Wyzwania Użytkownicy bankowości elektronicznej mają coraz większe wymagania odnośnie funkcjonalności oraz dostępności usług, co pociąga za sobą konieczność uatrakcyjniania oferty dla rozwijających się aplikacji internetowych i mobilnych. W obliczu tych zmian operatorzy serwisów stają przed wyzwaniem zapewnienia zaufanych i bezpiecznych mechanizmów uwierzytelniania i autoryzacji, które równocześnie muszą być zdywersyfikowane i elastyczne. Innym czynnikiem są coraz częstsze przypadki łamania konkretnych metod uwierzytelniania sankcjonujące szybkie wprowadzanie zmian oraz dostosowywanie metod do ryzyka transakcji. W rezultacie, organizacje bez nowoczesnej platformy, chcące świadczyć innowacyjne serwisy często zmuszone są do budowania serwisów uwierzytelniających dla każdej aplikacji oddzielnie, z dedykowaną, nową metodą uwierzytelniania pracującą w swoim własnym silosie. Takie podejście obniża bezpieczeństwo, podnosi koszty utrzymania i utrudnia rozwój wielokanałowych platform serwisowych. Rozwiązanie ActivID Authentication Server (AS) jest unikalną i kompletną platformą umożliwiającą organizacjom świadczącym usługi elektronicznie takim jak instytucje finansowe czy operatorzy serwisów wprowadzenie jednolitej warstwy uwierzytelniania we wszystkich kanałach świadczenia usług. Serwer implementowany, jako oprogramowanie lub w formie appliance, został zaprojektowany jako uniwersalna platforma usług uwierzytelniania, z myślą o wielu liniach biznesowych, różnych kanałach świadczenia usług, oraz o populacjach osiągających nawet miliony użytkowników. Platforma pozwala na separację i segregację zbiorów danych i serwisów administracyjnych, w taki sposób, aby w dużych organizacjach ta sama instancja serwera mogła być wykorzystywana przez różne linie biznesowe.
ActivID Authentication Server umożliwia dopasowanie różnych metod uwierzytelniania (hasła statyczne, pytania bezpieczeństwa, hasła jednorazowe OTP, PKI, etc) oraz urządzenia uwierzytelniającego (np. token sprzętowy lub programowy, klucz USB, karta PKI, SMS, etc) do konkretnych populacji użytkowników, ich preferencji i do poziomów ryzyka. Dzięki otwartej i rozszerzalnej platformie dostępnej przez Web Services API, dołączanie nowych metod uwierzytelniania jest proste i nie wpływa na aplikacje biznesowe. Korzystając z takich narzędzi organizacje mogą szybko reagować na nowe ataki, sprawniej realizować ewolucję serwisów oraz adresować nieustannie zmieniające się preferencje użytkowników końcowych. Charakterystyka ActivID Authentication Server oferuje możliwość kontekstowego uwierzytelniania w zależności od kanału dystrybucji usług, przez który użytkownik dociera do instytucji. Cecha ta pozwala różnym portalom webowym, centrom kontaktowym, bankowości mobilnej, itp., korzystać ze wspólnej platformy uwierzytelniania do weryfikacji tożsamości użytkowników, abstrahując jednocześnie od konkretnej metody uwierzytelniania. ActivID Authentication Server charakteryzują następujące funkcje: - Wsparcie uwierzytelniania zarówno użytkowników jak i transakcji; - Szeroki wybór metod uwierzytelniania opartych o otwarte standardy (tj. OATH, PKI, EMV), oraz o standardy własne (algorytm ActivIdentity generujący hasła jednorazowe w oparciu o 3 zmienne); - Wsparcie tokenów sprzętowych i programowych, kart inteligentnych, DisplayCard, kluczy USB, oraz SMS i Email (uwierzytelnianie autonomiczne, ang. Out-Of-Band - OOB); - Możliwość dobudowy nowych metod uwierzytelniania poprzez rozszerzalną platformę; - Zarządzanie cyklem życia urządzeń uwierzytelniających (tokeny) oraz poręczeń użytkowników (hasła, etc); - Konfiguracja polityk dla haseł statycznych oraz pytań bezpieczeństwa; - Centralny serwis audytu, śledzący transakcje i zdarzenia występujące w wielu kanałach dystrybucji usług pozwala utrzymać zgodność z zaleceniami i normami, jednocześnie ujawniając wszelkie zmiany (tamper evident); - Granularny system nadawania praw, tworzenia ról i przydzielania metod uwierzytelniania do konkretnych kanałów serwisowych; - Wykorzystanie sprzętowych modułów bezpieczeństwa, HSM (Hardware Security Module), do ochrony krytycznych danych użytkowników oraz do zapewnienia niezaprzeczalności audytu; - Wysoce skalowalna architektura; - Uniwersalna warstwa abstrakcji z bogatymi narzędziami programistycznymi, umożliwiającymi integrację na korporacyjnej szynie usług (Enterprise Service Bus).
