EID kasutaja tuvastamiseks veebis/sisselogimiseks

Allikas: eid.eesti.ee

eID sisselogimiseks ehk kasutaja tuvastamiseks

Logi sisse

Ülevaade

Veebirakendusse sisselogimiseks on Eesti oludes kolm põhiviisi:

  • Kasutajatunnuse ja parooli kasutamine.
  • Facebooki/Google/Twitteri vms sotsiaalmeedia konto kasutamine.
  • eID kasutamine kas ID-kaardi ja/või mobiil-ID abil.

eID peamised plussid ülejäänud kahe variandi ees on (a) oluliselt kõrgem turvalisus (b) tööaja kokkuhoid kasutajanimede/paroolide haldamiselt: ei ole vaja kasutajatele paroole luua/meelde tuletada.

eID miinuseks on suurem ebamugavus kasutajale: peab tarvitama ID-kaarti või mobiiltelefoni.

Enamikul juhtudel on mõttekas realiseerida eID turvalisema alternatiivina lisaks mõnele eelmainitud sisselogimise-variantidest. Näiteks, lubada kasutajal teha vähekriitilisi toiminguid ilma eID-d kasutamata, ning nõuda eID-d kriitiliste toimingute, sh oma parooli või isikuandmete muutmiseks.

Realisatsioonikulud jäävad eID puhul umbes samasse suurusjärku sotsiaalmeediaga sidumisega ning on veidi suuremad kui paroolipõhisel süsteemil. Ekspluatatsiooni juures tuleneb kokkuhoid (a) pettuseriskide vähenemisest (b) IT-halduse koormuse vähenemisest: ei ole vaja regulaarselt paroole luua/meelde tuletada. Samas tekitab eeskätt mobiil-ID regulaarse kulu, kuna on vaja sõlmida leping AS Sertifitseerimiskeskusega. ID-kaardi puhul ei ole taolist lepingut ja kulu tingimata vaja.

Arvutitesse sisselogimise juures on ID-kaardi kasutamine ühe alternatiivina mõtestatud eeskätt juhul, kui organisatsioonil on palju arvuteid, mis on seotud tsentraliseeritud Windowsi domeeni, ning sisselogimise haldus paroolide abil tekitab (analoogiliselt veebisüsteemiga) IT-halduse kulu paroolide regulaarsel vahetamisel.

Konkreetsete rakendusnäidetena toome Tallinna Tehnikaülikooli õppeinfosüsteemi ja arvutitesse sisselogimise: tegu on mitmekihilise süsteemiga, kus kasutajate arvud varieeruvad paarist tuhandest töötajast kümnete tuhandete tudengiteni. eID põhiefekt tehnikaülikoolis on IT toe ajakokkuhoid ning kriitiliste süsteemide suurem turvalisus. Pikema nimekirja eID-ga sisselogimist toetavatest veebirakendustest leiad siit.

Eesmärk

Paljud veebisüsteemid nõuavad kasutaja sisselogimist, mis sisuliselt tähendab kasutaja tuvastamist ehk autentimist, mille järel antakse kasutajale õigus neid-ja-neid toiminguid teha.

Nagu eelpool viidatud, on kasutaja tuvastamiseks Eesti oludes kolm põhiviisi: (a) kasutajanime ja paroolide kasutamine, (b) suurte sotsiaalmeedia süsteemide, eeskätt Google Plus ja Facebook, kasutamine (c) eID kasutamine.

eID kasutamine võimaldab oluliselt kõrgemat turvataset, kui kasutajanime/paroolide või sotsiaalmeedia kaudu kasutaja tuvastamine. Samuti võimaldab ta kokku hoida IT-haldajate aega, minimeerides vajadust luua uutele kasutajatele kontosid/paroole ja luua ning saata unustatud paroolide asemele uusi. Samas on lõppkasutaja jaoks eID üldjuhul ebamugavam, kui teised sisselogimis-variandid.

Lisaks veebisüsteemidele sisselogimisele on teemaga seotud ka paroolipõhiste süsteemide haldamise juures tekkiv vajadus saata kasutajale turvaliselt paroole.

