Multichannel Entry Point Technologický pohled na nové přístupy k autentizaci v přímých bankovních kanálech
Všechno, co jste kdy chtěli vědět o sexu (ale báli jste se zeptat)
Pardon o MEPu
Multi co?
B - obchodních značek A - služeb N - uživatelských identit K - kanálů Y - zařízení
Banka Aktivní obchody Pasivní obchody Produkty 3. stran Poplatky Pobočka Call centrum Online ATM Klient (vlastník) Klient (disponent) Neklient Telefon Tablet PC Platební karty
Obchodní značky Aktivní obchody Pasivní obchody Produkty 3. stran Poplatky Pobočka Call centrum Online ATM Klient (vlastník) Klient (disponent) Neklient Telefon Tablet PC Platební karty
Multi Authn & Authz A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda
Multi Authn & Authz A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys A&A Sys Autentizační služby A&A Sys A&A Sys A&A Sys A&A Sys A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda A&A Metoda Autentizační A&A Metoda A&A metody Metoda A&A Metoda
MEP autentizace jako služba Zavádíme koncept oddělení technologických kompetencí Business funkcionality aplikací Sdílené služby bezpečnosti 1. Obsluha mnoha business aplikací 2. Jedno místo pro řízení bezpečnosti 3. Jedna klientská identita 4. Podpora různých autentizačních metod 5. Funkce pro správu životního cyklu autentizačních metod
Autentizace jako služba MEP IB IB IB MB IB 3 rd party (eshops)
A komu tím prospějete, co?
Tradiční přístup integrace bezpečnostních metod Mám PC a offline mobil Login INPUT: username INPUT: OTP BUTOTN: Přihlásit LINK: registrace Přihlášení Autorizace transakce Rekapitulace transakce QR kód transakce INPUT: OTP BUTTON: potvrdit LINK: zpět Vstupní url, Redirect dle device Homepage PC/ Tablet (rozcestník) Tablet/PC Mám PC a klasický mobil Mám PC a online mobil Pozn: Zkuste i mobilní verzi ze smartphone Login INPUT:username INPUT: heslo BUTTON: Přihlásit LINK: Registrace Login INPUT: username BUTTON: Přihlásit LINK: registrace Chyba Potvrzení přihlášení TEXT: sesison id INPUT: autorizační kód BUTTON: Přihlásit BUTTON: Zpět Čekání na přihlášení TEXT: session id BUTTON: Přerušit Chyba Chyba přihlášení OK YourBank IB TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit Chyba přihlášení LINK: Zpět Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět Rekapitulace transakce INPUT: autorizační kód BUTTON: potvrdit LINK: zpět Čekání na potvrzení BUTTON: přerušit LINK: zpět Výsledek ověření transakce LINK: Pokračovat Mobil Homepage Mobil Mám online mobil Registrace FORM: logonname, PIN, telefonní číslo (volitelně), email pro odblokování BUTTON: potvrdit BUTTON: zpět TEXT: Aktivační kód IMAGE: Aktivační QR kód BUTTON: zpět Pozn: Zkuste i desktop verzi (PC/ tablet) Registrace SMS: FORM: logonname, heslo, telefonní číslo BUTTON: potvrdit BUTTON: zpět Výsledek registrace BUTTON: Zpět Registrace yourbank.monetplus.cz
Nový přístup integrace bezpečnostních metod SSO Logoout Logout Slef-service registration HEADER Error Page HEADER Logo + link: Monet Logo + link: Ahead FedBank Corporate/ Personal BUTTON: Registrace BUTTON: Přihlásit Přihlásit Registrace SSO Logon Bad Response OK HEADER + USER TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit Plaťák Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět FS FTM Výsledek ověření transakce LINK: Pokračovat
Funkce a procesy Správa metod aktivace, deaktivace, blokování, odblokování, Autentizace uživatele (SAML) Autorizace požadavků WebAPI (OAuth) Autorizace transakcí (custom, SAML based) Single sign-on (SAML) Single sign-off (SAML) Správa atributů a rolí
Je to bezpečné?
Bezpečnost Bezpečnost není snížena v porovnání s tradičním přístupem Bezpečnostní funkce jsou realizovány v jednom místě Centralizace přináší výhody Lze realizovat SSO i tak, že není nutné zadávat přihlašovací údaje např. při přechodu na další aplikaci Může vznikat potenciální riziko přihlášení se na službu, do které se uživatel přihlásit nechtěl Velký důraz je kladen na autorizace transakcí Rizikové aktivní operace se explicitně potvrzují WYSIWYS princip kombinovaný s OOB
Bezpečnost na jednom místě Y metod 1 identita Single point of attach Single point of defense 1 bezpečnost MEP IB IB A služeb IB MB IB 3 rd party (eshops)
Různé systémy, různé identity?
