Systémy jednotného přihlášení Single Sign On (SSO)

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "Systémy jednotného přihlášení Single Sign On (SSO)"

Transkript

1 Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Systémy jednotného přihlášení Single Sign On (SSO) Bakalářská práce Autor: Pavel Novotný Informační technologie Vedoucí práce: Ing. Jiří Rezler Praha duben, 2009

2 Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a s použitím uvedené literatury. V Praze dne: Pavel Novotný

3 Poděkování: Děkuji vedoucímu práce panu inženýru Jiřímu Rezlerovi za jeho přístup a vedení bakalářské práce. Dále děkuji mému zaměstnavateli Lloyds Holding s.r.o. za poskytnuté prostředky nutné ke zpracování práce. Děkuji mojí manželce Pavle Novotné za rady ke zpracování práce.

4 Anotace práce: Bakalářská práce na téma Systémy jednotného přihlášení (SSO) pojednává o problematice přístupu k informačním systémům a tím informacím, které systémy poskytují pomocí systému jednotného přihlášení. Bakalářská práce poskytuje přehled systémů jednotného přihlášení jako nástrojů vhodných k pohodlnějšímu a bezpečnějšímu přístupu k informacím. Práce nabízí komplexní pohled na systém jednotného přihlášení Enterprise Single Sign-On společnosti Microsoft. Klíčová slova: identita, autentizace, správa uživatelů, SSO, XML, Credential databáze, Master Secret, Master Secret server, spřátelená aplikace, SSO Tiket, mapování uživatelských účtů, jednotné přihlášení Annotation: The bachelor work discusses about the access to information systems and to information which are saved on, via single sign on system. The bachelor work provides a summary of Single Sign On systems as systems which make getting data effectively. Complex view is focused on Microsoft Enterprise Single Sign On system. Key words: identity, authentication, user management, SSO, XML, Credetial database, Master Secret, Master Secret server, affiliate application, SSO Ticket, user accounts mapping, single sign on

5 Obsah: 1. ÚVOD IDENTITA A AUTENTIZACE ZÁKLADNÍ VLASTNOSTI SPRÁVY IDENTITY FUNKCE SPRÁVY IDENTITY STAVEBNÍ BLOKY SPRÁVY IDENTITY MEZI ZÁKLADNÍ STAVEBNÍ BLOKY PATŘÍ: ZAVEDENÍ PROSTŘEDÍ A PODPŮRNÉ INFRASTRUKTURY ZÁKLADNÍ TECHNOLOGIE A STANDARDY IMPLEMENTACE SPRÁV IDENTITY PRINCIP SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ PŘÍNOSY SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ SSO PĚT HLAVNÍCH ZPŮSOBŮ APLIKACE SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ Enterprise Single Sign-On Webové Single Sign-On Kerberos (nebo Tiket/Token Autentizace) Federace Identity OpenID MICROSOFT ENTERPRISE SINGLE SIGN-ON LICENCE PRODUKTU MICROSOFT ENTERPRISE SINGLE SIGN-ON ÚLOHA SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ SKUPINY UŽIVATELŮ SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ KOMPONENTY SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ Credential databáze SSO server Master Secret SSO server SSO spřátelené aplikace Mapování SSO Tikety KONFIGURACE MICROSOFT ENTERPRISE SINGLE SIGN-ON

6 4.6. INSTALACE SYSTÉMU MICROSOFT ENTERPRISE SINGLE SIGN-ON Přechod z Microsoft Host Intragration Serveru 2000, nebo z SNA Serveru Přechod ze starší verze Microsoft Enterprise Single Sign-On Standardní instalace PRÁCE SE SYSTÉMEM MICROSOFT ENTERPRISE SINGLE SIGN-ON Konfigurace Enterprise SSO serveru za pomoci konfiguračního průvodce Nastaveni Enterprise Single Sign-On Serveru Povolení Enterprise Single Sign-On Zakázání Enterprise Single Sign-On Jak změnit Master Secret Server Zobrazení informací Credential databáze Aktualizace Credential databáze Nastaveni Enterprise Single Sign-On Tiketů Audit systému Microsoft ENTSSO Povolení SSL Správa Master Secret Specifikace SSO administrátorů a administrátorů spřátelených aplikací Správa spřátelených aplikací Správa mapování uživatelů Inicializace systému Single Sign-On spřátelenou aplikací Povolení a zakázání SSO inicializované spřátelenou aplikací Založení spřátelené aplikace SSO inicializované spřátelenou aplikací Ověření hesel pro SSO inicializované spřátelenou aplikací Správa uživatelských mapování pro SSO inicializované spřátelenou aplikací Synchronizace hesel BEZPEČNOSTNÍ DOPORUČENÍ PRO PROVOZOVÁNÍ MICROSOFT ENTSSO DALŠÍ ŘEŠENÍ SYSTÉMU JEDNOTNÉHO PŘIHLÁŠENÍ ZÁVĚR SEZNAM POUŽITÉ LITERATURY SEZNAM POUŽITÝCH ZKRATEK

7 1. Úvod Tématem práce jsou systémy jednotného přihlášení Single Sign-On (SSO). Abychom systémům jednotného přihlášení dobře porozuměli, vysvětlím nejdříve základní pojmy týkající se lidí jako uživatelů informačních systémů a aplikací poskytujících jim informace napříč informačními systémy. Informační systémy jsou častokrát založeny na odlišných technologiích, funkcích a výkonech. Sada dílčích systémů bývá nazývána distribuovaný systém. V první části se věnuji možnostem a pohledům, které mají rozpoznat uživatele a jeho elektronickou totožnost, kterou tyto nehomogenní, distribuované systémy musí jednoznačně identifikovat mezi množstvím jiných uživatelů a poskytnout mu informace, které náleží právě jemu a nikomu jinému. Aby mohly být informace z distribuovaného systému předávány tomu uživateli, který si je vyžádal bezpečně, a jednotně bylo nutné zavézt řadu standardů z celé oblasti problematiky informačních technologií. Krátkým shrnutím zavedených standardů a organizací, které se o zavedení zasloužily je první kapitola uzavřena. Následuje pohled na problematiku systému jednotného přihlášení. Jednotlivé technologie systémů jednotného přihlášení jsou popsány s ohledem na oblast informačních systémů, na které mají být služby jednotného přihlášení aplikovány. Cílem kapitoly Princip systémů jednotného přihlášení je poskytnout ucelený přehled o možnostech použití SSO. Jednomu konkrétnímu řešení systému jednotného přihlášení aplikovaného v prostředí organizace je věnována zásadní část této práce. Systém Enterprise Single Sign-On, který jsem si vybral, je produktem společnosti Microsoft. Důvodem výběru systému právě od společnosti Microsoft je masové nasazení jejích produktů napříč informačními systémy. Mnoho organizací postavilo na produktech firmy Microsoft celý informační systém. Je tedy pravděpodobné, že bude systém jednotného přihlášení od společnosti Microsoft pochopen širokým spektrem čtenářů. Podklady, které jsou základem pro vypracování práce, lze nalézt volně dostupné na internetových stránkách společnosti Microsoft Analýzou materiálů poskytnutých firmou Microsoft by měl být systém popsán na úrovni součástí, ze kterých je systém složen. Funkce jednotlivých součástí systému jsou vysvětleny, tak aby bylo jasné, jak jednotné přihlášení uživatele k informačnímu systému funguje. Cílem není vysvětlit systém do detailních procesů odehrávajících se uvnitř samotného systému, ale podat ucelenou zprávu o zvoleném systému jednotného přihlášení. Měly by být vysvětleny procesy instalace a konfigurace a 7

8 možnosti ovládání systému jednotného přihlášení Enterprise Single Sign-On od společnosti Microsoft z pohledu uživatele i administrátora systému. Závěrečná kapitola je věnována přehledu vybraných systémů jednotného přihlášení, jež nejsou produkty společnosti Microsoft. Systémů, které řeší systém jednotného přihlášení na principu obdobném jak tomu je u Microsoftu, ale i systémů organizací, které pojaly problematiku řešení systému jednotného přihlášení jinak. Cílem poslední kapitoly je stručně upozornit na možnost výběru systému jednotného přihlášení, který co nejlépe vyhovuje požadavkům zákazníka. 8

9 2. Identita a autentizace Ve světě digitálních technologií jsou všichni uživatelé konkrétních aplikací, systémů, a služeb, pouze koncovými spotřebiteli případně poskytovateli služby a jejich jednoznačná identita je přisouzena jejich identifikátoru. Jednoznačnou identitou rozumíme totožnost entity (osoby, místa, věci, obecně konkrétního objektu), která je jednoznačně identifikována určením jména entity udaného v jistém kontextu a určením jaký má identifikovaná entita v tomto kontextu profil. Profil specifikuje informace o nástrojích, preferencích, omezeních, zdrojích a výsadách potřebných pro řádné plnění role entity v daném kontextu. V informačních systémech mluvíme o digitální identitě rovnající se elektronickému záznamu atributů určujících identitu (jméno, jednoznačný identifikátor, adresa, atp.). Entita může mít více digitálních identit, které mohou být charakterizovány například odlišnými profily. Správa takové jednoznačné identity pokrývá celý její životní cyklus od zavedení do systému přes modifikaci jejích výsad a práv, až po zánik identity. Správa identity je komplex služeb poskytujících na základě předem definovaných politik automatizované, bezpečné a efektivní řešení úkonů spojených se správou široké komunity uživatelů k omezeným a často také citlivým informačním zdrojům Základní vlastnosti správy identity Základní rysy správy identity zahrnují: centralizovanou administraci možnost delegace administrativních úkonů na bázi předem definovaných rolí a pravidel možnost manipulace s hesly uživateli samoobslužně (bez vnějšího zásahu centrální administrativou) dostupnost inteligentního směrování schvalovacích postupů při vyřizování žádosti o přístup ke zdrojům automatizované aktivování prostředí jednotlivých uživatelů a dostupnost kontrolních mechanismů a mechanismů pro automatické generování přehledových zpráv, které podávají informace o uživatelích a jejich přístupech. Klíčovou roli hrají při správě identity funkce související s řízením přístupu uživatelů k informačním zdrojům. Aby mohla být tato klíčová role správy identity efektivně implementována, musí být zavedena odpovídající podpůrná infrastruktura. Takovou 9

