Keskitetysti hallitussa kertakirjautumisessa (Enterprise Single-Sign-On) työasemiin asennetaan oma asiakassovellus. Sen avulla määritellään keskitetysti tai käyttäjän itsensä toimesta käytettävien sovellusten kirjautumistapahtumat, joilla käyttäjä päästetään sisään sovelluksiin. Suomessa on useita yrityksiä, jotka ovat erikoistuneet E-SSO (ja IAM= keskitetty käyttövaltuushallinto) ratkaisuihin. Asia on kokonaisuudessan mutkikas ja kustannustehokkuutta arvioitaessa kannattaa pyytää tarjouksia yrityksiltä, jotka ovat ko. ratkaisuja jo vastaanvankokoisiin organisaatioihin toteutteneet. OpiTietosuojaa.fi suosittelee tietosuojan ja tietoturvan näkökulmista pyrkimään käyttövaltuushallinnan sekä kertakirjautumisen suhteen ajanmukaisiin ratkaisuihin. Tietoturvan lisäksi ne tuovat oikein toteutettuina erittäin paljon tyytyväisyyttä työntekijöille.

Perusteluita, tarpeita ja tavoitteita kertakirjautumiselle (nämä voivat vaihdella organisaatioittain):

  • Tavoitteena kannattaa olla vahva tunnistautuminen organisaation tietokoneille (esimerkiksi toimikortilla) ja sen jälkeen keskitetysti hallittu kertakirjautuminen sovelluksiin, jolloin käyttäjien ei tarvitse muistaa useita eri tunnuksia ja salasanoja.
  • Loppukäyttäjän kannalta kertakirjautuminen nopeuttaa ja helpottaa sovelluksiin kirjautumista ja siten niiden käyttöä.     
  • Työaikaa säästyy isossa paljon sovelluksia käyttävässä organisaatiossa merkittävästi.
  • Nykyisellään useimmilla työntekijöillä on useita salasanoja muistettavanaan. SSO helpottaa käyttäjän tunnusten ja salasanojen hallintaa, eikä hänen välttämättä tarvitse enää muistaa tai edes tietää kaikkien sovellustensa tunnusta ja salasanaa.
  • Tavoitteena kannattaa pitää eroon pääseminen yhteiskäyttötunnuksista työasemiin kirjautumisessa. Joissain työyksiköissä suurin este tälle on hidas käyttäjän vaihto toiseksi ja näissä tilanteissa SSO auttaa nopeuttamaan sovelluksiin kirjautumista ja yhdistettyjä toimikorttikirjautumiseen se nopeuttaa myös työasemaan kirjautumista ja näin edesauttaa osaltaan yhteiskäyttötunnuksista luopumisessa.
  • Tietoturvan kannalta vaatimus salasanojen pituudesta ja kompleksisuudesta kasvaa ja pitääkin kasvaa koko ajan. Viestintäviraston ohjeiden (2014) mukaisesti jo nyt pitäisi käyttää internetin palveluissa vähintään15 merkin mittaisia salasanoja, joissa on muitakin merkkejä kuin vain kirjaimia.
  • Lähivuosina turvallisten salasanojen vaatimukset pituudelle ja kompleksisuudelle vain kasvavat ja näin ollen käyttäjien tuska sovelluksiin kirjautuessa vain kasvaa ellei sitä voida SSO:n kaltaisilla tuotteilla helpottaa.
  • Sovellukset, joissa tunnistautuminen tehdään käyttäjätunnuksella ja salasanalla, saadaan turvallisemmiksi, kun voidaan salasanojen pituutta ja kompleksisuutta kasvattaa ilman että käyttäjä joutuu niitä kirjoittamaan. Eli kertakirjautumisratkaisu voi generoida turvallisia salasanoja käyttäjän puolesta ja käyttää niitä sitten sovelluksiin kirjautumisessa.
  • Osa sovelluksista ei sisällä valmiita rajapintoja keskitettyyn käyttöoikeuksien hallintaan (IAM/IDM ratkaisut), jolloin niiden käyttöoikeuksia ei voida suoraan IAM/IDM tuotteilla muokata ja tällöin ei voida esim. lopettaa automaattisesti käyttäjän pääsyä kyseiseen sovellukseen käyttäjän työsuhteen päättyessä. Mikäli käytössä on E-SSO, niin tällöin kyseinen tuote voidaan intergroida IAM puolelle E-SSO:n avulla eli tällöin määritellään niin, että E-SSO hoitaa käyttäjän kirjaamisen sovellukseen ja oikeudet voidaan poistaa E-SSO:sta, jolloin käyttäjän pääsy kohdesovellukseen saadaan keskitetysti estettyä, vaikka kohdesovelluksessa ei olisi siihen rajapintaa.
  • E-SSO tarjoaa myös raportointiin parannuksia eli sovellusten käytöstä voidaan saada sen kautta tilastotietoja ja sen kautta voidaan myös raportoida mihin järjestelmiin käyttäjillä on tunnuksia, mikäli kyseistä tietoa ei ole muuta kautta raportoitavissa.
  • E-SSO ratkaisun yhtenä tavoitteena on vähentää merkittävästi käyttäjätunnuksiin ja unohtuneisiin salasanoihin liittyviä tukipuheluita.