Identity, identity Proč ne jedna? Jedna bázová identita Prakticky nic neříkající GUID Service provider specific atributy Bankovní služby potřebují bankovní identitu (klientské číslo) eshopy potřebují alias a je super, když mají adresy Registrační proces přidá atributy/role pro konkrétní službu Je možné budovat vztahy důvěry s jinými systémy Sdílení identit převzetí těch atributů, které lze využít eidas celoevropský identitní prostor (2018+)
IAM DB GUID Personal Name, Surname, Social ID,... IB IB IB MB IB 3 rd party (eshops) MEP IAM DB Bank eshop Token Client ID, Primary account,... Home address, Shipping address,... ID, type, features,...
Login znám, ale federovaný?
Vstupní url, Federovaný login Mám PC a offline mobil Login INPUT: username INPUT: OTP BUTOTN: Přihlásit LINK: registrace Rekapitulace transakce QR kód transakce INPUT: OTP BUTTON: potvrdit LINK: zpět Redirect dle device Homepage PC/ Tablet (rozcestník) Tablet/PC Mám PC a klasický mobil Mám PC a online mobil Pozn: Zkuste i mobilní verzi ze smartphone Login INPUT:username INPUT: heslo BUTTON: Přihlásit LINK: Registrace Login INPUT: username BUTTON: Přihlásit LINK: registrace Chyba Potvrzení přihlášení TEXT: sesison id INPUT: autorizační kód BUTTON: Přihlásit BUTTON: Zpět Čekání na přihlášení TEXT: session id BUTTON: Přerušit Chyba Chyba přihlášení OK YourBank IB TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit Chyba přihlášení LINK: Zpět Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět Rekapitulace transakce INPUT: autorizační kód BUTTON: potvrdit LINK: zpět Čekání na potvrzení BUTTON: přerušit LINK: zpět Výsledek ověření transakce LINK: Pokračovat GUI pro autentizaci a autorizaci Poskytováno jako služba MEP Mobil Homepage Mobil Mám online mobil Registrace FORM: logonname, PIN, telefonní číslo (volitelně), email pro odblokování BUTTON: potvrdit BUTTON: zpět TEXT: Aktivační kód IMAGE: Aktivační QR kód BUTTON: zpět Pozn: Zkuste i desktop verzi (PC/ tablet) Registrace SMS: FORM: logonname, heslo, telefonní číslo BUTTON: potvrdit BUTTON: zpět Výsledek registrace BUTTON: Zpět SSO Logoout Logout GUI pro autentizaci a autorizaci v rámci služeb IB HEADER Logo + link: Monet Logo + link: Ahead FedBank Corporate/ Personal BUTTON: Registrace BUTTON: Přihlásit Přihlásit Slef-service registration Registrace SSO Logon Bad Response OK HEADER Error Page HEADER + USER TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit Plaťák Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět FS FTM Výsledek ověření transakce LINK: Pokračovat
Flow obrazovek
Integrace Vytvoření vztahu důvěry mezi systémy Specifické pro použité protokoly (SAML, OAuth) Výměna certifikátů, různých URL na straně služby i MEP (přihlašovací, odhlašovací, autorizační, konzument identity, ) Definice předávaných atributů Definice požadovaných rolí Definice požadovaných autentizačních mechanismů Integrace look & feel GUI pro autentizaci a autorizaci
WebFE Authentication MEP Federated Login Module IAM DB Authentication method server (C.A.S.E.)
A co transakce, podepisování...
Federovaný podpis transakcí Podporujeme i tento scénář Princip vychází se SAML Různé úrovně SSO like bez nutnosti uživatelské akce low risk Pouze potvrzení Souhlasím Reautentizace Autorizace (podpis, potvrzení) transakce Princip WYSIWYS Systém primárně neřeší funkce FDS, umí je však konzumovat
Flow obrazovek
Federované autorizace transakcí WebFE Authentication/Authorization MEP Federated Login Module Federated transaction authorization module IAM DB Authentication method server (C.A.S.E.)
Jak probíhá připojení nové autentizační metody?
Připojení nové metody Technologická integrace do MEP Integrace nového autentizačního server vs integrace do některého z existujících Integrace GUI pro přihlašovací/autorizační flow Integrace GUI pro správu životního cyklu metody Klasifikace síly metody, URI identifikátoru Netechnologická integrace Obchodní procesy, poplatkování Návody pro uživatele Školení podpory Informační kampaně Distribuce metody Podpora klientů
Integrace nové metody IB IB IB MB IB 3 rd party (eshops) WebFE Authentication/Authorization Federated Login Module Federated transaction authorization module Authentication method server (C.A.S.E.) New method MEP Auth Server Gateway IAM DB WebFE Self-Service Processes - tokens - identities Authentication method server (X) Obchodní procesy, poplatkování Návody pro uživatele Školení podpory Informační kampaně
Je to červené?
NE Je to zelené :-) A je tam e, tak je to Ekologické!
k?? z?? o?? z? a
Na viděnou na workshopu! DĚKUJEME ZA POZORNOST