja (käyttäjätunnusta ja salasanaa) todennuksen aikana, vaan käyttäjä todennetaan Pro (IdP) saatujen tunnistetietojen avulla, yleensä hakemistosta, kuten Entra ID (aiemmin Azure AD ) .
SSO voidaan teknisesti toteuttaa joko SAML tai OpenID -protokollalla, ja käytettävä protokolla vaihtelee aina asiakkaan IdP:n mukaan.
Esimerkkejä kertakirjautumisessa käytetyistä todennusprotokollista:
AD FS ( Microsoft Active Directory Federation Service) käyttää aina SAML protokollaa.
Entra ID SSO (Microsoft Azure Single-Sign-On) käyttää SAML tai OpenID -protokollaa.
Kirjautumisvideo
Linkkejä määritysartikkeleihin
Asiakkaan ohjeet Entra ID SAML konfigurointiin
Asiakkaan ohjeet Entra ID OpenID -konfigurointiin
Paikallisen käyttäjän kirjautuminen
Secure Access tukee myös ESM:n paikallisia käyttäjiä. Paikallinen käyttäjä on henkilö, jonka tunnistetietoja ei löydy mistään Pro (esimerkiksi AD , Azure AD tai OpenLDAP ).
Paikallisten käyttäjien tiedot on löydettävä asiakkaan käyttämästä Efecte-ratkaisusta. Paikalliset käyttäjät voidaan luoda manuaalisesti Efecte-alustan kokoonpanosta tai paikalliset käyttäjät voidaan luoda työnkulkumoottorin avulla.
Huomaa, että sama logiikka pätee kaikkiin Efecte-alustan päälle rakennettuihin ratkaisuihin.
Kirjautumisvideo
Linkkejä määritysartikkeleihin
Vierailijan pääsy
Secure Access tukee vieraille tarkoitettua pääsyä Efecte Self Service -palveluun.
Efecten kirjautumissivulla käyttäjä valitsee vieraskäyttöoikeuden todennuksen, vieraskäyttäjälle luodaan väliaikaiset tunnistetiedot ja hänet ohjataan Efecten itsepalveluun.
Vieraskäyttäjillä on rajoitettu näkyvyys Efecte Self-Servicen palveluihin ja tietoihin, eivätkä he voi palata Efecte Self-Servicen kautta tekemiinsä pyyntöihin tai raportteihin. Turvallisuussyistä on erittäin suositeltavaa, että käyttäjä suorittaa ReCaptcha-toiminnon, eli vahvistaa, ettei hän ole robotti.
Kirjautumisvideo - ReCAPTCHA-toiminto
Linkkejä määritysartikkeleihin
Anonyymi kirjautuminen
Secure Access -ominaisuutta voidaan käyttää anonyymin kirjautumisen tarjoamiseen. Tämä tarkoittaa, että ennen käyttäjän kirjautumista Efecte Self Serviceen käyttäjälle luodaan satunnaisesti käyttäjätunnus ja salasana. Nämä anonyymit käyttäjät voivat kopioida tunnistetietoja ja käyttää niitä esimerkiksi raporttien tilan tarkistamiseen.
Secure Access tai mikään Efecten ratkaisu ei tallenna käyttäjän tai käyttäjän istunnon tunnistetietoja. Turvallisuussyistä on erittäin suositeltavaa, että käyttäjä suorittaa ReCaptcha-toiminnon, eli vahvistaa, ettei hän ole robotti.
Esimerkiksi: Efecten Whistleblower-ratkaisu käyttää anonyymiä kirjautumisominaisuutta.
Kirjautumisvideo - Efecte Whistleblower
Linkkejä määritysartikkeleihin
Virtuaalitodennus
Secure Access tukee SAML Discovery Serviceä, jota käytetään Virtu-todennukseen.
Virtu on Suomen hallituksen yhteinen kertakirjautumisratkaisu ja Valtion tietoliikennekeskus Valtorin vastuulla, mikä tarkoittaa, että asiakkaan on oltava osa Virtun luottamusverkostoa.