Wdrożenie ActivID Authentication Server może być wdrażany jako oprogramowanie instalowane na systemie operacyjnym i pracujące pod kontrolą serwera aplikacyjnego lub jako appliance zarówno sprzętowy jak i wirtualny. Serwer może być przygotowany do pracy w konfiguracji redundantnej. Integracja serwisów serwera ActivID Authentication Server z aplikacjami biznesowymi odbywa się przy pomocy narzędzi programistycznych API (Web Services, SOAP/RMI) i zwykle realizowana jest przez integratora systemów. Nowości Uwierzytelnianie sfederowane (zcentralizowane) / w chmurze ActivID AS Appliance wspiera standard SAML v2, podnoszący możliwości uwierzytelnia i autoryzacji użytkowników w środowiskach sfederowanych. Otwarty standard SAML v2 umożliwia dostawcom usług (Service Provider) delegowanie procesu uwierzytelniania użytkowników do zaufanej 3-ciej strony, nazywanej Poręczycielem Tożsamości (Identity Provider). Dostawcą usług może być strona webowa bankowości internetowej, lub aplikacja korporacyjna udostępniana w chmurze dla pracowników lub dla klientów zewnętrznych. Standard SAML pozwala wielu dostawcom usług współpracować z pojedynczym Poręczycielem Tożsamości (np. Bankiem) w celu sfederowania (zcentralizowania) serwisów uwierzytelniania, autoryzacji i audytu. Poniższy rysunek prezentuje jak ActivID AS może pracować jako Poręczyciel Tożsamości (Identity Provider) w ramach standardu SAML: (1) użytkownik loguje się do usługi w chmurze i zostaje
przekierowany na portal serwera 4TRESS swojego Poręczyciela Tożsamości (2); po poprawnym uwierzytelnieniu (3) użytkownik zostaje z powrotem przekierowany na portal dostawcy usługi i otrzymuje dostęp do aplikacji w chmurze (4). W tym procesie portal dostawcy usługi wymienia informacje autoryzujące z serwerem 4TRESS przy pomocy standardu SAML. Uwierzytelnianie adaptywne oraz wykrywanie oszustw (fraud detection): Jednym z mechanizmów dostępnym w wielowarstwowych systemach detekcji oszustw (fraud detection) jest uwierzytelnianie adaptywne oferowane w 4TRESS AS Appliance jako usługa w chmurze, będąca pierwszą linią obrony detekcji oszustw i ochroną przed nieautoryzowanym dostępem. Uwierzytelnianie adaptywne jest opłacalną metodą umożliwiającą profilowanie i identyfikację urządzeń, z których użytkownicy łączą się z serwisem Web. Zarys działania został przedstawiony na poniższym rysunku. W momencie logowania do usługi (1) (2) ustalany jest profil użytkownika (3) w serwisie fraud detection. Serwer 4TRESS AS, po otrzymaniu oceny poziomu ryzyka (6) dla komputera, z którego użytkownik łączy się z serwisem, w dalszym kroku przekazuje Dostawcy Usługi atrybuty ryzyka decydujące o akceptowalnej metodzie uwierzytelnienia (7).
Korzyści wynikające z rozwiązania ActivID Authentication Server Korzyści zastosowania ActivID Authentication Server płynące dla dostawców usług: Podniesienie bezpieczeństwa poprzez zastosowanie nowoczesnych metod silnego uwierzytelniania sesji i transakcji, takich jak, tokeny sprzętowe i programowe, SMS, EMV; Centralizacja usług uwierzytelniania na korporacyjnej szynie serwisowej (ESB), definiujące pojedyncze centrum kosztowe i umożliwiające przekształcenie rozproszonej struktury do spójnego modelu; Kontrola ryzyka: dostosowanie bezpiecznego dwuskładnikowego uwierzytelniania do ryzyka operacji/transakcji i/lub do populacji użytkowników; Ochrona inwestycji: zastosowanie otwartych standardów (np. OATH) oraz możliwość rozbudowy o nowe metody uwierzytelniania w ramach rozszerzalnej platformy; Redukcja kosztów: zastosowanie uniwersalnej, wielopoziomowej szyny serwisów uwierzytelniania, dostępnych przez bogatą warstwę abstrakcji API, ogranicza kosztowne ingerencje w aplikacje biznesowe; Poprawa kontroli i zgodności: zastosowanie mechanizmów zapewniających bezpieczny audyt (tamper evident HSM). ActivID Authentication Server może zapewnić również: - Ochronę korporacyjnego dostępu zdalnego w oparciu o protokół RADIUS i hasła jednorazowe; - Uwierzytelnianie do aplikacji korporacyjnych, z których przedsiębiorstwo korzysta w chmurze, np. Google App, Salesforce, etc; - Detekcję oszustw (fraud detection) poprzez uwierzytelnianie adaptywne, będące częścią ochrony przed kradzieżą cyfrowej tożsamości.