Peale veebisüsteemide logivad kasutajad regulaarselt sisse arvutitesse, kas siis enda arvutisse või mõnda organisatsioonis üldkasutatavasse arvutisse. Selliseks sisselogimiseks on Eesti oludes jällegi kaks põhiviisi (a) kasutajanime ja paroolide kasutamine (b) ID-kaardi kasutamine.

Arvutisse sisselogimise järel võib osutuda kasulikuks edastada infot kasutaja kohta välistele süsteemidele, näiteks kolmanda osapoole poolt hallatavale trükkimisteenusele.

Kõigi sisselogimissüsteemide juures on oluliseks aspektiks ühise konto- ehk sisselogimissüsteemi pakkumine organisatsiooni mitme erineva alamsüsteemi jaoks.

Sisselogimine veebirakendusse

eID kasutamine veebirakendusse sisselogimiseks on mõtestatud eeskätt juhul, kui turvalisus on kriitilise tähtsusega või kasutajate hulk ja kontode/paroolide administreerimiskoormus on suur.

Veebirakendustes võib olla mõttekas realiseerida nö universaalvariant, kus

  • Suuremat turvalisust nõudvate funktsioonide jaoks peab sisse logima eID abil.
  • Vähemkriitiliste funktsioonide jaoks piisab kas parooli või sotsiaalmeedia konto abil sisselogimisest.
  • Lihtsalt üldinfot jagavad funktsioonid ei nõua üldse sisselogimist.

eID abil sisselogimise realisatsioonid ID-kaardi ja mobiil-ID abil on täiesti erinevad. Kindlasti tasub kaaluda, kas võimaldada mõlemat või ainult ühte neist. Realisatsiooni töömahud on umbes võrdsed, kuid mobiil-ID abil sisselogimine eeldab edaspidist regulaarset tasu maksmist kehtivuskinnituse teenuse eest, mida ID-kaardi puhul saab vähemkriitiliste süsteemide puhul vältida.

Väljakutsed

Oluline sisuline küsimus eID kasutuselevõtul on kasutajate jaoks lisanduv ebamugavus ja reaalsed kasutuspiirangud:

  • ID-kaardi väljaotsimine ja ühendamine lugejasse on ebamugav.
  • Spetsiaalselt mobiiltelefoni väljavõtmine ja temaga tegutsemine on samuti ebamugav.
  • ID-kaarti ei saa reaalselt kasutada mobiilseadmetes: seal jääb üle vaid mobiil-ID kasutamine.
  • Osadel potentsiaalsetel kasutajatel (näiteks välismaalased) ei pruugi olla ei ID-kaarti ega mobiil-ID-d.

Need asjaolud võivad tingida vajaduse kasutada lisaks eID-le veel teisi variante kasutaja tuvastamiseks.


Tegevuskava

Veebirakendusse sisselogimine eID abil on ühest küljest küll suhteliselt standardne funktsionaalsus, teisalt on tema realiseerimisel küllalt palju valikuid, seega tuleb konkreetsed vajadused ja sobivad viisid kindlasti eelnevalt läbi mõelda.

Üldjoontes koosneb arendus järgmistest tegevustest:

  1. Vajaduste analüüs ja realisatsioonivariantide valikud. Etapi kestvuseks võiks arvestada pool päeva kuni päev.
  2. Serveri sertifikaatide tellimine ja installeerimine. Ajakulu paar tundi, tellitud sertifikaati tuleb tõenäoliselt oodata ca päev.
  3. Tühistusnimekirjade või kehtivuskinnituse realiseerimine. Ajakulu kas puudub (kui ei kasuta) või ca pool päeva.
  4. Mobiil-ID kasutajatuvastuse realiseerimine (kui on otsustatud seda kasutada). Ajakulu ca üks päev.
  5. Integratsioon veebirakendusega. Ajakulu oodatavalt mõnest tunnist ca ühe päevani.

Kokkuvõttes võiks realisatsiooni ajakulu jääda vahemikku umbes ühest kuni nelja-viie tööpäevani.