10 infrastrukturou mohou být například adresářové služby, autentizační služby, workflow 1 procesů souvisejících se správou identity. Software podporující správu identity, vzhledem k nejvíce rozšířeným způsobům zajišťování služby autentizace uživatelů systému, podporuje především automatizaci správních procesů souvisejících s péčí o hesla. Důvěryhodnost hesla je možné zajistit omezením doby jeho platnosti. Po vypršení této doby musí uživatel heslo inovovat. Pokud uživatel získává data a přistupuje k distribuovanému systému, musí být zajištěna synchronizace inovace hesla do všech částí celého systému. Právě k tomuto účelu se jeví vhodné použít technologii SSO. Využitím služeb správy identity se často dosahuje navýšení úrovně bezpečnosti a zvyšuje se produktivita. Naopak vynaložené prostředky na tvorbu a zavedení aplikací do provozu se snižují. Správu identity v distribuovaných systémech podporují standardizační procesy vyvíjené industriálními zájmovými skupinami. Jednou z takových skupin je World Wide Web Consortium (W3C). Mimo jiné jsou vyvíjeny standardy zaměřené na globálně chápanou správu identity, kde je každý jednotlivec jednoznačně identifikovaný. Podle programového prohlášení W3C 2 musí správa identity vyhovovat požadavkům na: Přenositelnost a součinnost Vlastníku průkazu identity musí být umožněno použít tento průkaz ve všech aplikacích, službách a doménách. Vhodným vyjádřením uživatelovy identity (ID) je např. textový zápis v jazyce XML 3. Musí existovat služba, která zobrazí obecně používané identifikátory (jména, příjmení, rodná čísla, telefonní čísla, ové adresy) jako všeobecně použitelné ID uživatelů. Pro předání informací o identitě a autentizaci musí být použito univerzálního protokolu 4 podporujícího jak, hierarchické prověřování, tak také modelů p2p 5 registrace. Rozšiřitelnost Protokoly a služby by měly být založeny na jazyce XML a na konceptu formátu XML schémat., proto musí existovat slovníkové definice určené k popisu identitních atributů pro služby správy identity, řídících struktur protokolů správy identity včetně 1 Workflow je návod na provádění nějaké komplexní činnosti rozdělený na jednodušší činnosti a jejich vazby XML (extensible Markup Language) je obecný jazyk, jehož zdrojový text obsahuje vlastní text i instrukce pro jeho zpracování, který byl vyvinut standardizován konsorciem W3C. 4 Protokol je soubor pravidel pro komunikaci. 5 P2P (Peer-to-peer) je pojem, který označuje vzájemnou komunikaci typu klient klient. 10

11 autentizace, sdělení výsledku a slovníku dojednávání a musí být podporována distribuovatelnost lokálních slovníkových definic. Možnost dohody úrovně soukromí a bezpečnosti V každém případu musí být sjednatelná požadovaná úroveň soukromí a bezpečnosti. Vlastníkům identity musí služba umožnit pracovat s jejich informačními subjekty výhradně podle omezení daných jejich právním systémem. Služba musí používat sjednávací protokol, pomocí kterého může uživatelův agent ovlivňovat úroveň soukromí a bezpečnosti, ve které požaduje výměnu informací. Zodpovědnost Pro dosažení potřebné úrovně důvěry a důvěryhodnosti musí být poskytnuta infrastruktura pro služby správy globální identity, která podpoří dosažení úrovně zodpovědnosti. Zároveň musí být dohodnuty formy, kterými budou agenti prokazovat zodpovědnost za zastupování, dojednávání a výkon své činnosti. Distribuovanost registračních autorit Služby správy globální identity musí, pomocí odpovídajících protokolů a podpory kooperačních prostředí, umožnit působení nijak omezovaného počtu registračních autorit. Musí také zajistit, aby žádné z registračních autorit, nemohly být jakýmkoli způsobem omezovány nebo diskriminovány a aby registrace byly mezi registračními autoritami přenositelné. Distribuovanost certifikačních autorit Služby správy globální identity musí umožnit použití rozšiřitelného protokolu a rozšiřitelného prostředí. Nezávislost vládnoucí autority Musí existovat taková autorita, která reprezentuje rovnocenně všechny entity (lidi, obchod, nevládní organizace, státní správu apod.) Musí být definována jak technickými tak i provozními normami. Taková autorita musí zároveň spravovat vývoj globálního slovníku univerzálních identitních atributů a globálních řídících struktur, definovat formy a způsoby zajištění zodpovědnosti všech agentů včetně registračních a certifikačních autorit. Jedním z cílů správy identity je vytvoření zřejmé a jednoznačné identity pro každého uživatele relevantní aplikace či systému. Správa identity plní úkoly symbolicky označované jako 4A. Mezi tyto úkoly patří dokazování kdo uživatel je (Authentication), určování jeho práva a výsad (Authorization), správa nástrojů pro řízení přístupu (Access 11

12 control) a zpravodajská a auditní činnost (Audit, Reporting). Tyto úkoly musí být splnitelné i bez sjednocování skladů ID uživatelů Funkce správy identity Správu identity lze z funkčního pohledu charakterizovat pomocí funkčních celků. Mezi tyto funkční celky patří: Správa životního cyklu uživatele V tomto celku je zahrnuta správa profilů jako vlastní správa identity a její distribuce mezi externí databáze, aplikace a adresáře podniku, organizace a jeho partnerů. Dále je zde zahrnuta podpora samoobslužnosti správy profilů a podpora automatických replikací informací z uživatelských profilů systémům. Další součástí je aktivace a deaktivace prostředí uživatele, nebo proces, kterým poskytujeme či zakazujeme přístup k informacím a službám. Aktivace a deaktivace prostředí uživatele zajišťuje změny identitních dat a případné zrušení identity a účtů. Snahou procesu aktivace a deaktivace prostředí uživatele je snížení ceny a doby zřízení, případně zrušení účtu uživatele a zvýšení zaručitelné bezpečnosti. Důležitou součástí celku správy životního cyklu uživatele je delegování administrace, která dává možnost definování, které účty mohou provádět manažerské akce s účty. Musí se zajistit bezpečné prostředí a forma pro řádné provedení manažerské akce. Všechny provedené akce musí být protokolované, zálohované a auditovatelné. V případech, které se týkají uživatelského profilu, je vhodné použití samoobslužnosti uživatelů, která uživateli umožní, pomocí vhodného protokolu, například obnovu zapomenutého hesla. Správa hesel a synchronizace hesel, jež je také součástí správy životního cyklu uživatele se vesměs řeší zavedením mechanismů systému jednotného přihlášení. Řízení přístupu a autorizace Řízení přístupu a autorizace se v současné době, téměř vždy, řeší vhodným systémem jednotného přihlášení. Cílem je práce s mnoha, ve své podstatě nesourodými systémy, bez nutnosti opakované autentizace. Zpravodajství a auditní činnost Nadstavbovými funkčními celky správy identity jsou následně celky jako federování identity, integrace webových služeb, či prosazování politik a podpora managementu řízeného politikami. 12

13 2.3. Stavební bloky správy identity Mezi základní stavební bloky patří: Aktualizace hesel Zavedení funkčního modelu aktualizace hesel je založené na použití bezpečné autentizační politiky závislé především na důvěryhodnosti hesel. Hesla je nezbytné inovovat po určitých časových intervalech. Inovaci a případně také odblokování účtu poskytuje uživateli právě aktualizace hesel. Cílem je zmírnění potřeby kontaktovat v takových případech administrátora systému a nabídnout službu vhodnou k provedení změny nebo odblokování účtu bez kontaktu manažera systému či aplikace. Synchronizace hesel Modul synchronizace hesel nabízí uživateli použít své jedinečné autentizační údaje ve všech, nebo alespoň všech důležitých, systémech a aplikacích. Software umožňující synchronizaci hesel běží na zvoleném serveru organizace a přes API 6 navazuje na podporované databáze a systémy, které zajišťují bezpečnost aplikací. Jednotné přihlášení - Single Sign-On (SSO) Systémy Single Sign-On navazují a zdokonalují prostou synchronizaci hesel. Umožňují uživateli používat jedny autentizační údaje k přístupu ke všem zdrojům informačního systému, aniž by se museli opakovaně autentizovat. Blíže se s tímto tématem seznámíme v kapitole tři Princip systémů jednotného přihlášení. Inteligentní koncové řízení přístupu Toto řešení je často zakomponováno do uceleného systému aplikací. Nabízí on-line řešení správy uživatelů a umožňuje použití široké palety autentizačních metod zároveň. Součástí inteligentních systémů pro řízení koncového přístupu bývá server, který prosazuje politiku přístupu na principu SSO. Systémy umožňují předávat správu přístupových práv uživatelů obchodním manažerům a také partnerům. Další funkcí bývá aktivace prostředí a podpůrné infrastruktury uživatele. 6 API (Aplication Progamming Interface) je standardizované programátorské aplikační prostředí. 13

14 2.4. Zavedení prostředí a podpůrné infrastruktury Zavedení prostředí a podpůrné infrastruktury pro uživatele slouží k definici všech procesů, které řídí životní cyklus uživatelů. V mnoha organizacích jsou procesy aktivace řešeny bez zavedeného všeobecně uznávaného standardu, což může vést k chybovosti. Standardem popisujícím aktivaci služeb je značkovací jazyk SPML Základní technologie a standardy implementace správ identity Ve světě fungují organizace zabývající se vývojem standardů týkajících se obecně uznávaných a následně používaných informačních technologií implementace správ identity. Vzhledem k silné orientaci na formát XML hraje výraznou roli organizace OASIS 8. Celosvětové neziskové konsorcium OASIS řídí, v oblasti internetového obchodu, konvergenci a přejímání standardů založených na XML. Dále se věnuje standardům autentizace, adresářových služeb, řízení přístupu a aktivačních služeb. Prosazováním součinnosti a webovým službám v různých platformách operačních systémů se zabývá další významná otevřená organizace WS-I 9. Jedním ze standardů společnosti je platformově a jazykově nezávislý protokol sloužíc pro řízení komunikace mezi aplikacemi běžícími v síti Internet (SOAP). Mezinárodní konsorcium W3C je orientováno na vývoj standardů a směrnic pro užívání webových technologií. V oblasti správy identity se stará o standard WSDL 10. Rozvoj adresářových služeb založených na adresářové technologii LDAP 11 podporuje organizace IETF 12. Základy správy identity vycházejí z iniciativ organizace ITU-T 13 z oblasti podpory doporučení standardu X.500. Celosvětově uznávané a používané jsou také standardy adresářových služeb. Adresářové služby umožňují uživatelům vyhledat objekty podle známých, specifikovaných podmínek. 7 SPML (Service Provisioning Markup Language) je standardizovaný značkovací jazyk. 8 OASIS (Organization for the Advancement of structured Standards) je neziskové konsorciu, které řídí vývoj, konvergenci a přijímání otevřených standardů pro globální informační společnosti. 9 WS-I (Web Services Interoperability organization) je organizace zabývající se standardy webových služeb. 10 WSDL (Web Services Description Language) Jazyk WSDL slouží k formálnímu popisu webové službu. 11 LDAP (Lieghtweight Direktory Access Protocol) je síťový protokol na bázi protokolu TCP/IP určený pro zpřístupňování serverů poskytujících adresářové služby. 12 IETF (Internet Engineering Task Force) je organizace, která podporuje rozvoj adresářových služeb založených na adresářové technologii LDAP. 13 ITU-T (ITU Telecommunication Standartization Sector) je telekomunikační standardizační uspořádání Mezinárodního telekomunikačního odboru (ITU). 14