Efecten kirjautumissivulta käyttäjä valitsee käytettävän todennustyypin tai toiminnon. Jos se vaatii Virtu-todennuksen, käyttäjä ohjataan Virtun kirjautumissivulle. Todennuksen jälkeen hänet ohjataan takaisin Secure Access -sivulle, jossa hän voi käyttää Efecten ratkaisuja määriteltyjen käyttöoikeuksien mukaisesti.
Lue lisää Virtusta täältä .
Linkkejä määritysartikkeleihin
HAKA-todennus
Secure Access tukee SAML Discovery Serviceä, jota käytetään HAKA-todennukseen.
HAKA on Suomen yliopistojen, ammattikorkeakoulujen ja tutkimuslaitosten yhteinen kertakirjautumisratkaisu ja siitä vastaa CSC (Tieteen tietotekniikan keskus Oy), mikä tarkoittaa, että asiakkaan on oltava osa HAKA-luottamusverkostoa.
Efecten kirjautumissivulta käyttäjä valitsee käytettävän todennustyypin tai toiminnon. Jos se vaatii HAKA-todennuksen, käyttäjä ohjataan HAKA-kirjautumissivulle. Todennuksen jälkeen hänet ohjataan takaisin Secure Access -sivulle, jossa hän voi käyttää Efecten ratkaisuja määriteltyjen käyttöoikeuksien mukaisesti.
Lue lisää HAKAsta täältä .
Linkkejä määritysartikkeleihin
Google todennus
Secure Access tukee Google todennusta.
Efecten kirjautumissivulta käyttäjä valitsee käytettävän todennustyypin tai toiminnon. Jos se vaatii Google -todennuksen, käyttäjä ohjataan Google kirjautumissivulle. Todennuksen jälkeen hänet ohjataan takaisin Secure Access -sivulle, jossa hän voi käyttää Efecten ratkaisuja määriteltyjen käyttöoikeuksien mukaisesti.
Kirjautumisvideo
Linkkejä määritysartikkeleihin
Okta-todennus
Secure Access tukee SAML -protokollaa, jota käytetään Okta-todennuksessa.
Okta on turvallinen identiteettipilvi, joka yhdistää kaikki sovelluksesi, kirjautumisesi ja laitteesi yhtenäiseksi digitaaliseksi rakenteeksi.
Efecten kirjautumissivulta käyttäjä valitsee käytettävän todennustyypin tai toiminnon. Jos se vaatii Okta-todennuksen, käyttäjä ohjataan Okta-kirjautumissivulle. Todennuksen jälkeen hänet ohjataan takaisin Secure Access -sivulle, jossa hän voi käyttää Efecten ratkaisuja määriteltyjen käyttöoikeuksien mukaisesti.
Kirjautumisvideo
Linkkejä määritysartikkeleihin
Keycloak
Secure Access tukee OpenID -protokollaa, jota käytetään Keycloak todennukseen. Keycloak on avoimen lähdekoodin ohjelmistoratkaisu, joka on suunniteltu tarjoamaan kertakirjautumisen sovelluksiin ja palveluihin. Sen avulla käyttäjät voivat todentaa itsensä kerran ja käyttää useita sovelluksia ilman, että heidän tarvitsee antaa tunnistetietojaan uudelleen.
Efecten kirjautumissivulta käyttäjä valitsee käytettävän todennustyypin tai toiminnon. Jos se vaatii Keycloak todennuksen, käyttäjä ohjataan Keycloak kirjautumissivulle. Todennuksen jälkeen hänet ohjataan takaisin Secure Access -sivulle, jossa hän voi käyttää Efecten ratkaisuja määriteltyjen käyttöoikeuksien mukaisesti.
