سامانه احراز هویت اسپاد (SSO)

در دنیای امروز شاید تصور سازمانی که فارغ از بسترهای فناوری اطلاعات و ارتباطات بتواند به شکل مؤثر به حیات خود ادامه دهد مشکل باشد. این امر به خصوص در سازمان‌های بزرگ بیش از دیگر سازمان‌ها بعید به نظر می‌رسد. هرچه تعداد سامانه‌ها از یک سو و تعداد کاربران سامانه‌ها از سوی دیگر   افزوده می‌شود، سازمان به طور مستمر با هویت‌های مجازی بیشتر و بیشتری روبرو خواهد بود که گاه یک نفر به تعداد سامانه‌هایی که استفاده می‌کند، هویت مجازی در سازمان تعریف می‌کند. از طرف دیگر کاربران اگر قرار باشد در هر سامانه‌ای هویت متفاوتی از خود تعریف کنند (مثل نام کاربری و گذرواژه که لازمه امنیت نیز همین است) نگهداری همۀ آن هویتنامه‌ها و گذرواژه‌ها برایشان آسان نخواهد بود. در چنین شرایطی معمولاً کاربران به سمت انتخاب نام‌های کاربری و گذرواژه‌های بدون پیچیدگی و بعضا مشابه هم روی می‌آورند که باعث خدشه در ضریب امنیتی سازمان خواهد شد.
چالش دیگر سازمانها، نیاز به ورود و خروج‌های متعدد از طریق وارد کردن نام کاربری و گذرواژه در تک تک سامانه‌هایی است که با آن سر و کار دارند. مسئلۀ مهم دیگری که با رشد سازمان بر بستر فناوری اطلاعات گریبان‌گیر سازمان خواهد شد، مبحث مدیریت سامانه‌های سازمانی و پاسخگویی به مسائل کاربران (Administration) است که باعث می‌شود ضریب خطاهای انسانی بالا رود و این خود موجب بروز ریسک‌های متعدد در سازمان خواهد شد.
​​​​​​​
Responsive Image
بسیار دیده شده است که تا مدت‌ها پس از خروج شخصی از سازمان همچنان برخی یا همۀ دسترسی‌های وی باز می‌ماند که گاه باعث وارد شدن ضرر و زیان‌های مالی و امنیتی سنگین به سازمان می‌گردد.
مثال دیگر مشکلات از این دست هنگام ایجاد یا تغییرات در حساب کاربری افراد در سامانه‌های سازمان است؛ به محض استخدام یک نیروی جدید در سازمان، مسؤول مدیریت سامانه‌ها می‌بایست بر اساس حق دسترسی‌های تعریف شده برای آن شخص در سامانه‌های مجاز، دسترسی‌های لازم را برای او ایجاد کند، همینطور هنگامی‌که یک کارمند از بخشی به بخش دیگر منتقل می‌شود یا سمتش در سازمان تغییر می‌یابد، باز لازم است کلیۀ دسترسی‌های آن فرد بازنگری شود و مجدداً تنظیم گردد که باز با در نظر گرفتن حجم ورودی‌ها و تغییرات سازمانی پرسنل واضح است که چه کار طاقت فرسا و پر مخاطره‌ای خواهد بود.
در حال حاضر دنیای فناوری اطلاعات این نوع مسائل و چالش‌های سازمان‌ها را با معرفی راه حلی موسوم به «مدیریت هویت و دسترسی؛ Identity & Access Management » یا اختصاراً IAM حل کرده است.
  