15 Z pohledu historie je zásadním standardem standard X.500 jehož dílčí standard X.509 je v současné chvíli využíván k definici certifikátů. Nejrozšířenější technologií adresářových služeb je protokol LDAP. Jedná se o síťový protokol na bázi protokolu TCP/IP 14 určený pro zpřístupňování serverů poskytujících adresářové služby. Adresářová služba LDAP je aplikace specializovaná pro ukládání dat, jejich organizaci a přístup k nim. V systémech SSO nachází LDAP uplatnění v roli centrální databáze uživatelů pro aplikace a systémy. V síťových adresářích nejsou data vždy jednotně formátována. DSML 15 je aplikace založená na standardu XML umožňující vyjádřit jedním společným formátem odlišné formáty mnoha různých síťových adresářů. Zároveň DSML definuje dokument, jež je možné použít k zobrazení obsahu každého z adresářů a pro výměnu adresářových dat pomocí transportních protokolů. Standardy z oblasti webových služeb vychází z myšlenky vyvolání služeb aplikace jinou aplikací přes datovou síť. Poskytovatelé webových služeb bývají často označování jako poskytovatelé služeb aplikačních. Mezi takovými službami jsou služby z oblasti získávání a ukládání dat, nebo zprávy zákaznického servisu tak také služby správy skladových zásob případně aukce. Škála webových služeb je široká a různorodá. A stále se rozšiřuje. Komunikace mezi webovými službami bývá podporována softwary, které jsou označovány jako middleware. Standardizace komunikace vychází z technologického základu formátu XML. Formát XML je základem jazyka WSDL. Výše zmíněný protokol SOAP byl navržen pro komunikaci pomocí protokolu HTTP 16, který je podporován všemi internetovými prohlížeči či servery. Webová služba je popsána, mimo jiné, určením zpráv pro komunikaci se službou, operacemi, které služba poskytuje, určením jakými protokoly lze službu vyvolat a jak musí být příslušná data formátována. Takový popis programového rozhraní ve formátu XML poskytuje soubor WSDL. 14 TCP/IP (Transmission Control Protocol / Internet Protocol) je je standardizovaný komunikační protokol. 15 DSML (Directory Services Markup Language) je aplikace založená na standardu XML umožňující vyjádřit jedním společným formátem odlišné formáty mnoha různých síťových adresářů. 16 HTTP (Hypertext Transfer Protocol) Http je internetový protokol původně určený prováněnu hypertextových dokumentů. 15

16 Jazyk WSDL formálně popisuje webovou službu. Ke každé webové službě by měl být takový popis k dispozici. Z takového popisu lze automaticky vygenerovat požadavek v SOAP. Standardním mechanismem umožňujícím registraci a vyhledávání popisů webových služeb je UDDI 17. Standardem, který poskytuje formát XML prostředí pro tvorbu webových služeb, které umožňují partnerům výměnu autentizační a autorizační informace na aplikační úrovni je jazyk SAML 18. Standardem řízení přístupu v oblasti webových služeb je jazyk XACML UDDI (Universal Description, Discovery a Integration) je univerzální adresář obsahující seznam a popis dostupných webových služeb, který umožňuje automatické nalezení požadované služby. 18 SAML (Security Assertions Markup Language) je značkovací jazyk pro prosazování zabezpečovacích postupů. 19 XACML (extended Access Control Markup Language) je iniciativa vedená skupinou OASIS [8] určená k vyjádření bezpečnostní politiky pro přístup k XML dokumentům a datovým zdrojům. 16

17 3. Princip systému jednotného přihlášení Systémy jednotného přihlášení SSO plní z pohledu správy identity služby řízení přístupu a autorizace. Z pohledu aplikačních architektur budovaných na bázi klient server označuje pojem Single Sign-On autentizační proces umožňující uživateli, který chce přistupovat k více aplikacím a zdrojům v rámci jedné relace, možnost zadání jména a hesla, případně jiných identifikátorů pouze jednou. Proces SSO, vyžádaný při zahájení relace, autentizuje uživatele ke všem aplikacím, ke kterým má na serveru vydána přístupová práva a tím eliminuje veškeré následné výzvy k autentizaci. Výzvy k autentizaci by, bez zavedeného procesu SSO, byly aktivovány vždy, když by se uživatel v rámci relace přepojil mezi aplikacemi. Hlavní cíle zavedení SSO jsou obvykle spojeny s pohodlím, jež SSO přináší celé organizaci Přínosy systému jednotného přihlášení SSO Jednoduchá a pohodlná správa hesel pomocí SSO umožňuje předcházení ztráty času spojeného se správou hesel v celém jejich cyklu. Vytváření uživatelských přístupů do jednotlivých aplikací a obnovování celé sady zapomenutých hesel. SSO nabízí uživatelům omezit čas věnovaný řízení hesel. Efektivní systém SSO nabízí významné výhody a úspory napříč celou organizací. Chce-li být organizace co nejvíce efektivní, mělo by řešení systému single sign-on přinést výhody širokému spektru oblasti IT, a to jak z pohledu bezpečnosti, tak také z finančního pohledu. Single sign-on má jasné a zřejmé výhody pro celou organizaci. Jednoduchost a pohodlí, které poskytuje koncovým-uživatelům, umožňuje, aby se zabránilo promarněnému času spojeného s obnovou zapomenutých hesel a častou výzvou k zadání hesla. Nicméně, SSO není bez odpůrců. Hlavním argumentem proti systémům SSO je, že tím, že umožňuje uživatelům použít jedno heslo pro přístup do všech jimi používaných aplikací, ulehčuje prácí hackerům 20, pro které je mnohem jednodušší získat volný přístup k informačním zdrojům uživatele prolomením jediné autentizační sady. Je zřejmé, že bezpečnostní rizika spojená s použitím jediného hesla pro přístup ke všem informačním zdrojům společnosti jsou vysoké. Nicméně jedno dostatečně 20 Hacker (počítačový podvodník) je člověk snažící se proniknout do kódu programu s cílem ovlivnit jeho chod, nebo získat důvěrná data. 17

18 silné heslo 21 je vyšší zárukou bezpečnosti než celá sada hesel slabých, častokrát snadno získatelných či odhadnutelných. Samozřejmě může být silné heslo použito na všech, nebo alespoň všech klíčových aplikacích i bez zavedení SSO. Ale to není příliš reálné, z důvodu odlišných bezpečnostních politik jednotlivých aplikací. Jednotlivé aplikace mohou být ohroženy i bez SSO. To znamená, že obavy, že všechny aplikace jsou při použití SSO ohroženy útoky hackerů jejichž útok je zdánlivě snadný, lze snadno napravit pravidelnou změnou hesla v centrálním adresáři. Zavedení takové politiky bez SSO není snadné, protože pokud je z důvodu nízké kvality hesla ohrožena jedna aplikace, nemusí být ihned patrné, kterou aplikaci slabé heslo zpřístupňuje. Pro administrátora je navíc složité resetovat hesla v jednotlivých aplikacích. Argument upozorňující na obětování individuálního zabezpečení jednotlivých aplikací separovanými hesly není natolik silný, pokud bereme v úvahu možnost použití silného hesla, snadnost jeho správy a možnost ověření procesu rozšíření hesla do všech aplikací, jež organizace používá. Pokusy hackerů o získání hesla uživatele jsou ztíženy z důvodu změny návyků správy hesla koncových uživatelů. Jedno heslo je uživatelsky snadno pamatovatelné a není nutné jakékoli jeho zaznamenávání Pět hlavních způsobů aplikace systému jednotného přihlášení V současné době existuje pět základních typů aplikace systému jednotného přihlášení Enterprise Single Sign-On Systémy jednotného přihlášení typu Enterprise Single Sign-On zabezpečují jednotné přihlášení systémem, jenž po prvotním přihlášení uživatele do primárního systému zachytává následné výzvy sekundárních aplikací k zadání ověřovacích informací a automaticky doplňuje požadované ID a případně heslo Webové Single Sign-On Webové SSO je někdy nazýváno Web access management, Web-SSO, a umožňuje koncovým uživatelům přístup k aplikacím a zdrojům, které jsou přístupné pomocí internetového prohlížeče. Autentizace je dosaženo pomocí prezentování a archivace identifikačních údajů v cookies 22 na internetovém proxy serveru 23 případně na cílovém 21 Silné heslo obsahuje nejméně sedm znaků, neobsahuje uživatelské jméno ani skutečné jméno, či název firmy. Neobsahuje slovo, které je možné nalézt ve slovníku a výrazně se liší od předchozích hesel. Hesla lišící se pouze v čísle, například Pavel1, Pavel2, Pavel3 atd., nejsou silná. 22 Coocies jsou malá množství dat v protokolu http která pošle webovému prohlížečí internetový server. Prohlížeč může tato data uložit do počítače uživatele. 18

19 internetovém serveru. Informace uložená v cookie je zavolána a použita vždy, když si koncový uživatel vyžádá přístup k Webovému portálu nebo novému zdroji dosažitelného pomocí web prohlížeče Kerberos (nebo Tiket/Token Autentizace) Kerberos byl navržen jako model klient server podporující oboustrannou autentizaci. Oboustrannou autentizací je myšleno vzájemné ověření identity koncových uživatelů a služeb. Koncoví uživatelé se ke Kerberos serveru přihlašují pomocí jejich hesla. Výměnou za heslo získají uživatelé od serveru tiket, kterým klientský software prezentuje přístup. Při pokusu přihlášení k serveru, autentizuje uživatele k rozmanitým síťovým službám. Varianta Kerberos je používána jako výchozí autetizační metoda pro Windows 2000, Windows XP a Windows Server Federace Identity Novým přístupem vhodným také pro Web aplikace je Federace identity. Federovaná Identita používá standardy protokolů (SAML a WEBSecurity) k oprávnění potvrzení identity uživatele mezi aplikacemi, čímž zabrání nadbytečné potřebě autentizaci. Federování identity umožňuje organizacím poskytovat SSO mezi různorodými sítěmi, slučování účtů, sítí a aplikací k prospěchu zaměstnanců, zákazníků a partnerů OpenID OpenID je distribuovaný a decentralizovaný proces. OpenID je základním mechanismem, který váže identitu uživatelů na snadno zpracovatelné URL 24, které je možné ověřit libovolným serverem, na kterém je protokol spuštěn. V sítích, ve kterých je OpenID povoleno nepotřebují uživatelé, před získáním přístupu ke každé síti, vytvářet a spravovat nový účet. Pro autentizaci uživatele do důvěryhodné sítě podporující OpenID, je identita uživatele potvrzena a předána dalším sítím podporujícím OpenID. Jelikož je filozofie OpenID odlišná od SSO, kde hraje autentizace velkou roli, a protože se nelze spolehnout na důvěryhodnost mechanismu autentizaci, není OpenID použitelné v citlivých oblastech jakými jsou bankovnictví a on-line nákupy. 23 Proxy server je softwarový nebo hardwarový prostředník mezi klientem a cílovým počítačem. Překládá klientské požadavky a vůči cílovému počítači vystupuje sám jako klient. Přijatou odpověď následně odesílá zpět na klienta. 24 URL(Unique Resource Locator) se používá k jednoznačnému určení zdroje služby či informace. Je to způsob, jak jednoznačně zapsat umístění souboru na Internetu nebo na intranetu. 19