Linkkejä määritysartikkeleihin
Tuetut vahvat todennusmenetelmät
Vahva todennus on yhdistelmä erilaisia todennusmenetelmiä, ja se voidaan saavuttaa, kun ennalta määritellyt periaatteet täyttyvät (lue lisää kohdasta ”mitä vahva todennus on”). Secure Access tukee erilaisia vahvoja todennuksia, ja niitä voidaan yhdistää mihin tahansa muuhun tuettuun todennusmenetelmään.
Mitä on vahva todennus?
Vahva todennus on määritelmä, joka saavutetaan, kun kaksi (2) seuraavista kolmesta (3) periaatteesta täyttyy todennuksen aikana,
- Jokin, mitä sinulla on (esimerkiksi matkapuhelin)
- Jotain, jonka tiedät (esimerkiksi käyttäjätunnus ja salasana)
- Jokin, joka olet (esimerkiksi sormenjälki)
Nykyään yleisin vahva todennus sisältää,
- Jotain, jonka tiedät (käyttäjätunnus ja salasana)
- Jotain, joka sinulla on (mobiililaitteen kertakäyttöinen salasana)
Periaatteet erottavat vahvan todennuksen kaksivaiheisesta todennuksesta (2FA) ja monivaiheisesta todennuksesta. Nämä vaativat vain vähintään kahden todennusmenetelmän käyttöä, mutta ne voivat perustua samaan periaatteeseen, mikä tarkoittaa, että 2FA tai MFA eivät välttämättä ole vahvaa todennusta.
Seuraavaa esimerkkiä voidaan kutsua MFA:ksi tai 2FA:ksi, mutta ei vahvaksi todennukseksi,
- Jotain, jonka tiedät (käyttäjätunnus ja salasana)
- Jotain, minkä tiedät (vastauksia turvakysymyksiin)
Kertakäyttöinen salasana (tekstiviesti / sähköposti)
Kertakäyttöinen salasana (OTP) voi olla osa todennusta, ja se tarkoittaa, että kertakäyttöinen salasana lähetetään käyttäjälle sähköpostitse tai tekstiviestillä (lähetetään käyttäjän matkapuhelimeen).
Joissakin tapauksissa riittää, että syötät vain kertakäyttöisen salasanan, mutta jos asiakas pyrkii vahvaan todennukseen, on suositeltavaa pyytää käyttäjää antamaan esimerkiksi tunnistetiedot (käyttäjätunnus ja salasana) myös todennusta varten.
Kertakäyttöisen salasanan toiminnallisuus tarjotaan kaikissa Signicat palveluissa, mikä tarkoittaa, että he ovat Efecten kumppani, jonka teknologiaa todennuksessa käytetään.
Kertakäyttöinen salasana (todennussovellukset)
Secure Access tukee kertakäyttöistä kooditodennusta, joka on väliaikaista salasanaa, jonka on luonut todennussovellus, kuten Google Authenticator tai FreeOTP.
Kun kertakäyttöinen salasana (todennussovellusta käyttäen) on määritetty ja käyttäjä on antanut tunnistetietonsa (käyttäjätunnus ja salasana), Secure Access pyytää käyttäjää antamaan joko Google Authenticatorin tai FreeOTP:n luoman salasanan. Huomaa, että todennussovellus on asennettava käyttäjän matkapuhelimeen.
Linkkejä määritysartikkeleihin
Pankkitunnuksen todennus
Pankkitunnusten avulla tapahtuva todennus on aina vahvaa todennusta, ja se tarkoittaa, että käyttäjä käyttää henkilökohtaisia pankkitunnuksiaan (pankin tai viranomaisen toimittamia) todentaakseen itsensä itsepalvelu- tai Efecte-ratkaisuihin.
Se on yleinen todennusmenetelmä erityisesti Skandinavian maissa, mutta se yleistyy yhä enemmän myös muissa Euroopan maissa. Jos tarvitset pankkitunnuksella tehtävää todennusta Suomen tai Ruotsin ulkopuolella, ota yhteyttä Efecteen saadaksesi lisätietoja.