​​​​​​​

راهکار SPOD

SPOD، سامانه ای مبتنی بر راهکار IAM است که مدیریت امن فضای کاربری حوزه‌های فناوری اطلاعات را برای سازمان‌های بزرگ میسر و تسهیل می‌کند.  
IAM چیست؟
چنانکه پیشتر نیز اشاره شد، راه حل «مدیریت هویت و دسترسی» اختصاراً IAM  نامیده می‌شود. به طور خلاصه این راه حل سازمان‌ها را هدایت می‌کند به سمت اینکه اولاً برای هر موجودیت سازمانی اعم از کارمندان، پیمانکاران و حتی مشتریان، یک هویتنامۀ یکتا تعریف کنند.
ثانیاً سازمان کلیۀ هویتنامه‌های سازمانی را (که برای هر موجودیت می‌تواند شامل نام، نام خانوادگی، نام کاربری، کدملی، شماره پرسنلی، خصیصه‌های زیستی یا بیومتریک و ... باشد)، در یک پایگاه دادۀ مرکزی به صورت متمرکز ایجاد و نگهداری کند.
به این ترتیب کلیۀ سامانه‌های سازمان، در هنگام احراز هویت یک کاربر، به آن سامانۀ مرکزی مرتبط شده و عملاً موضوع احراز هویت را شبیه یک سرویس برون‌سپاری شده، به آن سامانه که در واقع هستۀ راهکار اسپاد محسوب می‌شود واگذار می‌کنند. البته در کنار این هستۀ مرکزی ریزسامانه‌هایی نیز جهت تسهیل فرآیند مدیریت کاربران نیاز است مثل سامانه شناسه یکتا که در جای خود به جزئیات کارکردی این سامانه‌ها نیز اشاره خواهد شد.

​​​​​​​
در گام بعد راهکار اسپاد زمینۀ ورود خروج یکباره ( (Single Sign On/Single Log Out را با استفاده از پروتکل‌های متن باز و استاندارد فراهم می‌کند که عملاً کاربران با ورود در هر سامانه‌ای امکان استفاده از همۀ سامانه‌های مجاز را در سازمان بدون لاگین کردن خواهند داشت و نیز پس خروج از یک سامانه از کلیۀ سامانه‌های فعال که در حال استفاده بوده‌اند نیز به صورت خودکار خارج خواهند شد.
پیاده‌سازی این راهکار مستلزم ایجاد زیرساخت‌های فنی و فرآیندی چه در داخل سازمان و چه در ارتباط با گسترش دهندگان سایر سامانه‌های سازمان خواهد بود که در ادامه به تفصیل توضیح داده خواهد شد.
برخی از نکاتی که در این راهکار  پوشش داده می شود عبارتنداز:
امکان ورود یکباره
ایجاد شناسه یکتا
امکان لاگین با شناسه های مختلف
امکان لاگین چند مرحله ای و ....
  
​​​​​​​

اهداف SPOD

اهداف  نصب و راه اندازی درگاه ورود یکپارچه اسپاد درشرکت ها و سازمانها عبارت است از:
​​​​​​​حرکت به سمت به دنیای متن باز
راه اندازی بستر دریافت شناسه یکتا برای پرسنل، شرکای تجاری، همکاران  و هویت موقت و... به صورت آنلاین
ایجاد ورود یکباره برای کلیه سامانه ها با پشتیبانی از پروتکل های مختلف نظیر  CAS، SAML، Open ID، OAuth  و ...
کاهش فرایندهای حضوری و دستی در مدیریت کاربران و سطوح دسترسی
بهبود رضایت کاربران و افزایش ملاحظات امنیتی
تجمیع هویت‌ها و سهولت مدیریت کاربران
سیاستگذاری امنیتی با رابط کاربری تحت وب همراه با پوشش استانداردهای معتبر جهانی مانند XACML
​​​​​​​






 