20 4. Microsoft Enterprise Single Sign-On Systém Microsoft Enterprise Single Sign-On (ENTSSO) je autentizační proces firmy Microsoft budovaný na bázi klient-server. Poskytuje služby umožňující koncovému uživateli jednotné přihlášení do podnikových aplikací integrovaných řešením EAI 25. Systém jednotného přihlášení Microsoft ENTSSO směruje uživatelské účty Microsoft Windows do prověření účtů koncových systémů. ENTSSO lze navíc použít pro obousměrnou synchronizaci hesel mezi Windows a nonwindows 26 prostředím. Microsoft Enterprise Single Sign-On poskytuje zjednodušenou správu uživatelských účtů a hesel a to jak samotným uživatelům, tak i administrátorům. Microsoft ENTSSO umožňuje uživatelům přístup ke koncovým systémům a aplikacím pomocí jediného přihlášení do sítě Windows. Microsoft Enterprise Single Sign-On systém se skládá z databáze uživatelských oprávnění (Credential databáze), hlavního bezpečnostního Single Sign-On serveru (Master Secret Serveru), a případně dalších Enterprise Single Sign-On serverů. Systém Microsoft ENTSSO je součástí produktů společnosti Microsoft zaměřených na integraci služeb a zdrojů dostupných v distribuovaném informačním systému. Služby Microsoft ENTSSO podporují například systémy BizTalk Server 2006, Customer Care Framework 2009, Host Integration Server 2006, Microsoft Office Share Point Server 2007 a další Licence produktu Microsoft Enterprise Single Sign-On Při koupi Microsoft ENTSSO, respektive serverového produktu, který ENTSSO obsahuje, nejde o koupi softwarového vybavení, ale pouze o získání licence. Zakoupená licence opravňuje jejího majitele používat softwarový produkt. Právo na užívání softwaru nelze bez svolení autora produktu dále šířit, prodat ani pronajmout. Licence produktu Microsoft Enterprise Single Sign-On je vázána na serverové produkty společnosti, ve kterých je ENTSSO implementováno. Například pokud je zakoupena jedna licence produktu Host Integration Server 2006 získáme možnost použit systém Microsoft ENTSSO na jednom procesoru. 25 EAI (Enterprise Application Integration) Integrace podnikových aplikací, zahrnuje objektově orientované programování, opětovné využití podnikových plánovacích systémů, distribuovanou programovou komunikaci mezi platformami pomocí zpráv, celopodnikovou distribuci dat a obsahu využitím společných databází a standardů na bázi XML a jiných standardů. 26 NonWindows systémy jsou všechny systémy založené na jiném principu než systémy Windows. (Unix, Linux, Mac atd.) 20

21 4.2. Úloha systému jednotného přihlášení Jak bylo již dříve popsáno, systém jednotného přihlášení hraje v distribuovaném systému důležitou roli z pohledu autentizace a identifikace uživatele jako příjemce informací. Abychom porozuměli lépe tomu, jakmicrosoft Enterprise Single Sign-On funguje, je dobré si připomenout tři typy služeb jednotného přihlášení. Služby jednotného přihlášení integrované do systémů Windows Služby jednotného přihlášení integrované do systémů Windows umožňují přihlášení do rozmanitých aplikací a sítí za pomoci běžných autentizačních mechanismů. Služby jednotného přihlášení integrované do Windows systémů vyžadují a ověřují uživatelská práva ihned po přihlášení do sítě Windows a používají je k popisu akcí, které může uživatel vykonávat na základě takto zjištěných uživatelských práv. Pokud jsou aplikace integrovány pomocí Kerberos, tak po úspěšné autentizaci uživatelských oprávnění získá uživatel přístup ke všem zdrojům v síti, které jsou integrovány Kerberem. Extranetové služby jednotného přihlášení (Web SSO) Služby Web SSO umožňují přístup ke zdrojům přes síť Internet za použití jedné sady uživatelských oprávnění. Tato sada oprávnění umožňuje uživateli přihlášení na jiné internetové stránky, což znamená do jiných společností. Takovým systémem jednotného přihlášení je Windows Live ID (dříve Microsoft Passport Network) zaměřený na zákaznické aplikace. Služby jednotného přihlášení založené na interní serverové aplikaci Služby jednotného přihlášení založené na interní serverové aplikaci umožňují integraci rozmanitých, nehomogenních aplikací a systémů v prostředí podniku. Tyto aplikace nemusí používat běžný systém autentizace, přičemž mohou mít každá vlastní adresář uživatelů. Jako příklad poslouží organizace, jejíž uživatelé používají systémy Windows. K autentizaci uživatele do podnikové sítě je tedy využito služeb Active Directory. Servery jsou provozovány na systému IBM 27. K autentizaci stejných uživatelů využívají služeb RACF 28. Díky middleware systémů integrovaných do front-end 29 a 27 IBM je obchodní společnost zabývající se vynalézáním, vývojem a výrobou informačních technologií, včetně počítačových systémů, softwaru, systémů pro ukládání dat a mikroelektroniky. 28 RACF (Resource Access Control Facility) je standard Standard zavedený společností IBM určený k zabezpečení softwarových produktů. 29 Front-end front-end je aplikace pomocí nichž získává uživatel informace ze systémů back-end. FrontFont-end aplikace slouží jako uživatelsky přívětivý nástroj ke komunikaci s back-end systémy. 21

22 back-end 30 aplikac umožní Microsoft Enterpise Single Sign-On uživatelům v organizaci připojení do obou front i back-end aplikací za použití jedné sady uživatelských práv. Služby jednotného přihlášení založené na interní serverové aplikaci umožní uživateli přístup ke zdrojům ve Windows doméně a požadavkům přicházejícím z Windows aplikací stejně jako všem ostatním aplikacím integrovaným pomocí Single Sign-On. Navíc, synchronizace hesel zjednodušuje administraci SSO databáze, a uchovává hesla synchronizovaně napříč všemi adresáři uživatelů. Takové synchronizace je možné dosáhnout za použití adaptérů synchronizace hesel, které je možné spravovat a upravovat pomocí nástroje Synchronizace hesel. Enterprise Single Sign-On Systém Enterprise Single Sign-On Systém poskytuje služby k ukládání a přenosu zašifrovaných informací o uživatelských oprávněních napříč lokálními a síťovými službami a zdroji obsaženými v doméně. K bezpečnému uložení informací o uživatelských oprávněních slouží v systému Microsoft ENTSSO Credential databáze. Middleware aplikace a uživatelské adaptéry mohou využít systém jednotného přihlášení k bezpečnějšímu ukládání a přenosu uživatelských práv napříč síťovým prostředím, díky využití generického řešení systému jednotného přihlášení Skupiny uživatelů systému jednotného přihlášení Aby bylo možné systém jednotného přihlášení Microsoft Enterprise Single Sign-On spravovat a konfigurovat, musí být pro každou z následujících uživatelských rolí vytvořeny skupiny a účty v doméně Windows. Při konfiguraci přístupových účtů můžeme v Microsoft ENTSSO ke každé roli specifikovat více uživatelských účtů. Tato kapitola jednotlivé role popisuje. Role SSO administrátora Nejvyšší úroveň uživatelských práv mají v Microsoft ENTSSO právě SSO administrátoři. Práva SSO administrátora opravňují k následujícímu. 1. Vytvářet a spravovat databázi oprávnění 2. Vytvářet a spravovat Master Secret 3. Povolovat a zakazovat SSO systém 4. Vytvářet hesla a synchronizační adaptéry 30 Back-end aplikace slouží ke zpracování dat a předávání informací do front-end systémů. Back-end aplikace jsou zpravidla běžnému uživateli skryty. 22

23 5. Povolovat a zakazovat v SSO systému synchronizaci hesel 6. Povolovat a zakazovat inicializaci hostů SSO 7. Vykonávat všechny další administrační úlohy Účet administrátora SSO může být účet zařazený ve Windows skupině, nebo se může jednat o individuální účet. Stejně tak se může jednat o účet v doméně, lokální skupině nebo o lokální účet. Pokud je použit individuální účet, není možné změnit jej na jiný individuální účet. Proto není použití individuálního účtu vhodné. Individuální účet je možné převést na skupinu, pokud je původním daný účet členem nové skupiny. Je důležité, aby byl servisní účet, který spouští Enterprise Single Sign-On, členem této skupiny. Z pohledu bezpečnosti je dobré, nepoužívat účet SSO administrátora pro jiné služby. Role Administrátora spřátelených aplikací systému Microsoft ENTSSO Spřátelené aplikace, se kterými SSO systém pracuje, definují administrátoři spřátelených aplikací. Spřátelené aplikace jsou logické entity, které reprezentují backend systémy do kterých se je možné pomocí SSO přihlásit. Následuje výčet administrativních úloh, které jsou administrátorům spřátelených aplikací přístupné: 1. Vytváření a správa spřátelených aplikací 2. Vytváření, mazání a správa oprávnění mapování pro všechny uživatele specifikované spřátelené aplikace. 3. Všechny úlohy, které může vykonávat lokální administrátor a uživatel spřátelené aplikace Účet administrátora spřátelených aplikací SSO může být účet zařazený ve Windows skupině, nebo se může jednat o individuální účet. Stejně tak se může jednat o účet v doméně, lokální skupině nebo o lokální účet. Role uživatele aplikace Pro každou spřátelenou aplikaci musí být založena nejméně jedna skupina uživatelů. Jedná se o seznam koncových uživatelů aplikací v prostředí Enterprise Single Sign-On. Členové skupiny uživatelů aplikací mají k dispozici: 1. Kontrolu a prohlížení jejich oprávnění ve spřátelených aplikacích 2. Správu jejich oprávnění mapování ve spřátelených aplikacích. 23

24 4.4. Komponenty systému jednotného přihlášení Systém jednotného přihlášení Microsoft Enterprise Single Sign-On se skládá z komponent, které slouží k bezpečnému uložení a předávání informací o přístupech a oprávněních v rámci celého systému bezpečně a spolehlivě. Veškeré informace o přidělených přístupech a oprávněních do všech aplikací systému jednotného přihlášení jsou uložena v databázi Microsoft SQL serveru. V Microsoft ENTSSO je databáze pojmenována Credential databáze. Data uložená v Credential databázi jsou z bezpečnostních důvodů zašifrována šifrovacím klíčem Master Secret. Šifrovací klíč generuje a obecně udržuje Master Secret server. Master Secret server může být v systému Microsoft ENTSSO jeden. Další SSO servery, které mohou sloužit k obsluze služeb systému a administraci SSO získávají Master Secret od Master Secret Serveru. Systém jednotného přihlášení dále obsahuje aplikace, k jejichž datům má uživatel přístup bez nutnosti opakované autentizace. Aplikacím sdruženým k systému Microsoft ENTSSO říkáme Affiliate, nebo také spřátelené aplikace. Příklad architektury systému Microsoft Enterprise Single Sign-On je znázorněn na obrázku číslo jedna Komponenty systému Microsoft Enterprise Single Sign-On. V následujících kapitolách jsou jednotlivé komponenty systému Microsoft Enterprise Single Sign-On blíže popsány. Obrázek 1 Komponenty systému Microsoft Enterprise Single Sign-On. 24

