Autentifikácia používateľa – modul IAM (Identity Access Management)

Modul IAM overuje v prostredí ÚPVS identitu používateľa a odovzdáva identifikačné údaje (federáciu identity) ostatným zapojeným systémom. Výhodou použitia jediného prihlásenia je to, že používateľ môže prechádzať celým prostredím na poskytovanie služieb bez nutnosti znova zadávať svoje identifikačné údaje. Je úplne jedno, v ktorom systéme svoje prihlásenie realizuje, žiadny ďalší systém už nepožaduje jeho ďalšiu identifikáciu.

Modul IAM funguje na princípe Single Sign-On (SSO), čo znamená „jediné prihlásenie sa“. Používateľ sa prihlási, čim uvedie svoju totožnosť, iba raz. Prístup k službám je mu na základe nastavených oprávnení umožnený alebo odopretý bez nutnosti ďalšieho absolvovania identifikačnej procedúry pri každej ďalšej službe.

V module IAM sú implementované všetky potrebné autentifikačné spôsoby (používateľské meno a heslo, mobil, ID card, HW token). Modul IAM poskytuje funkcionalitu správy identít, autentifikačných údajov a splnomocnení. Modul IAM zabezpečuje všetky potrebné funkcie v oblasti riadenia životného cyklu identít, autentifikácie, federácie a provisioningu identít ako aj správu prístupových práv riadenia prístupu k službám a modulom ÚPVS.

Identitou je:

• Fyzická osoba (občan)
• Právnická osoba
• Oprávnený používateľ verejnej moci
• Informačný systém verejnej správy

Základné služby modulu IAM

• Správa identít, profilov, rolí a autentifikačných prostriedkov
• SingleS sign-on a federácia identity
• Provisioning
• Monitorovanie a audit

Úlohou centrálneho systém správy identít (Identity and Access management) je zjednodušiť prístup občanov k službám jednotlivých ISVS. Mal by zabezpečovať nasledovnú funkcionalitu:

• Jednotné vytvorenie používateľského účtu – registrácia.

Občan alebo podnikateľ má automaticky vytvorené používateľské konto len na jednom mieste a ISVS poskytovateľov služieb priraďujú používateľovi prístup prostredníctvom takto vytvorenej a spravovanej identity. Správa používateľských účtov ako aj ich autentifikácia je vykonávaná na jednom mieste, čo šetrí prostriedky potrebné pre čiastkové riešenia v jednotlivých ISVS a zároveň umožní uplatniť jednotnú bezpečnostnú politiku. Identita fyzickej osoby je overovaná prostredníctvom eID karty, identita právnickej osoby prostredníctvom eID karty zastupujúcej oprávnenej fyzickej osoby. V prípade zamestnancov VS je možné v špecifických prípadoch aj overenie prostredníctvom GRID karty, vydanej na tieto účely. Podporovaná je aj autentifikácia menom a heslom pre prípady, kedy nie je podstatná autenticita prihlásenej osoby.

• Jednotná správa údajov používateľského účtu – personalizácia.

Používateľ si spravuje svoje údaje na jednom mieste, takže napr. pri zmene kontaktných informácií (telefónne číslo, email, apod.) nie je nútený vykonávať zmenu opakovane v každom ISVS.

• Jednotná autentifikácia požívateľov pri používaní portálov verejnej správy – SSO.

Princíp jediného prihlásenia sa umožní, aby sa používateľ po autentifikácii na jeden z portálov verejnej správy pri prechode na iný portál verejnej správy nemusel opätovne prihlasovať. Každý z portálov verejnej správy, ktorý bude vyžadovať autentifikáciu používateľa, bude poskytovať funkcionalitu autentifikácie sprostredkovávanú z centrálneho IAM modulu. V prípade, že sa používateľ už autentifikoval v inom portáli (ÚPVS, iný portál verejnej správy), ktorý ho presmeroval na daný portál, budú jeho autentifikačné údaje prenesené automaticky. Takže klient nebude nútený sa do systému opätovne prihlasovať. Bude tým uplatnený princíp SSO. Bude existovať viacero úrovní zabezpečenia.

Pre komunikáciu medzi IAM modulom a zapojenými ISVS sa využíva protokol SAML verzie 2.0. SAML 2.0 je otvorený štandard založený na XML, používaný pre zabezpečenie federovaného web-SSO. V prostredí eGovernmentu bude centrálny IAM modul jediný, ktorý bude oprávnený vykonávať overenie identity používateľov. V komunikačnej infraštruktúre SAML sa takýto uzol označuje pojmom Identity Provider (IdP). Ostatné ISVS budú v úlohe Service Provider (SP). To umožní dodržiavať jednotnú bezpečnostnú politiku.

IAM poskytuje viacero možností autentifikácie pre overenie identity používateľa, s rôznou úrovňou zabezpečenia. V zásade môžeme rozlíšiť mechanizmy pre zabezpečenie slabej autentifikácie (používateľské meno a heslo) a silnej autentifikácie (EP, mobil, HW token, eID). Jednotlivé služby ISVS v rámci Web SSO môžu požadovať autentifikáciu používateľa na konkrétnu úroveň zabezpečenia. Pre potreby slabej autentifikácie bude správa hesiel súčasťou správy používateľov. Ostatné autentifikačné mechanizmy môžu byť zabezpečené aj inými poskytovateľmi služby autentifikácie a IAM modul si od nich vyžiada overenie identity.

IAM poskytuje viacero možností autentifikácie pre overenie identity používateľa, s rôznou úrovňou zabezpečenia. V zásade môžeme rozlíšiť mechanizmy pre zabezpečenie slabej autentifikácie (používateľské meno a heslo) a silnej autentifikácie (EP, mobil, HW token, eID). Jednotlivé služby ISVS v rámci Web SSO môžu požadovať autentifikáciu používateľa na konkrétnu úroveň zabezpečenia. Pre potreby slabej autentifikácie bude správa hesiel súčasťou správy používateľov. Ostatné autentifikačné mechanizmy môžu byť zabezpečené aj inými poskytovateľmi služby autentifikácie a IAM modul si od nich vyžiada overenie identity.

Modul poskytuje funkcionalitu pre centrálnu správu používateľov (identít). Každý občan po vytvorení používateľ konta môže spravovať svoje kontaktné informácie centrálne na jednom mieste prostredníctvom jednoduchého používateľského rozhrania.

Pre potreby autentifikácie prístupovým menom a heslom IAM modul zabezpečí funkcionalitu automatického vytvorenia nového prístupového hesla (funkcionalita „Zabudol som heslo“).

Modul umožní identite delegovať oprávnenia na používanie služieb IISVS vo svojom mene na inú osobu. Modul automaticky nastaví splnomocnenie právnickej osoby na fyzickú osobu určenú vopred definovaným spôsobom (osoba určená zo zákona, v prípade obchodnej spoločnosti konateľ).