مشخصات فنی

Responsive Image
اسپاد ؛ یک ابزار جامع:  طراحی کلی این راهکار به گونه‌ای انجام شده که مدیریت متمرکز هویت‌های سازمان اعم از کاربران، مدیران و مشتریان در یک چارچوب یکپارچه صورت می‌گیرد. این ابزار هم مکانیزم های SSO را پشتیبانی می کند و هم IAM و هم CIAM
مدیریت شناسه ها به صورت خودکار:  راهکار اسپاد دارای قابلیتی است که با تعریف کلیۀ موجودیت‌های سازمان در آن، به صورت خودکار هویتنامۀ یکتایی برای آن تعریف و به صورت متمرکز نگهداری می‌کند.
قابلیت تعامل و همکاری با پروتکل ها و استانداردهای مختلف:  اسپاد عملاً پس از راه‌اندازی می‌تواند احراز هویت سامانه‌های مورد استفاده در سازمان را به عنوان یک سرویس بر عهده گیرد
پروتکل های استاندارد متعددی در این سامانه تعبیه شده است که برخی از آنها عبارتند از CAS، OpenID، OAuth و .....
پشتیبانی از روش‌های امن احراز هویت:  شاید یکی از بزرگترین دستاوردهای راهکارهای IAM  تسهیل امر کاربری سامانه‌های سازمان‌ها با حذف الزام ورود و خروج‌های مکرر به آن سامانه‌هاست. اگر راهکار تنها به این مأموریت خود اکتفا کند، صرفا دسترس‌پذیری و کاربری ارتقاء می‌یابند اما محرمانگی ممکن است دچار اختلال گردد. برای رفع این مسئله، اسپاد امکان پیاده‌سازی احراز هویت چند عاملی ((Multi Factor Authentication و چند مرحله‌ای (Multi Step Authentication) را فراهم نموده است که موجب تقویت ضریب امنیت ورود کاربران به سامانه خواهد شد.
پایش و گزارش‌گیری:  با تکیه بر ماهیت متمرکزسازی مدیریت هویت‌ها و مراتب مربوط به کاربری سامانه‌های سازمان ذیل راهکار اسپاد، این امکان پدید می‌آید که مدیران امنیت و فناوری اطلاعات سازمان‌ها بتوانند با استفاده از ابزارهای پایشی (Spod-Monitor) و گزارش گیری اسپادSpod-Panel & Report) ) اشراف لحظه به لحظه بر رویدادهای مربوط به این حوزه داشته باشند.


​​​​​​​
 
معرفی:  اسپاد یک سامانه  IAMمبتنی بر WSO2 Identity Server است. همراه با امکانات، توسعه ها و افزونه های افزوده شده توسط شرکت سپهر افزار ایرانیان که برخی از آنها بهRepository  محصول در GitHub نیز افزوده شده و در نسخه 5.10 این محصول متن باز انتشار یافته است و شرکت ساین در حال حاضر از توسعه دهندگان این محصول متن باز در جهان به شمار می رود.
​​​​​​​
Responsive Image
Responsive Image
سازگاری و احراز هویت قوی:
احراز هویت مبتنی بر فیلدهای کاربر نظیر ایمیل یا شناسه یکتا
پشتیبانی از احرازهویت چندمرحله ای
پشیبانی از IWA
پشتیبانی از پروتکل X.509
پشتیبانی از رمز عبور یکبار مصرف

​​​​​​​

مشخصات عملیاتی

آنالیز و تحلیل:
مانیتورینگ کاربران و ورود و خروج آنها
امکان قطع کاربران وارد شده
امکان اجباری کردن  تغییر پسورد
اعلام آلارم های امنیتی در صورت نیاز
امکان مدیریت با استفاده از JMX MBeans


​​کنترل دسترسی: 
مدیریت سطوح دسترسی کاربران
 پشتیبانی از Role-based access control (RBAC)
پشتیبانی کامل از مدیریت دسترسی ها بر اساس eXtensible Access Control Markup Language (XACML) 2.0/3.0
برخورداری از ابزار مدیریت سیاستگزاری ها با try-it tool
رابط کاربری تحت وب برای XACML 2.0/3.0 policies
یکپارچه شده با  WSO2 Enterprise Service Bus برای XACML 3.0 based authorization برای وب سرویسهای REST or SOAP services


​​​​​​​

​​​​​​​
Responsive Image

زیرسامانه ها

Responsive Image
سامانه شناسه یکتا:  کاربران می توانند نسبت در دریافت شناسه یکتا، تغییر رمز عبور و فراموشی نام کاربری در سیستم سلف سرویس یا مدیریت شناسه یکتا اقدام کنند. دیگر امکانات این بخش عبارتند از:
سامانه ای برای مدیریت چرخه حیات کاربر از بدو ورود به سازمان  تا خروج از آن
ارتباط با سامانه های داخلی مدیریت کاربران مانند پرسنلی HR
عدم نیاز به کانورت اطلاعات قبلی کاربران
عدم نیاز به استفاده از نام کاربری پایه و پسورد اولیه
حذف کاربران غیرضروری از پایگاه داده سیستم احراز هویت متمرکز
دارای سیستم احراز هویت دو مرحله ای بر اساس ایمیل و پیامک