25 4.4.1 Credential databáze Credential databáze je databáze Microsoft SQL serveru 31, ve které jsou uložena, pomocí Master Secret, zašifrovaná data popisující spřátelené aplikace stejně jako všechna zašifrovaná uživatelská oprávnění do všech spřátelených aplikací SSO server Enterprise SSO server může být nastaven jako Master Secret server. Pokud SSO server není využit ke službám Master Secret, slouží k administraci spřátelených aplikací, zakládání či rušení uživatelských práv a mapování uživatelů. Případně může vykonávat operace vyhledávání uživatelských oprávnění nutných pro přístup uživatele do Affiliate aplikací v Credential databázi, tzv. služby Lookup. Další SSO servery mohou sloužit k vydávání SSO tiketů, které mají možnost aplikace sdružené v systému Microsoft ENTSSO použít k získání uživatelských práv. Pomocí SSO serveru je navíc možné spravovat adaptéry synchronizace hesel Master Secret SSO server Master secret server je SSO server, který se stará o šifrovací klíč Master Secret. Když si SSO administrátor vyžádá Master Secret, generuje jej právě Master Secret server. V registru skladuje Master Secret server šifrovací klíč rozšifrovaný. K registru a tím i šifrovacímu klíči mají přístup pouze SSO administrátoři. Ostatní SSO servery v systému Microsoft Enterprise Single Sign-On kontrolují každých třicet vteřin, zda nebyl šifrovací klíč změněn. Pokud ke změně dojde, je nový klíč bezpečně přečten a akceptován. Pokud změna kódu nenastane, používají SSO servery nadále poslední známý šifrovací klíč, uložený v jejich vyrovnávací paměti. SSO služby používají Master Secret k šifrování a dešifrování uživatelských práv. SSO systém Microsoft ENTSSO nelze začít používat do doby, než SSO administrátor nakonfiguruje Master Secret server a vygeneruje Master Secret. Generování šifrovacího klíče je vyhrazeno pouze SSO administrátorům. Vygenerovaný klíč je třeba bezpečně zálohovat a uložit jej na bezpečné místo, z důvodu případného kolapsu Master Secret serveru. Affiliate aplikace systému ENTSOO mohou služby využívat až ve chvíli, kdy je Master Secret server zcela nakonfigurován včetně založení Credential databáze. Pokud chce SSO administrátor periodicky klíč měnit, nebo pokud je změna vyvolána z jiných důvodů, jakými mohou být bezpečnostní požadavky společnosti využívající služeb Microsoft Enterprise Single Sign-On, uchovává Master 31 SQL server - Microsoft SQL Server je software určený ke komplexní, integrované zprávě a řízení dat. 25

26 Secret server s novým šifrovacím klíčem i klíč starý. Při změně Master Secret jsou všechna uživatelská mapování dešifrována za pomoci starého šifrovacího klíče a znovu je zašifrována novým kryptovacím klíčem. Jestliže dojde k problémům a nedostupnosti Master Secret serveru pokračují všechny runtime 32 operace dál, není však možné šifrovat nová oprávnění. V SSO systému je možné provozovat jediný Master Secret server SSO spřátelené aplikace Spřátelené SSO aplikace jsou logické entity, které představují systémy nebo podsystémy jako hosty, koncové systémy nebo řady obchodních aplikací, ke kterým se uživatel či služba pomocí Microsoft ENTSSO připojuje. Spřátelenou aplikaci mohou představovat koncové systémy typu mainframe nebo systémy Unix. Spřátelené aplikace mohou reprezentovat také aplikace, jako jsou SAP, nebo součásti systémů jakými jsou podsystémy odměn nebo například výplatních pásek. Když SSO administrátor případně administrátor SSO spřátelených aplikací definuje spřátelenou aplikaci, musí stanovit, kdo bude tuto spřátelenou aplikaci spravovat, kteří uživatelé budou spřátelenou aplikaci užívat a jaké uživatelské autentizační parametry (uživatelské ID, heslo, PINy, atd.) budou použity pro ověření oprávnění k dané spřátelené aplikaci. Různé spřátelené aplikace systému Microsoft ENTSSO podporují různé typy mapování Windows účtů a účtů obsažených v jiných systémech. Existuje několik aplikačních typů, které jsou v Enterprise SSO definovány: Individuální aplikace podporují mapování jednoho Windows účtu k jedinému jinému tak, jak je znázorněno na obrázku číslo dva Individuální mapování. Individuální mapování lze použít jak směrem z Windows do non-windows tak i obráceně z non- Windows do Windows a stejně tak i obousměrně. Záleží pouze na nastavení příznaků pro konkrétní spřátelenou aplikaci. Z výše uvedeného je tedy možné použít individuální aplikace pro jednotné přihlášení vyvolané Windows i non-windows systémem. Obrázek 2 Individuální mapování 32 Runtime služby jsou služby běžící v reálném čase. 26

27 Skupinové (Group) aplikace slouží k mapování jedné Windows skupiny k jednomu non-windows účtu. Účet uživatelů aplikace je použit k definici skupiny Windows, jejíž uživatelé budou Group aplikaci používat. Group aplikaci lze definovat jedno mapování a to mezi Windows skupinou a jedním účtem non-windows systému jak je patrné z obrázku 3 Skupinové mapování. Takto mapovaný účet bude užíván členy Windows skupiny k přístupu do non-windows systému. Jednotné přihlášení je možné inicializovat pouze ze strany Windows. Obrázek 3 Skupinové mapování. Hostitelské skupinové (Host Group) aplikace jsou konceptuálním opakem Group aplikací. Podporují mapování mezi definovanými non-windows skupinami a samostatnými Windows účty. Obrázek číslo tři zobrazuje orientaci skupinového hostitelského mapování. Samostatný Windows účet používaný non-windows účty je definován účtem aplikačních uživatelů konkrétní aplikace. Skupina non-windows účtů, kterým je aplikace zpřístupněna, je definována při vytvoření a mapování každého z non-windows účtů. Aplikace Host Group jsou použitelné pouze v případě inicializace systému jednotného přihlášení Microsoft Enterprise Single Sign-On ze strany spřátelené hostitelské aplikace. Obrázek 4 Skupinové mapování hostitelské Před založením každé spřátelené aplikace musí buď SSO administrátor nebo administrátor spřátelených aplikací učinit rozhodnutí o tom, co a jak bude spřátelenou aplikaci 27

28 prezentovat, kdo bude zakládanou spřátelenou aplikaci systému Microsoft ENTSSO spravovat, kdo ji bude používat a jaké prověřovací mechanismy budou použity k ověření uživatelských práv ke spřátelené aplikaci a jaký typ mapování bude pro zakládanou spřátelenou aplikaci použit. Existuje poměrně široké spektrum vlastností včetně nutnosti přidání administrátorských práv v aplikaci skupině administrátorů spřátelené aplikace systému ENTSSO. Tento krok je možné učinit pouze při zakládání spřátelené aplikace. Následují nemožnost změny jména, přiřazení spřátelených systémů a určení typu spřátelené aplikace, jenž je také jejím základním faktorem. V tabulce číslo jedna Vlastnosti spřátelené aplikace systému Microsoft Enterprise Single Sign-On je zaznamenán kompletní soupis vlastností, které musí být každé spřátelené aplikaci zadány již při vytváření SSO spřátelené aplikace, případně lze tyto vlastnosti zadat později. Tabulka 1 Vlastnosti spřátelené aplikace systému Microsoft Enterprise Single Sign-On. Vlastnost Jméno aplikace Popis Kontakt Účet uživatelů aplikace Účet administrátora aplikace Popis aplikace Aplikace Povolena/Zakázána Skupina aplikace Konfigurace ukládání Aplikace Inicializace SSO hostem Inicializace SSO windows Validace hesel Zakázání ukládání oprávnění v cache paměti Povolení SSO Tiketů Validace SSO Tiketů Časové omezení SSO Tiketu aplikace Časové omezení SSO Tiketu Povolení lokálních účtů Stejný účet administrátora Popis Jméno spřátelené aplikace. Tuto vlastnost již po vytvoření spřátelené aplikace nelze změnit. Stručný popis spřátelené aplikace. Hlavní kontaktní osoba pro spřátelenou aplikaci. (např. adresa.) Skupina Windows, která obsahuje uživatelské účty koncových uživatelů, kteří budou aplikaci používat. Skupina Windows, která obsahuje účet administrátora, který bude spřátelenou aplikaci spravovat. Podrobný popis spřátelené aplikace Stav konkrétní spřátelené aplikace v systému Microsoft Enterprise Single Sign-On. Popisuje používané mapování konkrétní spřátelené aplikace. Skupinové případně Individuální mapování. Tato vlastnost již po vytvoření spřátelené aplikace nelze změnit. Popisuje typ ukládání konkrétní spřátelené aplikace. Tato vlastnost již po vytvoření spřátelené aplikace nelze změnit. Určuje, zda budou požadavky na ověřování inicializovány z hostitelské strany. Určuje, zda budou požadavky na ověřování inicializovány ze strany Windows. Aplikovatelné pouze u hostitelsky-inicializovaných SSO aplikací. Pokud se aplikace snaží získat oprávnění, musí použít heslo do Credential databáze, které je službou SSO použito k validaci. Zapnutí či vypnutí ukládání oprávnění do cache paměti SSO serveru. Určuje, zda bude ENTSSO používat pro konkrétní spřátelenou aplikaci SSO tikety. Určuje, jak bude ENTSSO systém vylisovat SSO tikety. Specifikuje časově omezenou platnost SSO tiketu pro konkrétní spřátelenou aplikaci systému ENTSSO. Tato vlastnost lze vytvořit pouze při obnově vlastní spřátelené aplikace. Ne při jejím vytváření. Určuje, zda budou mít SSO tikety omezenou platnost. Určuje, zda bude v systému Microsoft ENTSSO možné používat lokální skupiny a účty. Určuje, zda bude k administraci spřátelené aplikace použita skupina SSO administrátora spřátelených aplikací. Zdroj: ( ) Mapování Mapování v systému Microsoft Enterprise Single Sign-On umožní přiřadit oprávnění účtů ve Windows účtům jiným spřáteleným aplikacím. Když SSO administrátor, nebo administrátor spřátelených aplikací SSO definuje novou spřátelenou aplikaci, má na výběr ze dvou typů mapování - individuální a skupinové. SSO individuální mapování umožňuje administrátorům a uživatelům vytvářet osobní mapování Windows uživatelů a jejich odpovídajících oprávnění non-windows. Pokud je u 28

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA 20. 12. 2013 ÚVOD S penetrací IT do fungování společnosti roste důraz na zabezpečení důvěrnosti a opravdovosti (autenticity) informací a potvrzení (autorizaci) přístupu

Více

Využití identity managementu v prostředí veřejné správy

Využití identity managementu v prostředí veřejné správy Využití identity managementu v prostředí veřejné správy Tomáš Král Account Technology Strategist, Public Sector Microsoft ČR Realita dneška: Rostoucí počet provozovaných či používaných, často heterogenních

Více

Microsoft Office 2003 Souhrnný technický dokument white paper

Microsoft Office 2003 Souhrnný technický dokument white paper Microsoft Office 2003 Souhrnný technický dokument white paper Přehled inteligentních klientských aplikací založených na sadě Microsoft Office 2003 System Publikováno: Duben 2003 Shrnutí: Inteligentní klienti

Více

SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management

SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management SAML a XACML jako nová cesta pro Identity management SAML and XACML as a New Way of Identity Management Dagmar BRECHLEROVÁ Oddělení medicínské informatiky, Ústav informatiky AVČR, v.v.i. brechlerova@euromise.cz

Více

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj. GLOBÁLNÍ ARCHITEKTURA ZÁKLADNÍCH REGISTRŮ DOPLNĚK Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj. Obsah 1 Cíle dokumentu...3 2

Více

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice Příloha č. 1 Výzvy k podání nabídky a k prokázání splnění kvalifikace na realizaci veřejné zakázky

Více

POLOPROVOZ ZNALOSTNÍ DATABÁZE INTERPI DOKUMENTACE

POLOPROVOZ ZNALOSTNÍ DATABÁZE INTERPI DOKUMENTACE POLOPROVOZ ZNALOSTNÍ DATABÁZE INTERPI DOKUMENTACE INTERPI Interoperabilita v paměťových institucích Program aplikovaného výzkumu a vývoje národní kulturní identity (NAKI) (DF11P01OVV023) Zpracovali: Marie

Více

X33EJA Web Services. Martin Ptáček, KOMIX s.r.o.