  • Järjestelmää hankittaessa kannattaa miettiä vähintään seuraavia vaatimuksia kertakirjautumiselle:
  • Ratkaisu tukee kertakirjautumista toimikortin (esim. terveydenhuollon ammattikortin) toimiessa tunnistusvälineenä
  • Tukee kertakirjautumista jaetuilla työasemilla terveydenhuollon ammattikortin toimiessa tunnistusvälineenä (osaston yleistunnus)
  • Järjestelmä tarjoaa rajapinnan vapaavalintaisen IAM/IDM:n käyttöön
  • Tukee käyttäjähakemiston käyttäjien provisiointia, de-provisiointia ja muutoksia IAM/IDM järjestelmällä
  • Järjestelmä tukee salasanojen hallintaa IAM/IDM järjestelmällä (SSO:n käyttäjähakemisto)
  • SSO-järjestelmän loppukäyttäjäliittymä tukee salasanan vaihtoa kohdejärjestelmässä
  • Kertakirjautumistoiminnallisuus ei vaadi erillisen ohjelmiston (esim. agentti tai adapteri) asennusta kirjautumisen kohdejärjestelmään. Kohdejärjestelmä on esimerkiksi web-sivusto tai asiakastietojärjestelmä.
  • Järjestelmään tehdyt muutokset ja lisäykset tulevat voimaan loppukäyttäjille automaattisesti (keskitetty hallintakäyttöliittymä)
  • Järjestelmällä voidaan toteuttaa kertakirjautuminen windows-työpöytäsovelluksiin (client-sovellus), Java-sovelluksiin ja web-sovelluksiin
  • Järjestelmä toimii Active Directory 2012 tai uudemmalla toiminnallisuustasolla
  • Järjestelmän client toimii Windows 7 ja uudemmissa Windows työasemissa
  • Järjestelmän client toimii Windows 2008 R2, 2012 ja 2012 R2 terminal services ja Citrix- ympäristöissä
  • Mikäli E-SSO järjestelmää käyttäviin työasemiin tallennetaan E-SSO:n tarvitsemat kirjautumistiedot, on ne salattava vahvasti E-SSO järjestelmän toimesta
  • Järjestelmän tulee tukea CRL tarkistusta korttikirjautumisessa
  • Korttikirjautumisessa pitää varmentaja pystyä määrittämään vapaasti
  • Järjestelmä mahdollistaa useiden eri autentikointitapojen käytön (Smartcard,Active directory,Ldap). Käyttäjä tunnistetaan järjestelmässä AD:n käyttäjätunnus/salasana-parilla tai toimikortilla.
  • Web-sovellusten kirjautumisessa on tuettava MS IE 9 tai uudempi ja Mozilla Firefox versio 31 tai uudempi
  • Ratkaisu mahdollistaa korkean käytettävyyden. Järjestelmä tulee voida kahdentaa siten että esim.käyttöjärjestelmä ja tietoturvapäivitykset eivät aiheuta katkoa järjestelmän toimintaan
  • Ratkaisulla salataan vahvasti kertakirjautumistiedot niiden tallennuspaikassa siten, että edes järjestelmän pääkäyttäjät eivät pääse mitenkään niitä selväkielisenä näkemään.
  • Käyttöoikeushallinnan tulee olla keskitetty ja järjestelmään tulee pystyä määrittelemään useita käyttöoikeusrooleja ylläpito- ja loppukäyttäjille
  • Järjestelmän käyttöoikeudet hallittavissa käyttäjähakemiston käyttöoikeusryhmien kautta
  • Järjestelmään liitettyjen sovellusten kirjautumiskonfiguraatio on voitava hallinnoida keskitetysti
  • Loppukäyttäjän tulee pystyä hallitsemaan järjestelmään tallennettuja käyttöoikeustietoja erillisen hallintasovelluksen kautta
  • Järjestelmä ei aseta rajoituksia palvelimille tai työasemille asennettaville tietoturvapäivityksille
  • Client-asennukset työasemille on toteutettavissa keskitetyn jakelujärjestelmän kautta esimerkiksi MSI-paketeilla
  • Loppukäyttäjän käyttöliittymä on saatavissa suomenkielellä
  • E-SSO-järjestelmä aktivoituu työasemaan kirjauduttaessa (esim. toimikortilla) automaattisesti
  • Kertakirjautumisen (mm. palveluvalikon) tapahtumista pitää kirjautua lokitieto. Lokiin on jäätävä tieto tapahtuman ajankohdasta, tapahtumasta, sovelluksesta johon tapahtuma liittyy, käyttäjätunnuksesta, nimestä sekä työasemasta jolla tapahtuma generoitui. Lokitiedot voidaan siirtää esimerkiksi erilliseen SIEM-lokitietojärjestelmään raportointia, poikkeamien havainnointia ja hälytyksiä varten
TSVT uutisia
Tietosuojavaltuutetun toimisto
:
Aktialle seuraamusmaksu tietoturvapuutteista vahvan sähköisen tunnistamisen palvelussa
AVAA TIEDOTE
TSVT uutisia
Tietosuojavaltuutetun toimisto
:
Euroopan tietosuojaneuvostolta lausunnot Britannian tietosuojan riittävyyspäätösten jatkamisesta
AVAA TIEDOTE
TSVT uutisia
Tietosuojavaltuutetun toimisto
:
Uudistettu verkkolomake tietoturvaloukkausten ilmoittamiseen julkaistaan ensi viikolla
AVAA TIEDOTE
TSVT uutisia
Tietosuojavaltuutetun toimisto
:
Tietosuojavaltuutetun toimisto: valtionhallinnon pilvipalveluiden on täytettävä tietosuojavaatimukset
AVAA TIEDOTE
TSVT uutisia
Tietosuojavaltuutetun toimisto
:
Euroopan tietosuojaneuvoston ja Euroopan komission uusi ohje selventää digimarkkina-asetuksen ja tietosuoja-asetuksen yhtymäkohtia
AVAA TIEDOTE
previous arrow
next arrow