Autentizační server C.A.S.E. Bezpečný a pohodlný single-sign on do interní sítě i cloud služeb.

Transkript

1 Autentizační server C.A.S.E. Bezpečný a pohodlný single-sign on do interní sítě i cloud služeb.

2 Řešení, které usnadňuje uživatelům proces autentizace do interních IT prostředí a do externích webových služeb z různých zařízení. Autentizační server C.A.S.E. představuje řešení pro snadné využití dvoufaktorových autentizačních metod pro autorizaci požadavků v rámci vnitropodnikové sítě i online služeb (webové portály i cloud služby). Dvoufaktorová autentizace je založena na kombinaci dvou nezávislých kategorií něco znám (např. PIN, heslo) a něco mám (např. čipovou kartu, mobilní telefon). Např. jednorázová hesla distribuovaná prostřednictví SMS zpráv nebo do aplikace v mobilním telefonu, řešení na bázi elektronického podpisu uložené v bezpečném uložišti čipové karty či SIM karty mobilního telefonu. C.A.S.E. umožňuje významné posílení firemní bezpečnosti a zvyšuje uživatelský komfort při autentizaci do firemních sítí. Podporuje standardizovaná řešení a je snadno integrovatelný do stávajícího prostředí, bez významných zásahů do jeho IT infrastruktury. Klíčové vlastnosti autentizačního serveru CASE: + Robustní bezpečnostní koncept jednotného autentizačního místa + Podporuje silné autentizační metody (jednorázová hesla, single sign-on, elektronický podpis) + Snadná integrace řešení do stávající infrastruktury + Garantovaná vysoká dostupnost a servis v režimu 24x7

3 Modulární architektura C.A.S.E. Dostupnost + HA - vysoká dostupnost + Řízení výkonu (Load Balancing) + Záložní instance Uživatelské rozhraní + Samoobslužný portál uživatele + Administrační rozhraní + Helpdesk + Jednotná přihlašovací brána Podporované aplikační protokoly + RADIUS + LDAP/BIND + WEB-SERVICES + SAML + ADFS Dvoufaktorová bezpečnost + Statická hesla / PIN + SMS OTP + Identifikované volání (ID Call) + OATH OTP (HW i SW tokeny) + EMV OTP (CAP/DPA) + X.509 certifikáty (HW i SW úložiště) Autentizační jádro Autentizační jádro vystupuje jako centrální bod v řetězci autentizačních a autorizačních procesů (přihlášení uživatele, potvrzení transakce atp.). Implementuje všechny bezpečnostně citlivé operace a zajišťuje kryptografické funkce systému. Využívá certifikovaný bezpečnostní modul (FIPS Level 3). Autentizační jádro je optimalizováno tak, že umožňuje zpracování řádově několika tisíc autentizačních transakcí za minutu. Federační vrstva (Federace identit) Vytváří uživatelům komfortní a vysoce bezpečné prostředí pro snadné přihlašování k aplikacím nejen v rámci interní sítě, ale i k online službám, včetně služeb třetích stran (např. Google Apps, Microsoft Office 365 aj.). Dvoufaktorové autentizační nástroje K dispozici jsou různé metody pro generování jednorázových hesel jako např.: autentizační SMS zprávy, software pro mobilní telefony či PC, generátory umístěné na SIM kartě (SIM Toolkit) nebo formou samostatného hardware (HW tokeny, EMV platební karty). Lze také využít bezpečnostních vlastností digitálních certifikátů umístěných v software specializované aplikace, SIM kartě nebo čipové kartě v kombinaci s kontaktní i bezkontaktní čtečkou (může být např. i NFC mobilní telefon). Komunikační rozhraní Autentizačních server C.A.S.E. je připraven na snadnou implementaci do již existující infrastruktury. Řešení je založeno na otevřených standardech, základní podporovaná komunikačních rozhraní zahrnují RADIUS, LDAP a SAML. Systémy, které neumožňují integraci s jedním z výše uvedených rozhraní, lze integrovat prostřednictvím individuálně vytvořených integračních rozhraní. Mobilní aplikace + Push notifikační služby + OTP generátor pro offline i online režim + Podpora QR kódů + V NFC (NFC SIM, PKI čipová karta, EMV platební karta) + Vizualizace transakcí (vidím, co podepisuji) Back Office BackOffice integruje separátní obslužné moduly. Uživatelům může sloužit k aktivaci a registraci koncových zařízení, nastavení hesel či certifikátů. Administrátorům umožňuje veškerý provozní monitoring a správu. Součástí BackOffice funkcí je také robustní auditní záznam a statistická analýza, které umožňuje detekci a prevenci vnějších útoků.

4 C.A.S.E. Mobile Komfortní a bezpečná doufaktorová autentizace pomocí chytrého mobilního telefonu. Aplikace C.A.S.E. Mobile nabízí velmi komfortní a bezpečnou dvoufaktorovou autentizaci ze smartphonů operačních systémů Android a Apple ios. Mobilní aplikace zbavuje uživatele nutnosti přepisování dlouhých jednorázových hesel, avšak zachovává tento silný bezpečnostní koncept. V rámci aktivace mobilní aplikace C.A.S.E. je vygenerován osobní certifikát uživatele včetně privátního klíče i sdílené tajemství pro OTP generátor. V pokročilých režimech umožňuje také mobilní autentizační aplikace kromě uložení identity uživatele operačního systému i uložení identity na bezpečný hardware jako je NFC SIM karta nebo bezkontaktní čipová karta. C.A.S.E. Mobile umožňuje: + online autorizaci transakcí + generování jednorázových hesel + ověřené volání ID Call Reference C.A.S.E. MONET+, a. s. Za Dvorem 505, Zlin - Stipa (Czech Republic) obchod@monetplus.cz Office address Office Center, Venceslas Square Prague (Czech Republic)

5 mobile Solution for e-travel Additional C.A.S.E. mobile application of C.A.S.E. server security offers a sophisticated solution to multiple-factor verification of user identity, secure document login in the system security and transaction authorization without losing the user comfort. The application is available for the most common operating systems Android and ios in their standard distribution channels, Google Play and AppStore. exchange

6 Users can activate C.A.S.E. application in several ways: + using QR code; + one-time password entry; or + using contactless smart card. When C.A.S.E. mobile application is activated, a personal certificate, incl. the private key, and shared secret for OTP generator are generated. The application enables storing user identity using: + means of operating system; + NFC SIM card; or + contactless smart card. C.A.S.E. mobile application supports the FOLLOWING OPERATIONS: 1. Transaction authorization The user may be invited to sign the transaction in the following scenarios: + immediate authorization using GCM (Google Cloud Messaging) or APNS (Apple Push Notification Services); + notification by the operating system; or + adding the transaction in the list of transactions to be authorized later (without immediate notification). The transaction is visualized using the WYSIWYS system and after being approved by the user it is electronically signed. The application enables the user to view transaction history. 2. One-time password generation Shared secret for OTP generation is PIN protected in the OS. On NFC enabled devices it can be stored in the SIM card (secure HW - Secure element) or in the external contactless card. In such case, the PIN is optional. One-time password can be generated using the challenge generated by an external application, or by C.A.S.E. server (challenge response mechanism). 3. Authenticated ID call C.A.S.E. mobile application enables the user to initiate an authenticated call with the call center operator. The user identity is guaranteed for the operator at the moment of accepting the call already. Headquarters MONET+, a. s. Za Dvorem 505, Zlin - Stipa (Czech Republic) obchod@monetplus.cz mobile Office in Prague Office Center, Wenceslas Square 33, Prague (Czech Republic)