X33EJA Web Services. Martin Ptáček, KOMIX s.r.o. X33EJA Web Services Martin Ptáček, KOMIX s.r.o. ptacek@komix.cz Copyright 2007 KOMIX Copyright s.r.o. 2007 KOMIX s.r.o. 1. Obsah Historie Co jsou Web Services? Co je to SOA? JAX-WS (Java API for XML Web

Více

Pokročilé Webové služby a Caché security. Š. Havlíček

Pokročilé Webové služby a Caché security. Š. Havlíček Pokročilé Webové služby a Caché security Š. Havlíček Webové služby co se tím míní? Webová služba metoda komunikace mezi dvěma elektronickými zařízeními přes internet Typicky jsou pomocí rozhraní přístupné

Více

Servisně orientovaná architektura a její aplikace v systémech sledování a řízení výroby

Servisně orientovaná architektura a její aplikace v systémech sledování a řízení výroby Servisně orientovaná architektura a její aplikace v systémech sledování a řízení výroby Marek Rychlý Vysoké učení technické v Brně Fakulta informačních technologií Ústav informačních systémů VII. ročník

Více

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY Dušan Kajzar Slezská univerzita v Opavě, Filozoficko-přírodovědecká fakulta, Bezručovo nám. 13, 746 00 Opava, e-mail: d.kajzar@c-box.cz Česká pošta, s.p.,

Více

XML Š ABLONY A JEJICH INTEGRACE V LCMS XML TEMPLATES AND THEIN INTEGRATION IN LCMS

XML Š ABLONY A JEJICH INTEGRACE V LCMS XML TEMPLATES AND THEIN INTEGRATION IN LCMS XML Š ABLONY A JEJICH INTEGRACE V LCMS XML TEMPLATES AND THEIN INTEGRATION IN LCMS Roman MALO - Arnošt MOTYČKA This paper is oriented to discussion about using markup language XML and its features in LCMS

Více

IMPLEMENTACE SYSTÉMU GROUPWISE NA PEF ČZU V PRAZE IMPLEMENTATION OF THE SYSTEM GROUPWISE ON THE PEF ČZU PRAGUE. Jiří Vaněk, Jan Jarolímek

IMPLEMENTACE SYSTÉMU GROUPWISE NA PEF ČZU V PRAZE IMPLEMENTATION OF THE SYSTEM GROUPWISE ON THE PEF ČZU PRAGUE. Jiří Vaněk, Jan Jarolímek IMPLEMENTACE SYSTÉMU GROUPWISE NA PEF ČZU V PRAZE IMPLEMENTATION OF THE SYSTEM GROUPWISE ON THE PEF ČZU PRAGUE Jiří Vaněk, Jan Jarolímek Anotace: Příspěvek se zabývá hlavními trendy rozvoje programů pro

Více

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Zabezpečení platformy SOA. Michal Opatřil Corinex Group Zabezpečení platformy Michal Opatřil Corinex Group Agenda Současný přístup k bezpečnosti Požadavky zákazníků CA Security Manager Architektura Klíčové vlastnosti Proč CA Security Manager CA 2 Security Manager

Více

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

HP JetAdvantage Management. Oficiální zpráva o zabezpečení HP JetAdvantage Management Oficiální zpráva o zabezpečení Copyright a licence 2015 Copyright HP Development Company, L.P. Kopírování, úpravy nebo překlad bez předchozího písemného souhlasu jsou zakázány,

Více

Komponentní technologie

Komponentní technologie Komponentní technologie doc. Ing. Miroslav Beneš, Ph.D. katedra informatiky FEI VŠB-TUO A-1007 / 597 324 213 http://www.cs.vsb.cz/benes Miroslav.Benes@vsb.cz Obsah Motivace Aplikace v IT Vývoj přístupů

Více

SPRÁVA ZÁKLADNÍCH REGISTRŮ PODMÍNKY PRO PŘIPOJENÍ AGENDOVÝCH INFORMAČNÍCH SYSTÉMŮ DO ISZR. verze 2.00

SPRÁVA ZÁKLADNÍCH REGISTRŮ PODMÍNKY PRO PŘIPOJENÍ AGENDOVÝCH INFORMAČNÍCH SYSTÉMŮ DO ISZR. verze 2.00 SPRÁVA ZÁKLADNÍCH REGISTRŮ PODMÍNKY PRO PŘIPOJENÍ ORGANIZAČNÍ SLOŽKA STÁTU AGENDOVÝCH INFORMAČNÍCH SYSTÉMŮ DO ISZR VÝROČNÍ ZPRÁVA verze 2.00 ZA ROK 2010 Na Vápence 14 1 www.szrcr.cz OBSAH 1. Úvod... 8

Více

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON 12. 4. 2010

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON 12. 4. 2010 SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE Roman Pudil, SOITRON 12. 4. 2010 Vymezení pojmů Identita = totožnost, shodnost IT identitou může být cokoliv (člověk, místnost, program, ) Trezor identit = úložiště dat

Více

SYSTÉM PRO KONFIGURACI KOMUNIKAČNÍCH TERMINÁLŮ A VIZUALIZACI STAVOVÝCH DAT Z KOLEJOVÝCH VOZIDEL

SYSTÉM PRO KONFIGURACI KOMUNIKAČNÍCH TERMINÁLŮ A VIZUALIZACI STAVOVÝCH DAT Z KOLEJOVÝCH VOZIDEL SYSTÉM PRO KONFIGURACI KOMUNIKAČNÍCH TERMINÁLŮ A VIZUALIZACI STAVOVÝCH DAT Z KOLEJOVÝCH VOZIDEL SYSTEM FOR CONFIGURATION OF COMMUNICATION TERMINALS AND VISUALIZATION OF STATE INFORMATION FROM RAIL VEHICLES

Více

MĚSTSKÝ ROK INFORMATIKY KLADNO

MĚSTSKÝ ROK INFORMATIKY KLADNO Roman Hlaváč - IBM Local Government Manager Miloš Hurdálek - SW specialist 9. června 2011 Chytrá řešení pro města a obce Identity pod kontrolou Identity & Access Management (nejen) pro integraci úřadu

Více

Webové služby. Martin Sochor

Webové služby. Martin Sochor Webové služby Martin Sochor Webové služby způsob komunikace dvou aplikací přes Web binární zprávy (CORBA) blokovány proxy servery a firewally masivní využití XML protokol SOAP + jazyk pro popis služeb

Více

Webové služby a XML. Obsah přednášky. Co jsou to webové služby. Co jsou to webové služby. Webové služby a XML

Webové služby a XML. Obsah přednášky. Co jsou to webové služby. Co jsou to webové služby. Webové služby a XML Obsah přednášky Webové služby a XML Miroslav Beneš Co jsou to webové služby Architektura webových služeb SOAP SOAP a Java SOAP a PHP SOAP a C# Webové služby a XML 2 Co jsou to webové služby rozhraní k

Více

Petr Vlk KPCS CZ. WUG Days října 2016

Petr Vlk KPCS CZ. WUG Days října 2016 Petr Vlk KPCS CZ WUG Days 2016 8. října 2016 Jednoduchá správa Zařízení Jednotné přihlašování Windows Server Active Directory Další systémy a aplikace Uživatelské jméno Azure Veřejný Cloud SaaS Office

Více

Korporátní identita - nejcennější aktivum

Korporátní identita - nejcennější aktivum Korporátní identita - nejcennější aktivum Luděk Šafář Services Team Leader lsafar@novell.cz 03/13/2006 Standardní prostředí IT prostředí je diverzifikované a komplexní Administrativní činnosti jsou manuální

Více

Novell Identity Management. Jaromír Látal Datron, a.s.

Novell Identity Management. Jaromír Látal Datron, a.s. Novell Identity Management Jaromír Látal Datron, a.s. 19.4.2012 1 Identity management základní vlastnosti Jednoduché a rychlé poskytování uživatelských účtů Samoobslužné funkce pro uživatele Snadný návrh

Více

Extrémně silné zabezpečení mobilního přístupu do sítě

Extrémně silné zabezpečení mobilního přístupu do sítě www.eset.cz Extrémně silné zabezpečení mobilního přístupu do sítě ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a jejímu obsahu. Jedná se o mobilní řešení,

Více

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW Příloha č. 4 - Specifikace a informace o předmětu veřejné zakázky Předmětem veřejné zakázky je řízení projektu, správa a údržba programového vybavení pro informační systém Základní Registr osob (dále rovněž

Více

Č á s t 1 Příprava instalace

Č á s t 1 Příprava instalace Obsah Úvod 31 Seznámení se s rodinou produktů 31 Co je nového v systému Windows Server 2003 32 Práce s touto příručkou 32 Obsah této příručky 33 Obsah disku CD-ROM 34 Komunikujte s námi 35 Část 1 Příprava

Více

Optimalizace struktury serveru

Optimalizace struktury serveru Osvědčené postupy pro snížení provozních nákladů na informační technologie (IT) Výtah Tento dokument obsahuje informace pro technické řídicí pracovníky a manažery IT. Popisuje způsoby, kterými mohou organizace

Více

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb Příloha č. 1 Servisní smlouvy Katalog služeb S2_P1_Katalog služeb 1 Obsah 1 OBSAH... 2 2 DEFINICE SLUŽEB... 3 3 SPECIFIKACE SLUŽEB... 6 3.1 SLUŽBA PS01_PROVOZ A SPRÁVA... 6 3.2 SLUŽBA PS02_ZÁLOHA A OBNOVA...

Více

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o.