Pankkitunnusten todennus tehdään maakohtaisten protokollien avulla ja Secure Access käyttää Signicat palveluita identiteettivälittäjänä pankkien ja Secure Access välillä. Tällä hetkellä pankkitunnusten todennusta tuetaan Suomessa ja Ruotsissa.
Suomi:
Suomessa pankkitunnusten avulla tapahtuvaa todennusta käyttävät yleisimmin yksityisen sektorin yritykset ja tilanteissa, joissa valtion organisaatiot eivät jostain syystä pysty käyttämään suomi.fi-todennusta.
Ruotsi:
Ruotsissa pankkitunnistautumista käytetään yleisesti sekä valtion että yksityisen sektorin organisaatioissa.
Suomi.fi-tunnistautuminen
Suomi.fi-tunnistautuminen on samankaltainen kuin pankkitunnusten käyttö, mutta ainoa ero on, että suomi.fi-palvelua voivat käyttää vain Suomen valtion organisaatiot. Voit tunnistautua palveluissa suomalaisilla verkkopankkitunnuksilla, mobiilivarmennekortilla tai varmennekortilla.
Secure Access käyttää Signicat -palveluita identiteetinvälittäjänä suomi.fi-palvelun ja Secure Access välissä.
Lue lisää suomi.fi-tunnistautumisesta täältä .
Käytetyt todennusprotokollat
Todennusprotokolla tarkoittaa teknistä ominaisuutta, jota käytetään vaaditun todennusmenetelmän saavuttamiseksi. Jotkut todennusmenetelmät eivät vaadi todennusprotokollaa, vaan ne käyttävät https-pyyntöjä, algoritmeja jne. Nämä kaikki on kuvattu erikseen menetelmäkuvauksessa.
SAML 2.0
SAML on protokolla, joka on suunniteltu todennus- ja valtuutustietojen vaihtamiseen suojausalueiden välillä.
Secure Access tukee käyttäjän todennusta, jonka suorittaa Pro (IdP), esimerkiksi Entra ID , SAML 2.0 -liittimen/sovittimen avulla.
SAML lähettää vaatimukset XML SAML -muodossa. Tätä muotoa käytetään yleisimmin auttamaan useita sovelluksia käyttäviä organisaatioita tarjoamaan loppukäyttäjilleen yhden kirjautumisen.
Valitse OpenID -protokolla, kun se on mahdollista
SAML on vanhempi protokolla, ja monet muut sovellustoimittajat ovat lopettamassa SAML tuen ja siirtymässä kohti OpenID -protokollaa. Secure Access tukee molempia protokollia, ja Efecte suosittelee validoimaan näiden kahden menetelmän väliset ominaisuudet. Jos mikään ominaisuuksista ei puhu SAML n puolesta, suosittelemme OpenID käyttöä.
Linkkejä määritysartikkeleihin
Määritä: ESA M SAML -todennus
ESA - Asiakkaan ohjeet Entra ID -konfiguraatioon SAML muodossa
OpenID Connect ja OAuth 2.0
OAuth 2.0 ja OpenID Connect (OAuth 2.0 -protokollan laajennus) mahdollistavat organisaatioille loppukäyttäjän henkilöllisyyden varmentamisen valtuutuspalvelimen suorittaman todennuksen perusteella sekä loppukäyttäjän perusprofiilitietojen hankkimisen.
Secure Access tukee käyttäjän todennusta, jonka suorittaa Pro (IdP), esimerkiksi Entra ID , OpenID Connect -liittimen/sovittimen avulla.
OpenID Connect on rakennettu OAuth-protokollan päälle ja se lähettää väitteitä JSON Web Token (JWT) -muodossa. Sitä käytetään yleisesti esimerkiksi pilvipohjaisten Pro , kuluttajaverkkosivustojen ja mobiilisovellusten kanssa.
