Безопасно и удобно: сквозная авторизация сотрудников на корпоративном портале

Создание корпоративного портала всегда ставит задачу безопасного доступа сотрудников к информации и его интеграцию с различными сервисами: CRM-системой, таск-трекером, внутренним чатом и т.д. 

Single Sign-On (SSO) — технология аутентификации пользователя, позволяющая входить в систему и сервисы через единую точку авторизации с одной и той же парой логин-пароль вне зависимости от сервиса или страницы компании. Вместо многократного ввода логинов и паролей сотруднику достаточно войти в систему один раз и получить свободный доступ ко всем остальным корпоративным сервисам. Это как если вы заходите в свой аккаунт Google и сразу получаете доступ ко всем сервисам его экосистемы: Gmail, YouTube, Meet и т.д.

Преимущества SSO:

Для сотрудников:

1. Удобство и экономия времени

Не нужно держать в голове кучу паролей и отвлекаться на вход в разные системы. 

Для компании:

1. Безопасность

Технология единого входа более безопасна, чем традиционные системы аутентификации. Централизованное управление учётными записями значительно снижает риск утечки данных, а значит, предотвращает возможный репутационный ущерб и экономические потери. 

Технология SSO даёт возможность логирования и мониторинга — ведения журнала со списком авторизаций в системе и отслеживания подозрительных попыток авторизации.

1. Легче управлять данными 

SSO сильно упрощает работу с учётными записями, особенно если в компании работают сотни и тысячи человек. IT-специалисту не придётся вручную контролировать все аккаунты — SSO автоматизирует эти процессы. Участие человека требуется только при создании аккаунта и изменении данных.

Особенности SSO, которые важно учесть при внедрении:

1. Настройка SSO требует значительно больше времени и ресурсов, чем стандартная аутентификация по логину и паролю. Лучше обратиться к специалистам. 

1. Система отличается жёсткой централизацией, поэтому в случае взлома одного аккаунта есть риск, что хакер получит доступ ко всем корпоративным данным. Поэтому помимо установки сверхнадёжных паролей необходимо предпринять дополнительные меры безопасности —  внедрить многофакторную аутентификацию. 

Дополнительный уровень безопасности

Аутентификация с помощью пароля может подвергнуть опасности корпоративные данные в следующих ситуациях:

1. Если сотрудники используют простые пароли или один и тот же для нескольких учётных записей.
2. При удалённой работе сотрудников, поскольку есть возможность получить доступ к данным с любых устройств, в том числе неконтролируемых.
3. Если на корпоративном ресурсе не включена блокировка доступа после заданного количества попыток войти с неверным паролем. Такие системы и сервисы уязвимы к различным методам подбора паролей.

Все эти риски может предупредить многофакторная аутентификация (MFA). В отличие от аутентификации с помощью пароля это более надёжный способ проверки пользователя, т.к. он добавляет дополнительные уровни безопасности (факторы аутентификации). 

Различают три типа таких факторов:

1. Известные пользователю данные: пароль, PIN-код, ответ на контрольный вопрос.
2. Устройство пользователя (например, мобильный, планшет), на которое приходит одноразовый пароль в виде SMS, e-mail или Push-уведомлений.
3. Биометрические данные пользователя: отпечаток пальца, радужная оболочка глаза, лицо, голос.

Для MFA используются факторы минимум из двух категорий. Например, помимо ввода логина и пароля вы должны ввести присланный на телефон временный одноразовый код. Он генерируется с помощью специальных приложений, например, Microsoft Authenticator, Google Authenticator, «Яндекс Ключ» и др. При этом код обновляется каждые 30 секунд, что обеспечивает дополнительную защиту от киберпреступников.

Пример из практики

В прошлом году мы разработали корпоративный портал для крупной известной компания из сферы FMCG, которая развивает несколько направлений и имеет множество брендов. На портале собрана обширная база знаний для 5000+ сотрудников: статьи, видео, таблицы, диаграммы и т.д. В качестве CMS выбрали Wordpress, как одну из самых удобных платформ для работы с контентом, которая не требует от клиента значительного времени на изучение.

Через некоторое время после запуска портала один из департаментов компании захотел подключить к нему свою новую мотивационную программу. Нам предстояло сделать личный кабинет для 2500 сотрудников с элементами геймификации: начислением баллов, призами и рейтингом победителей. Для разработки выбрали фреймворк Yii2 (Yes it is 2), который уже успешно использовали на подобных проектах.

Чтобы сотрудники, участвовавшие в мотивационной программе, могли автоматически получать доступ к своему личному кабинету при входе на корпоративный портал, мы использовали технологию сквозной аутентификации. Так мы объединили две разные платформы в единую внутреннюю систему. Для усиления безопасности внедрили двухфакторную аутентификацию. Сотрудник вводит свои учётные данные и одноразовый код при входе на портал, система распознаёт, участвует ли он в мотивационной программе, и выводит ему соответствующий интерфейс — с кнопкой «Личный кабинет» или без. 

Единый вход с помощью SSO вместе с многофакторной аутентификацией — эффективное сочетание инструментов для обеспечения безопасности корпоративного портала и упрощения работы сотрудников. Если вам потребуется помощь в создании или развитии корпоративного портала, напишите нам на почту request@convergent.digital. Будем рады вам помочь.