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. Digitální identita zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. 0 18.2.2009 Security 2009 Ověřování identity o co jde? nutnost prokazování identity osob není nic

Více

Manuál administrátora FMS...2

Manuál administrátora FMS...2 Manuál administrátora Manuál administrátora FMS...2 Úvod... 2 Schéma aplikace Form Management System... 2 Úvod do správy FMS... 3 Správa uživatelů... 3 Práva uživatelů a skupin... 3 Zástupci... 4 Avíza

Více

Správa přístupu PS3-1

Správa přístupu PS3-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-1 1 Osnova I základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; současné metody

Více

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série NA PŘÍKOPĚ 28 115 03 PRAHA 1 Sekce správní odbor obchodní V Praze 10. července 2015 Č.j. 2015/076951/CNB/420 Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série Zadavatel níže

Více

Relační databáze a povaha dat

Relační databáze a povaha dat Relační databáze a povaha dat Roman Bartoš Copyright istudium, 2005, http://www.istudium.cz Žádná část této publikace nesmí být publikována a šířena žádným způsobem a v žádné podobě bez výslovného svolení

Více

Outlook 2010. David Procházka. Vydala Grada Publishing, a.s. U Průhonu 22, Praha 7 jako svou 4154. publikaci

Outlook 2010. David Procházka. Vydala Grada Publishing, a.s. U Průhonu 22, Praha 7 jako svou 4154. publikaci Outlook 2010 David Procházka Vydala Grada Publishing, a.s. U Průhonu 22, Praha 7 jako svou 4154. publikaci Odpovědný redaktor Zuzana Malečková Sazba Tomáš Brejcha Počet stran 168 První vydání, Praha 2010

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

ROZVOJ ICT A PDA ZAŘÍZENÍ THE DEVELOPMENT OF ICT AND PDA DEVICES Jiří Vaněk

ROZVOJ ICT A PDA ZAŘÍZENÍ THE DEVELOPMENT OF ICT AND PDA DEVICES Jiří Vaněk ROZVOJ ICT A PDA ZAŘÍZENÍ THE DEVELOPMENT OF ICT AND PDA DEVICES Jiří Vaněk Anotace: Příspěvek se zabývá rozvojem informačních a komunikačních technologií se zaměřením na trendy technického a programového

Více

VÝZVA K PODÁNÍ NABÍDKY NA VEŘEJNOU ZAKÁZKU MALÉHO ROZSAHU. JAMU Doplnění a rozšíření SW vybavení "

VÝZVA K PODÁNÍ NABÍDKY NA VEŘEJNOU ZAKÁZKU MALÉHO ROZSAHU. JAMU Doplnění a rozšíření SW vybavení Janáčkova akademie múzických umění v Brně Beethovenova 650/2, 662 15 Brno IČO: 62156462, DIČ: CZ 62156462, bankovní spojení KB Brno č. účtu 27-0493900217/0100 Veřejná vysoká škola podle zákona č. 111/1998

Více

Softwarové komponenty a Internet

Softwarové komponenty a Internet Softwarové komponenty a Internet Doc. Dr. Ing. Miroslav Beneš Katedra informatiky FEI VŠB-TU Ostrava Miroslav.Benes@vsb.cz Obsah přednášky Motivace Vývoj přístupů k tvorbě programů Definice komponenty

Více

Telekomunikační sítě Protokolové modely

Telekomunikační sítě Protokolové modely Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava Telekomunikační sítě Protokolové modely Datum: 14.2.2012 Autor: Ing. Petr Machník, Ph.D. Kontakt: petr.machnik@vsb.cz Předmět: Telekomunikační sítě

Více

Digital Dao, Jeffrey Carr

Digital Dao, Jeffrey Carr Digital Dao, Jeffrey Carr Zabezpečená sjednocená komunikace (přes různá zařízení a formáty) Information Assurance (C-I-A) Security By Design (základ SDL) Federace systémů (např. TSCP) Federated Intelligence

Více

EXTRAKT z mezinárodní normy

EXTRAKT z mezinárodní normy EXTRAKT z mezinárodní normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě ICS 03.220.01;35.240.60 Inteligentní dopravní systémy (ITS) Elektronická výměna informací

Více

1. Webové služby. K čemu slouží? 2. RPC Web Service. 3. SOA Web Service. 4. RESTful Web services

1. Webové služby. K čemu slouží? 2. RPC Web Service. 3. SOA Web Service. 4. RESTful Web services 13. Webové služby. K čemu slouží? Popis a vyhledávání služeb. Co je a k čemu slouží orchestrace a choreografie služeb. Technologie pro implementaci služeb 1. Webové služby. K čemu slouží? Definice WS -

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

VYUŽITÍ REGIONÁLNÍCH FUNKCÍ A WWW ROZHRANÍ V INTEGROVANÉM KNIHOVNÍM SYSTÉMU KPWINSQL

VYUŽITÍ REGIONÁLNÍCH FUNKCÍ A WWW ROZHRANÍ V INTEGROVANÉM KNIHOVNÍM SYSTÉMU KPWINSQL VYUŽITÍ REGIONÁLNÍCH FUNKCÍ A WWW ROZHRANÍ V INTEGROVANÉM KNIHOVNÍM SYSTÉMU KPWINSQL Petr Štefan Václav Trunec, KP-sys, Čacké 155, Pardubice 1 Úvod Firma KP-SYS spol. s r. o. dodává na náš trh integrované

Více

Architektura protokolů

Architektura protokolů Architektura protokolů KIV/PD Přenos dat Martin Šimek O čem přednáška je? 2 co se rozumí architekturou protokolů? protokol a složky protokolu encapsulace protokolových složek ISO OSI RM Co se rozumí architekturou

Více

9/2011 Sb. VYHLÁŠKA ze dne 10. ledna 2011,

9/2011 Sb. VYHLÁŠKA ze dne 10. ledna 2011, 9/2011 Sb. VYHLÁŠKA ze dne 10. ledna 2011, kterou se stanoví podrobnější podmínky týkající se elektronických nástrojů a úkonů učiněných elektronicky při zadávání veřejných zakázek a podrobnosti týkající

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

VNITŘNÍ POKYN Č. 3/2004 PROVOZNÍ ŘÁD POČÍTAČOVÉ SÍTĚ

VNITŘNÍ POKYN Č. 3/2004 PROVOZNÍ ŘÁD POČÍTAČOVÉ SÍTĚ MĚSTSKÝ ÚŘAD Masarykovo nám. 189, 766 01 Valašské Klobouky VALAŠSKÉ KLOBOUKY VNITŘNÍ POKYN Č. 3/2004 PROVOZNÍ ŘÁD POČÍTAČOVÉ SÍTĚ 1. ÚČEL Směrnice Provozní řád počítačové sítě stanovuje pravidla pro užívání

Více

EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě

EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě ICS 35.240.60, 43.080.20, 45.060.01 Veřejná doprava osob Pracovní rozhraní pro informace

Více

Program Technické podpory SODATSW spol. s r.o.

Program Technické podpory SODATSW spol. s r.o. Program Technické podpory SODATSW spol. s r.o. Úvodní slovo Verze: 3.1.0 Vážení zákazníci, partneři, dodavatelé a vy všichni ostatní, kteří rádi používáte, využíváte či prodáváte produkty a služby společnosti

Více

ELEARNING NA UJEP PŘEDSTAVY A SKUTEČNOST

ELEARNING NA UJEP PŘEDSTAVY A SKUTEČNOST ELEARNING NA UJEP PŘEDSTAVY A SKUTEČNOST JAN ČERNÝ, PETR NOVÁK Univerzita J.E. Purkyně v Ústí nad Labem Abstrakt: Článek popisuje problematiku rozvoje elearningu na UJEP. Snahu o vytvoření jednotného celouniverzitního

Více

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification Důvěřujte JEN PROVĚŘENÝM Pavel Dobiš, ICT Security Architect Agenda Aplikace PIV v MO USA Architektura PIV Fyzická bezpečnost a PIV Informační bezpečnost a PIV Co je to PIV není Pivo :o) Soubor lidí, procesů

Více

STORK Secure Identity Across Borders Linked

STORK Secure Identity Across Borders Linked STORK Secure Identity Across Borders Linked Michal Procházka CESNET Ústav výpočetní techniky - Masarykova univerzita EurOpen 2016 Jindřichův Hradec Obsah Autentizace Single Sign-On Federované přihlášení

Více

Technologie sémantického webu (4.11.2010) Roman Špánek

Technologie sémantického webu (4.11.2010) Roman Špánek DŮVĚRAŮ Ě A SÉMANTICKÝ WEB Technologie sémantického webu (4.11.2010) Roman Špánek Obsah 2 Úvod Sémantický web, bezpečnost a důvěra Možné přístupy Reputační č systémy Závěr Bezpečnost a budoucnost 3 Slibná

Více

Brno. 30. května 2014

Brno. 30. května 2014 Brno 30. května 2014 1 IBM regionální zástupci - Morava Lubomír Korbel phone: +420 737 264 440 e-mail: lubomir_korbel@cz.ibm.com Dagmar Krejčíková phone: +420 737 264 334 e-mail: dagmar_krejcikova@cz.ibm.com

Více

Bezpečná autentizace přístupu do firemní sítě

Bezpečná autentizace přístupu do firemní sítě Bezpečná autentizace přístupu do firemní sítě ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá dvoufaktorové

Více

IS SEM - informační systém pro správu a evidenci nemovitého majetku hlavního města Prahy

IS SEM - informační systém pro správu a evidenci nemovitého majetku hlavního města Prahy IS SEM - informační systém pro správu a evidenci nemovitého majetku hlavního města Prahy Martin Diviš, Martin Vimr DELTAX Systems a.s. Jankovcova 1569/2c 170 00 Praha 7 martin.divis@deltax.cz, martin.vimr@deltax.cz

Více

Příloha č. 2 - Integrace SpiritÚAP do ESB Jihočeského kraje

Příloha č. 2 - Integrace SpiritÚAP do ESB Jihočeského kraje Příloha č. 2 - Integrace SpiritÚAP do ESB Jihočeského kraje 1. Úvod Dokument popisuje způsob integrace aplikace SpiritUAP do ESB (Enterprise Service Bus) Jihočeského kraje, která bude implementována v

Více

Globální architektura ROS

Globální architektura ROS Verze: 1.1 Obsah: 1. Vymezení cílů dokumentu... 4 2. Pojmy a zkratky... 5 3. Procesní architektura...10 3.1. Upřesnění struktury dokumentu:...10 3.2. Postup tvorby a použité metodiky...10 3.3. Základní

Více

1. Aplikační architektura

1. Aplikační architektura 1. Aplikační architektura Kapitola popisuje s použitím typové architektury požadavky na architekturu aplikace. Cílem standardizace v této oblasti je optimalizace využití zdrojů, snížení nákladů na provoz

Více

Nastavení provozního prostředí webového prohlížeče pro aplikaci

Nastavení provozního prostředí webového prohlížeče pro aplikaci Nastavení provozního prostředí webového prohlížeče pro aplikaci IS o ISVS - Informační systém o informačních systémech veřejné správy verze 2.03.00 pro uživatele vypracovala společnost ASD Software, s.r.o.

Více

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního PŘEHLED SLUŽEB A PARAMETRŮ ELEKTRONICKÉHO BANKOVNICTVÍ A) PŘEHLED SLUŽEB A PARAMETRŮ - ELTRANS 2000 Přehled pasivních služeb Eltrans 2000 Informace o zůstatcích Zobrazení, tisk a export Informací o zůstatcích

Více

Správa identity. Božetěchova 2, 612 66 Brno hanacek@fit.vutbr.cz 2 Katedra počítačových systémů a komunikaci, FI MU Brno

Správa identity. Božetěchova 2, 612 66 Brno hanacek@fit.vutbr.cz 2 Katedra počítačových systémů a komunikaci, FI MU Brno Petr HANÁČEK 1, Jan STAUDEK 2 1 Ústav inteligentních systémů,fit VUT Brno Božetěchova 2, 612 66 Brno hanacek@fit.vutbr.cz 2 Katedra počítačových systémů a komunikaci, FI MU Brno Botanická 68a, 602 00 Brno

Více

Unified Communications. Client Applications. Cisco Unified Personal Communicator. Cisco Unified IP Communicator. Hlavní výhody.

