Сквозная авторизация на корпоративном портале: как компании экономят миллионы на времени сотрудников

Создание корпоративного портала всегда ставит задачу безопасного доступа сотрудников к информации и его интеграции с различными сервисами: CRM-системой, таск-трекером, внутренним чатом и т. д.

Single Sign-On (SSO) — технология аутентификации пользователя, позволяющая входить в систему и сервисы через единую точку авторизации с одной и той же парой логин-пароль вне зависимости от сервиса или страницы компании. Вместо многократного ввода логинов и паролей сотруднику достаточно войти в систему один раз и получить свободный доступ ко всем остальным корпоративным сервисам. Это как если вы заходите в свой аккаунт Google и сразу получаете доступ ко всем сервисам его экосистемы: Gmail, YouTube, Meet и т. д.

Не нужно держать в голове кучу паролей и отвлекаться на вход в разные системы

Технология единого входа более безопасна, чем традиционные системы аутентификации. Централизованное управление учётными записями значительно снижает риск утечки данных, а значит, предотвращает возможный репутационный ущерб и экономические потери.

Технология SSO даёт возможность логирования и мониторинга — ведения журнала со списком авторизаций в системе и отслеживания подозрительных попыток авторизации.

SSO сильно упрощает работу с учётными записями, особенно если в компании работают сотни и тысячи человек. IT-специалисту не придётся вручную контролировать все аккаунты — SSO автоматизирует эти процессы. Участие человека требуется только при создании аккаунта и изменении данных.

Аутентификация с помощью пароля может подвергнуть опасности корпоративные данные в следующих ситуациях:

• Если сотрудники используют простые пароли или один и тот же для нескольких учётных записей.
• При удалённой работе сотрудников, поскольку есть возможность получить доступ к данным с любых устройств, в том числе неконтролируемых.
• Если на корпоративном ресурсе не включена блокировка доступа после заданного количества попыток войти с неверным паролем. Такие системы и сервисы уязвимы к различным методам подбора паролей.

Все эти риски может предупредить многофакторная аутентификация (MFA). В отличие от аутентификации с помощью пароля это более надёжный способ проверки пользователя, т.к. он добавляет дополнительные уровни безопасности (факторы аутентификации).

• Известные пользователю данные: пароль, PIN-код, ответ на контрольный вопрос.
• Устройство пользователя (например, мобильный, планшет), на которое приходит одноразовый пароль в виде SMS, e-mail или Push-уведомлений.
• Биометрические данные пользователя: отпечаток пальца, радужная оболочка глаза, лицо, голос.

Для MFA используются факторы минимум из двух категорий. Например, помимо ввода логина и пароля вы должны ввести присланный на телефон временный одноразовый код. Он генерируется с помощью специальных приложений, например, Microsoft Authenticator, Google Authenticator, «Яндекс Ключ» и др. При этом код обновляется каждые 30 секунд, что обеспечивает дополнительную защиту от киберпреступников.

В прошлом году мы разработали корпоративный портал для крупной известной компания из сферы FMCG, которая развивает несколько направлений и имеет множество брендов. На портале собрана обширная база знаний для 5000+ сотрудников: статьи, видео, таблицы, диаграммы и т. д. В качестве CMS выбрали Wordpress, как одну из самых удобных платформ для работы с контентом, которая не требует от клиента значительного времени на изучение.

Через некоторое время после запуска портала один из департаментов компании захотел подключить к нему свою новую мотивационную программу. Нам предстояло сделать личный кабинет для 2500 сотрудников с элементами геймификации: начислением баллов, призами и рейтингом победителей. Для разработки выбрали фреймворк Yii2 (Yes it is 2), который уже успешно использовали на подобных проектах.

Чтобы сотрудники, участвовавшие в мотивационной программе, могли автоматически получать доступ к своему личному кабинету при входе на корпоративный портал, мы использовали технологию сквозной аутентификации. Так мы объединили две разные платформы в единую внутреннюю систему. Для усиления безопасности внедрили двухфакторную аутентификацию. Сотрудник вводит свои учётные данные и одноразовый код при входе на портал, система распознаёт, участвует ли он в мотивационной программе, и выводит ему соответствующий интерфейс — с кнопкой «Личный кабинет» или без.