Valitse OpenID -protokolla, kun se on mahdollista
SAML on vanhempi protokolla, ja monet muut sovellustoimittajat ovat lopettamassa SAML tuen ja siirtymässä kohti OpenID -protokollaa. Secure Access tukee molempia protokollia, ja Efecte suosittelee validoimaan näiden kahden menetelmän väliset ominaisuudet. Jos mikään ominaisuuksista ei puhu SAML n puolesta, suosittelemme OpenID käyttöä.
Lue lisää SAML ja OpenID n eroista täältä.
Linkkejä määritysartikkeleihin
Määritä: ESA Azure AD SSO
ESA - Asiakkaan ohjeet Entra ID OpenID -konfigurointiin
SAML etsintäpalvelu
SAML Discovery Service -protokollaa käytetään HAKA- ja Virtu-todennukseen Secure Access , mutta sitä käytetään yleisesti myös esimerkiksi yliopistoissa.
Linkkejä määritysartikkeleihin
Suomen luottamusverkosto (FTN)
Finnish Trust Network -protokollaa käytetään todennuksessa suomalaisilla pankkitunnuksilla ja suomi.fi-todennuksessa. Sen käyttö on pakollista ja lisätietoja löytyy täältä .
Ruotsalainen pankkitunnus
Ruotsalaista BankID-todennusta käytetään, kun todennus tehdään ruotsalaisella kansallisella henkilötunnuksella (personnummer).
Muut toiminnot
On hyvä tietää, että jotkin näistä toiminnoista ovat oletuksena käytössä kaikissa Secure Access -kokoonpanoissa ja jotkin niistä voidaan ottaa käyttöön tarvittaessa.
Suojaus raa'alta voimalta hyökkäyksiltä
Raa'an voiman hyökkäys yrittää arvata käyttäjän salasanan yrittämällä kirjautua sisään useita kertoja. Secure Access on raa'an voiman tunnistusominaisuudet ja se voi tilapäisesti poistaa käyttäjätilin käytöstä, jos kirjautumisvirheiden määrä ylittää määritetyn kynnyksen.
Ottamalla käyttöön raa'an voiman tunnistuksen (oletusarvoisesti käytössä), voimme estää hyökkääjiä väliaikaisesti murtautumasta järjestelmään. Kun käyttäjä on väliaikaisesti lukittuna ja yrittää kirjautua sisään, Secure Access näyttää oletusarvoisen virheellisen käyttäjätunnuksen tai salasanan virheilmoituksen varmistaakseen, ettei hyökkääjä tiedä tilin käytöstä poistamisesta.
Linkkejä määritysartikkeleihin
Klikkauskaappaussuoja
Klikkauskaappaussuoja estää hyökkääjää upottamasta verkkosivua iframe-kehykseen ja huijaamasta käyttäjää napsauttamaan piilotettuja tai naamioituja painikkeita tai linkkejä.
Oletusarvoisesti klikkaustenkaappaussuoja on käytössä.
Evästekäytäntö
Asiakas voi ottaa evästekäytännöt käyttöön kirjautumisprosessissaan. Tämä tarkoittaa, että verkkosivuston kävijöille tiedotetaan siitä, mitä käyttäjätietoja evästeet seuraavat, miksi tietoja seurataan ja minne ne lähetetään.
Linkkejä määritysartikkeleihin
Käyttäjän suostumus
Asiakas voi ottaa käyttöön käyttäjän suostumuksen kirjautumisprosessissaan, mikä tarkoittaa, että verkkosivuston käyttäjät antavat luvan hankkia, käyttää ja käsitellä tietojaan evästeiden avulla. Kun käyttäjä on antanut tunnistetietonsa, ESA näyttää ponnahdusikkunan, jossa tunnistetaan kirjautumista pyytävä asiakas ja mitä henkilöllisyystietoja käyttäjältä pyydetään. Käyttäjä voi päättää, hyväksyykö hän pyynnön vai ei.
Linkkejä määritysartikkeleihin
Table of Contents