Autentisering og autorisasjon illustrasjon

Autentisering og autorisasjon

Sikkerhet og brukervennlighet har vært to motpoler i tradisjonell IT. Sikre systemer har gjerne krevd at brukeren er logget på fra en spesiell arbeidsstasjon, og gjerne bak en låst dør.

 



Enkel tilgang til interne systemer

Brukerne fortjener en enkel hverdag, med enklest mulig autentisering av seg selv ovenfor de forskjellige IT-systemene. Hvis vi som programvareleverandør feiler på dette, resulterer det i kreative løsninger fra brukere som svekker sikkerheten og systemet blir mer utsatt enn IT-avdelingen kanskje er klar over. De siste årene har det som følge av kreative brukere skjedd mye rundt autentisering. Autentisering er å vite hvem den enkelte brukeren er, sikkerhetsmekanismene som blir brukt sier noe om hvor sikker du kan være på at den enkelte bruker faktisk er den den utgir seg for å være.

 

Single sign-on

Single sign on har vært vanlig i bedrifter i lang tid. Ofte har dette vært knyttet til den enkelte arbeidsstasjonen og Active Directory med eller uten kerbrose. Målet har vært, og er at brukere skal komme på jobb, logge på og ha tilgang til alt av bedriftens IT-systemer. I en moderne verden har brukere begynt å jobbe hjemmefra, fra hytten og på toget til jobb. Brukerne forventer Single sign-on også utenfor kontoret. Single sign-on har også blitt mer og mer vanlig på ulike nettsider. En klassisk nettbutikk eller et forum kan miste mange brukere dersom de må opprette en egen profil. Hvis brukerne i tillegg må huske et eget passord for å komme inn er det stor fare for at de aldri returnerer til nettsiden.

Vanskeligere blir det når arbeidsgiver og bruker ønsker å skille privat og jobb profilen på nett. Visma som leverandør av både offentlige nettsider og virksomhetskritiske forretningssystemer har lang erfaring knyttet til valg av teknologiske løsninger med ulik grad av sikkerhet og brukervennlighet. Det er ikke sånn at alt er bedre, det er ikke nødvendigvis bra å kunne bruke både Google og Buypass til å logge på samme sted. Enkelte brukergrupper vil anse Google som en privat identitet, mens andre anser Buypass som privat. Dette er avhengig av hvilke autentiseringsløsninger som er valgt i andre systemer brukeren benytter.

 

På arbeidsplassen

Active Directory Federation Services (AD FS) og Azure Active Directory (AAD) er løsninger som tilrettelegger for moderne identitetshåndtering med Single Sign-on. En bruker autentiserer seg en gang og det skapes en identitet for brukeren som sendes med brukeren til de ulike applikasjonene. På arbeidsplasser knyttes AD FS/AAD mot eksisterende Acitve Directory og brukerne flyttes fra tradisjonell NTLM autentisering til federert autentisering. Microsoft har basert AD FS og AAD på kjente design prinsipper for å skape brukervennlige og sikre autentiseringsløsninger. Dette kan du lese mer om på Microsoft sine sider. Visma har spisskompetanse på AD FS både for interne og ekstern bruk med ulike sikkerhetsmekanismer:

  • Tradisjonell brukernavn passord løsning
  • Sertifikat med og uten smartkort
  • To faktor med SMS, e-post eller tilsvarende

De ulike sikkerhetsmekanismene har forskjellige egenskaper og det bør vurderes hva som er best egnet for hver enkelt applikasjon. For en virksomhet kan enkelte systemer være mer kritiske enn andre, og det bør da kreves høyere grad av sikkerhet til systemer med virksomhetskritiske data.

Med Windows 10 og Active Directory 2015 ble også autentisering fornyet til en moderne plattform. Brukere gis kun tilgang til enkelt ressurser på et system så lenge de har behov for tilgangen. Dette er et stor skifte i forhold til tidligere hvor brukere alltid hadde med seg alle tilganger uavhengig av behovet. Det er nå mulig å etablere egne portaler der enten en annen person må godkjenne tilgang til bestemte ressurser, eller at tilgangen må begrunnes. For eksempel tilgang til forretningskritiske data må attesteres av nærmeste leder, og tilgangen gis kun for noen timer. Mulighetene er mange og Visma viser vei for å finne best mulig løsning.

 

Eksterne brukere på nettsider

Microsoft sitt .NET rammeverk har god støtte for bruk av tredjeparts løsninger til autentisering. I skreddersydde løsninger kan standardfunksjonalitet for autentisering hos Google, Microsoft, Twitter, Facebook og mange andre benyttes. Dette gjør at brukere som alt har en konto hos en av de valgte tredjepartene kan autentisere seg overfor nettportalen. Flere av tredjeparts-løsningene har støtte for to-faktor autentisering. Flere av tredjepartene tilbyr også enkle personalia, dette gjør det mulig å bygge en enkel profil på den enkelte bruker. Autorisasjon i systemet krever egen håndtering dersom det er ulike deler som er rettighetsstyrt.

 

Eksterne og interne brukere på nettsider

I en samarbeidsportal, eller et CMS hvor det er mange interne aktører/redaktører er det ofte ønskelig at brukere fra virksomheten og samarbeidende virksomheter kommer rett inn fra sitt arbeidsnettverk, mens eksterne autentiserer seg hos en tredjepart som Google.

Forskjellige autentiseringsløsninger er et vanlig scenario som løses godt igjennom AD FS eller AAD. Federering blir satt opp mellom virksomhetene og eksterne brukere blir sendt til Google for autentisering. Dette gjør at brukere fra virksomhetene kommer inn på lik linje med øvrige IT-systemer, mens eksterne brukere blir sendt til en tredjepart for autentisering.  Bruker som alt er innlogget hos tredjeparten, noe de fleste nettbrukere er, så slipper de å logge inn på nytt. Dette gjør terskelen for å logge inn lav og det oppnås bedre bruksstatistikk på nettsiden.

 

ID-Porten for Offentlige virksomheter

Visma har god erfaring med bruk av ID-Porten som autentiseringsløsning. Dette gjøres sømløst igjennom AD FS for eksterne brukere, mens interne brukere fortsatt kan logge på med sin vanlige kontorbruker. ID-Porten er en veldig god autentiseringsløsning da den har høy grad av sikkerhet og det er mulig å vite hvem den enkelte bruker er. For brukere er det en fordel at alle offentlige bruker samme autentiseringspart, da det bare blir en bruker identitet å huske på.

               

Ledige stillinger illustrasjon

Jobb hos oss?

Enten du er erfaren konsulent og på leting etter noe nytt, eller nyutdannet og klar for å starte din karriere som konsulent, kan det lønne seg å holde øye med våre utlysninger. Konsulentenheten i Visma består pr i dag av ca 150 nyskapende kvinner og menn. I årene som kommer skal vi vokse enda mer. Vi rekrutterer 15-20 nyutdannede hvert år, og ansetter i tillegg dyktige mennesker med erfaring fra IT- og konsulentbransjen.

Ledige stillinger

Trenger du hjelp?

Send oss en beskjed så tar vi kontakt med deg.

Portrett av en visma konsulting

Portrett av en visma konsulting