Блог Convergent: актуальные новости, кейсы и инсайты мира digital

Безопасно и удобно: сквозная авторизация сотрудников на корпоративном портале

Создание корпоративного портала всегда ставит задачу безопасного доступа сотрудников к информации и его интеграции с различными сервисами: CRM-системой, таск-трекером, внутренним чатом и т. д.

Single Sign-On (SSO) — технология аутентификации пользователя, позволяющая входить в систему и сервисы через единую точку авторизации с одной и той же парой логин-пароль вне зависимости от сервиса или страницы компании. Вместо многократного ввода логинов и паролей сотруднику достаточно войти в систему один раз и получить свободный доступ ко всем остальным корпоративным сервисам. Это как если вы заходите в свой аккаунт Google и сразу получаете доступ ко всем сервисам его экосистемы: Gmail, YouTube, Meet и т. д.
Преимущества SSO:

Для сотрудников:

  • Удобство и экономия времени

Не нужно держать в голове кучу паролей и отвлекаться на вход в разные системы.

Для компании:

  • Безопасность

Технология единого входа более безопасна, чем традиционные системы аутентификации. Централизованное управление учётными записями значительно снижает риск утечки данных, а значит, предотвращает возможный репутационный ущерб и экономические потери.

Технология SSO даёт возможность логирования и мониторинга — ведения журнала со списком авторизаций в системе и отслеживания подозрительных попыток авторизации.

  • Легче управлять данными

SSO сильно упрощает работу с учётными записями, особенно если в компании работают сотни и тысячи человек. IT-специалисту не придётся вручную контролировать все аккаунты — SSO автоматизирует эти процессы. Участие человека требуется только при создании аккаунта и изменении данных.
Особенности SSO, которые важно учесть при внедрении:

  • Настройка SSO требует значительно больше времени и ресурсов, чем стандартная аутентификация по логину и паролю. Лучше обратиться к специалистам.

  • Система отличается жёсткой централизацией, поэтому в случае взлома одного аккаунта есть риск, что хакер получит доступ ко всем корпоративным данным. Поэтому помимо установки сверхнадёжных паролей необходимо предпринять дополнительные меры безопасности — внедрить многофакторную аутентификацию.

Дополнительный уровень безопасности

Аутентификация с помощью пароля может подвергнуть опасности корпоративные данные в следующих ситуациях:

  • Если сотрудники используют простые пароли или один и тот же для нескольких учётных записей.
  • При удалённой работе сотрудников, поскольку есть возможность получить доступ к данным с любых устройств, в том числе неконтролируемых.
  • Если на корпоративном ресурсе не включена блокировка доступа после заданного количества попыток войти с неверным паролем. Такие системы и сервисы уязвимы к различным методам подбора паролей.
Все эти риски может предупредить многофакторная аутентификация (MFA). В отличие от аутентификации с помощью пароля это более надёжный способ проверки пользователя, т.к. он добавляет дополнительные уровни безопасности (факторы аутентификации).

Различают три типа таких факторов:

  • Известные пользователю данные: пароль, PIN-код, ответ на контрольный вопрос.
  • Устройство пользователя (например, мобильный, планшет), на которое приходит одноразовый пароль в виде SMS, e-mail или Push-уведомлений.
  • Биометрические данные пользователя: отпечаток пальца, радужная оболочка глаза, лицо, голос.

Для MFA используются факторы минимум из двух категорий. Например, помимо ввода логина и пароля вы должны ввести присланный на телефон временный одноразовый код. Он генерируется с помощью специальных приложений, например, Microsoft Authenticator, Google Authenticator, «Яндекс Ключ» и др. При этом код обновляется каждые 30 секунд, что обеспечивает дополнительную защиту от киберпреступников.

Пример из практики

В прошлом году мы разработали корпоративный портал для крупной известной компания из сферы FMCG, которая развивает несколько направлений и имеет множество брендов. На портале собрана обширная база знаний для 5000+ сотрудников: статьи, видео, таблицы, диаграммы и т. д. В качестве CMS выбрали Wordpress, как одну из самых удобных платформ для работы с контентом, которая не требует от клиента значительного времени на изучение.

Через некоторое время после запуска портала один из департаментов компании захотел подключить к нему свою новую мотивационную программу. Нам предстояло сделать личный кабинет для 2500 сотрудников с элементами геймификации: начислением баллов, призами и рейтингом победителей. Для разработки выбрали фреймворк Yii2 (Yes it is 2), который уже успешно использовали на подобных проектах.

Чтобы сотрудники, участвовавшие в мотивационной программе, могли автоматически получать доступ к своему личному кабинету при входе на корпоративный портал, мы использовали технологию сквозной аутентификации. Так мы объединили две разные платформы в единую внутреннюю систему. Для усиления безопасности внедрили двухфакторную аутентификацию. Сотрудник вводит свои учётные данные и одноразовый код при входе на портал, система распознаёт, участвует ли он в мотивационной программе, и выводит ему соответствующий интерфейс — с кнопкой «Личный кабинет» или без.

Единый вход с помощью SSO вместе с многофакторной аутентификацией — эффективное сочетание инструментов для обеспечения безопасности корпоративного портала и упрощения работы сотрудников. Если вам потребуется помощь в создании или развитии корпоративного портала, напишите нам на почту request@convergent.digital. Будем рады вам помочь.
HR Технологии