Unified Communications. Client Applications. Cisco Unified Personal Communicator. Cisco Unified IP Communicator. Hlavní výhody. Client Applications Cisco Unified Personal Communicator Mnoho uživatelů je dnes přetěžováno nutností používat různé komunikační nástroje, z nichž každý funguje odlišně, používá jiná pravidla a adresáře.

Více

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují:

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují: Popis služeb Služby Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services poskytují služby poradenství a prototypování k podpoře inovace a transformace Zákazníka

Více

Referenční rozhraní. Jiří Kosek. Ministerstvo informatiky ČR. ISSS 25. března 2003

Referenční rozhraní. Jiří Kosek. Ministerstvo informatiky ČR. ISSS 25. března 2003 Jiří Kosek Ministerstvo informatiky ČR ISSS 25. března 2003 Požadavky na RR!zákon 365/2000 Sb.!RR je souhrnem opatření, která vytvářejí jednotné integrační prostředí informačních systémů veřejné správy!rr

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě. ICS 35.240.60; 03.220.20 Elektronický výběr poplatků (EFC) Architektura systému

Více

Abstrakt. Klíčová slova. Abstract. Key words

Abstrakt. Klíčová slova. Abstract. Key words Vize portálu KNIŽNÍ DATABÁZE Jakub Houžvička Abstrakt Tato semestrální práce má pomoci seznámit s vizí projektu Knižní databáze. Jedná se o projekt v podobě webového portálu přístupnému všem uživatelům

Více

Software pro personalizaci karet

Software pro personalizaci karet Software pro personalizaci karet Intuitivní, rychlý a efektivní, těžko uvěřit, že je to software pro identifikační karty. Jediný program pro všechny tiskárny. Asure ID 7 pracuje s tiskárnami pro potisk

Více

2 Popis softwaru Administrative Management Center

2 Popis softwaru Administrative Management Center Testovací protokol USB token ikey 4000 1 Úvod 1.1 Testovaný produkt Hardware: USB token ikey 4000 Software: Administrative Management Center 7.0 Service Pack 8 SafeNet Borderless Security 7.0 Service Pack

Více

Společnost Xerox vytváří škálovatelné, hostované řešení pro optimalizaci globální správy tiskových aktiv

Společnost Xerox vytváří škálovatelné, hostované řešení pro optimalizaci globální správy tiskových aktiv Microsoft Visual Studio 2005 a Microsoft SQL Server 2005 Případová studie zákaznického řešení Společnost Xerox vytváří škálovatelné, hostované řešení pro optimalizaci globální správy tiskových aktiv Přehled

Více

Seznámení s IEEE802.1 a IEEE802.3. a IEEE802.3

Seznámení s IEEE802.1 a IEEE802.3. a IEEE802.3 Seznámení s IEEE802.1 a IEEE802.3 a IEEE802.3 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Seznámení s IEEE802.1 a IEEE802.3 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software:

Více

Příloha č. 1 zadávací dokumentace veřejné zakázky Spisová služba pro ČIŽP Technické podmínky

Příloha č. 1 zadávací dokumentace veřejné zakázky Spisová služba pro ČIŽP Technické podmínky Příloha č. 1 zadávací dokumentace veřejné zakázky Spisová služba pro ČIŽP Technické podmínky 1.1.1. Obecné požadavky na systém Požadovaný informační systém musí být schopen realizovat plánované i ad hoc

Více

Č.j. PPR-15160-80/ČJ-2011-0099EC Praha 2.12.2011 Počet listů: 5 + email nebo fax

Č.j. PPR-15160-80/ČJ-2011-0099EC Praha 2.12.2011 Počet listů: 5 + email nebo fax POLICEJNÍ PREZIDIUM ČESKÉ REPUBLIKY Odbor veřejných zakázek Č.j. PPR-15160-80/ČJ-2011-0099EC Praha 2.12.2011 Počet listů: 5 + email nebo fax Dle seznamu uchazečů č.j. PPR-15160-15/ČJ-2011-0099EC, kteří

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

BankKlient. FAQs. verze 9.50

BankKlient. FAQs. verze 9.50 BankKlient FAQs verze 9.50 2 BankKlient Obsah: Úvod... 3 Instalace BankKlient možné problémy... 3 1. Nejsou instalovány požadované aktualizace systému Windows... 3 2. Instalační program hlásí, že nemáte

Více

Správa uživatelů, User Management

Správa uživatelů, User Management Osnova přednášky Správa uživatelů, User Management PV 017 Bezpečnost IT Jan Staudek Úvod do správy uživatelů bázové pojmy, cíle Funkcionalita správy uživatelů, Správa životního cyklu účtu uživatele Standardizované

Více

Směry rozvoje v oblasti ochrany informací KS - 7

Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006

Více

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ a SINGLE SIGN-ON pro Vaši bezpečnost DPDC Identity DPDC Identity DPDC Identity je komplexním řešením pro automatizovanou

Více

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky. Czech POINT Účel dokumentu Tento PŘ stanovuje základní pravidla provozu systému Czech POINT v prostředí CMS, stanovuje odpovědnosti jednotlivých subjektů zúčastněných na přenosu dat a základní bezpečnostní

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Otevřený svět ICS. Radim Navrátil. aneb co svět oken a ICS? Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o.

Otevřený svět ICS. Radim Navrátil. aneb co svět oken a ICS? Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o. Otevřený svět ICS aneb co svět oken a ICS? Radim Navrátil Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o. Téma přednášky Co a jak lze napojit ve světě oken? Využitím nativních

Více

UŽIVATELSKÁ DOKUMENTACE PRO DODAVATELE. Stav ke dni 1. 8. 2013 v. 2.0

UŽIVATELSKÁ DOKUMENTACE PRO DODAVATELE. Stav ke dni 1. 8. 2013 v. 2.0 UŽIVATELSKÁ DOKUMENTACE PRO DODAVATELE Stav ke dni 1. 8. 2013 v. 2.0 Obsah: 1 Úvod... 3 1.1 Definice a zkratky... 4 1.2 Podmínky provozu... 4 1.3 Pokyny k užívání dokumentu... 4 1.4 Obecné informace o

Více

Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí

Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí Marta Vohnoutová Siemens IT Solutions and Services, s.r.o. Evropská 33a, 160 00 Praha 6 marta.vohnoutova@siemens.com

Více

Statistica, kdo je kdo?

Statistica, kdo je kdo? Statistica, kdo je kdo? Newsletter Statistica ACADEMY Téma: Typy instalací Typ článku: Teorie Někteří z vás používají univerzitní licence, někteří síťové, podnikové atd. V tomto článku Vám představíme,

Více

Jak efektivně ochránit Informix?

Jak efektivně ochránit Informix? Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,

Více

Webové služby a ontologie

Webové služby a ontologie Webové služby a ontologie Vojtěch Svátek, Vladimír Vávra Vysoká škola ekonomická v Praze katedra informačního a znalostního inženýrství Agenda Vymezení pojmu ontologie Webové služby (WS) a jejich omezení

Více

Microsoft Office Project Server 2003. V Eurotelu Praha byl implementován systém pro řízení strategických projektů

Microsoft Office Project Server 2003. V Eurotelu Praha byl implementován systém pro řízení strategických projektů Microsoft Office Project Server 2003 V Eurotelu Praha byl implementován systém pro řízení strategických projektů Přehled Země: Česká republika Odvětví: Telekomunikace Profil zákazníka Eurotel Praha, spol.

Více

Jedno globální řešení pro vaše Mezinárodní podnikání

Jedno globální řešení pro vaše Mezinárodní podnikání Jedno globální řešení pro vaše Mezinárodní podnikání Obsah 2 Známe váš svět, jsme jeho součástí 4 Správné řešení pro vaše mezinárodní podnikání 6 Standardní řešení s jedinečnými výhodami 8 Jedno globální

Více

Co je to Grid. Martin Kuba <makub@ics.muni.cz> Superpočítačové Centrum Brno. 22.2.2005 Seminář CESNET, Třešť

Co je to Grid. Martin Kuba <makub@ics.muni.cz> Superpočítačové Centrum Brno. 22.2.2005 Seminář CESNET, Třešť Co je to Grid Martin Kuba Superpočítačové Centrum Brno Obsah prezentace grid gridové služby semantický grid Computational grid lze přeložit jako výpočetní rozvodná soustava analogie

Více

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services Digitální identita Moderní přístup k identifikaci klienta Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services Digitální identita Moderní přístup k identifikaci klienta za pomoci federované

Více

INFORMAČNÍ A ŘÍDÍCÍ SYSTÉMY PRO TECHNOLOGICKÉ PROCESY (Soudobé vážicí systémy se zaměřením na zemědělskou výrobu)

INFORMAČNÍ A ŘÍDÍCÍ SYSTÉMY PRO TECHNOLOGICKÉ PROCESY (Soudobé vážicí systémy se zaměřením na zemědělskou výrobu) INFORMAČNÍ A ŘÍDÍCÍ SYSTÉMY PRO TECHNOLOGICKÉ PROCESY (Soudobé vážicí systémy se zaměřením na zemědělskou výrobu) Jan Havel Ing. Jan Havel, DrSc., TONAVA, a.s. Úpice Anotace: Problematika informačních

Více

Jednotná komunikace a síťová infrastruktura automatizace zabezpečení a správythere

Jednotná komunikace a síťová infrastruktura automatizace zabezpečení a správythere Whitepaper Jednotná komunikace a síťová infrastruktura automatizace zabezpečení a správythere Úvod Již na konci 90. let minulého století byl uveden do provozu první komerční komunikační systém na infrastruktuře

Více

Nový uživatelský zážitek. Aleš Kučera ISSS 2015

Nový uživatelský zážitek. Aleš Kučera ISSS 2015 Nový uživatelský zážitek Aleš Kučera ISSS 2015 NEWPS.CZ s.r.o. Vize Mise Strategie Taktika NEWPS.CZ -> Nový uživatelský zážitek 2 Všichni jsme věděli, že telefon musí mít kolečko. Přišel telefon s tlačítky.

Více

Katalog služeb a podmínky poskytování provozu

Katalog služeb a podmínky poskytování provozu Příloha č. 1 Servisní smlouvy Katalog služeb a podmínky poskytování provozu Část P2_1 P2_1_Katalog služeb a podmínky poskytování provozu 1 Obsah 1 OBSAH... 2 2 DEFINICE POJMŮ... 3 3 DEFINICE SLUŽEB, KOMPONENT

Více

EXTRAKT z mezinárodní normy

EXTRAKT z mezinárodní normy EXTRAKT z mezinárodní normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě ICS: 03.220.01; 35.240.60 Komunikační infrastruktura pro pozemní mobilní zařízení (CALM)

Více