​​​​​​​​​​​​مانیتورینگ و گزارشات:
آنالیز و تحلیل:
مانیتورینگ کاربران و ورود و خروج آنها
امکان قطع کاربران وارد شده
امکان اجباری کردن  تغییر پسورد
اعلام آلارم های امنیتی در صورت نیاز
امکان مدیریت با استفاده از JMX MBeans

 معماری کلاستر شده
امکان توزیع بار روی سرورهای متعدد
امکان استفاده از JDBC به جای OpenLDAP

سایر مشخصات فنی

احراز هویت چند عاملی (Multi-Factor Authentication):  احراز هویت چند عاملی، می تواند به روش های مختلف در سامانه اسپاد انجام شود. بخشی از تصاویر مرتبط با این مساله به شرح زیر است:


​​​​​​​
همانگونه که در تصویر مشخص است، مراحل مختلفی در این سیستم به ازای هر سامانه قابل تعریف است. همچنین می توان   Authenticationرا با کمک روش های از پیش آماده تقویت کرد. برخی از مراحل در ادامه به صورت تصویری ذکر شده است:
​​​​​​​
Responsive Image
Responsive Image
ورود چند مرحله ای با استفاده از Google Authenticator

انواع Authenticator های پیش فرض در اسپاد اعم از نام کاربری، گواهی دیجیتالی، محدودیت تعداد نشست باز، پیامک، TOTPو ...
قابليت ورود و خروج مرکزی (یک بار ورود و یک بار خروج):  قابلیت SSO و SLO (Single Logout) در سامانه اسپاد  به طور کامل پوشش داده می شود. لازم به ذکر است پیاده سازی SLO در پروتکل CAS در نرم افزار WSO2 Identity Server برای اولین بار در جهان توسط شرکت سپهر افزار ایرانیان انجام شده است.

​​​​​​​
 
Responsive Image
Responsive Image

پیاده سازی

Responsive Image
در این پروژه دو تیم اجرایی فعالیت خواهند داشت:
.1تیم راه اندازی شناسه یکتا:  با ایجاد ارتباط بین سامانه اسپاد و سامانه HR سازمان سامانه شناسه یکتا را راه اندازی می کنند.
.2تیم راه اندازی اسپاد:  با راه اندازی LDAP  و همچنین راه اندازی کلاسترینگ لازم و برقراری ارتباط با 5 سامانه اسپاد را به عنوان یک راهکار IAM راه اندازی می کنند.

مدت زمان اجرا 

​​​​​​​
فاز دوم و سوم پروژه همزمان اجرا شده و در صورت همکاری

​​​​​​​پیمانکاران ، پروژه در مدت ۳ ماه بسته خواهد شد.
​​​​​​​
. فاز لیست فعالیت ها مدت زمان
1 فازیک: نصب و راه اندازی
جمع آوری اطلاعات
طراحی زیرساخت و تعیین معماری
امکان سنجی و انتخاب سامانه های کاندید کارفرما
راه اندازی سامانه اسپاد
 ۱ ماه
2 فاز دو: راه اندازی شناسه یکتا
پیاده سازی IAM و فرآیند های آنلاین مربوطه
ایجاد ارتباط بین سامانه اسپاد، شناسه یکتا و سامانه HR ​​​​​​​
 ۱ ماه
3 فاز سه: اتصال به سامانه ها
راهنمایی شرکتهای طرف قرارداد با دانشگاه جهت اتصال به اسپاد
 ۲ ماه
4 پایان پروژه و شروع پشتیبانی
§پشتیبانی لایه دوم در مشکلات احتمالی
§رفع باگ و خطاهای احتمالی
 ۱۲ ماه
5

مشتریان