Tehnoloogilised tähelepanekud

Detailse juhise koos näitekoodiga leiad siit: Kasutaja tuvastamine veebis. Arvesta kindlasti, et:

  • ID-kaardi jaoks teeb kasutaja tuvastamise põhiosa ära õigesti häälestatud veebiserver ise, otseselt programmeerida ei ole vaja.
  • Mobiil-ID jaoks on vaja veidi programmeerida või kasutada olemasolevaid näiteprogramme.
  • ID-kaardi puhul on vaja otsustada, kas ja kuidas kontrollida ID-kaardi sertifikaatide kehtivust: kas seda üldse teha, kasutada tasuta tühistusnimekirju või tasulist kehtivuskinnituse teenust.
  • Mobiil-ID puhul on tasulise kehtivuskinnituse teenuse kasutamine kohustuslik.
  • ID-kaardi jaoks on erinevate serverite (Apache, Nginx, IIS, Oracle jne) häälestamine olulisel määral erinev. Praktikas kõige levinum on tõenäoliselt Apache.
  • Kui server kasutaja on tuvastanud, muudab ta lõpprakendusele kättesaadavaks kasutaja nime, isikukoodi jms sisaldava teksti. Selle teksti õigesti lahtiharutamine ei ole päris triviaalne, kuna täpitähed, vanemad sertifikaadid ja serveri poolt kasutatavate teekide erisused tekitavad hulga võimalikke erijuhte.
  • Lõpprakendust realiseerides tuleb otsustada, kui tihti rakendus veebiserveri poolt isikuinfot sisaldavat teksti küsib: mõne rakenduse jaoks võib olla mõttekas kasutada ID-kaardiga autentimist ainult nn sessiooni tekitamiseks, mida hoitakse edaspidi näiteks cookiedes, ja kasutaja võib ID-kaardi hoopis arvutist välja võtta.

Sisselogimine arvutisse

ID-kaart on võimalik alternatiiv sisselogimiseks konventsionaalsetele vahenditele - kasutajanimi/parool või sõrmejälg - kuid mitte väga populaarne: kasutajanime ja parooli on enamasti mugavam kasutada, kui ID-kaarti.

ID-kaardi abil sisselogimine on mõtestatud eeskätt juhul, kui see aitab kokku hoida IT osakonna halduskulusid, vähendades vajadust teha uutele kasutajatele kontosid, paroole ja luua/edastada uusi paroole, kui vana ära unustatakse.

Kõrgema turvalisuse aspekt on samuti oluline, kuid mitte sedavõrd oluline, kui näiteks veebirakenduses: lõppkasutajad ei anna oma arvuti sisselogimise kasutajatunnust ja parooli kergekäeliselt teistele kasutajatele.

Arvutisse sisselogimise realiseerimine üksiku arvuti jaoks on tehnoloogiliselt erinev hulga keskselt hallatavate arvutite (tüüpiliselt MS Windowsi nn domeenis olevad arvutid) realiseerimisest ning omakorda erinev Windowsi, Apple ja Linuxi operatsioonisüsteemide korral.

Üldise soovitusena oleks ID-kaardi kaudu sisselogimist mõttekas kaaluda nimelt juhul, kui tegu on suure hulga Windowsi domeeni kaudu keskselt hallatavate arvutitega.

Väljakutsed

Lisaks või alternatiivina ID-kaardiga sisselogimise realiseerimisele tasub tsentraliseeritud süsteemis kaaluda ka tsentraliseeritud kontohalduse realiseerimist, mille kaudu kasutaja saaks ise muuta oma Windowsi parooli ning muud isiku-infot. Sellisesse tsentraliseeritud süsteemi sisselogimine toimuks ID-kaardi või mobiil-ID abil, ning kasutaja saab sealt näiteks ise muuta äraunustatud parooli, mis vähendab IT-halduse töömahtu.

Lisaks "iseteenindusele" tekitab tsentraliseeritud kontosüsteem võimaluse lisada süsteemi kolmandate poolte teenuseid, näiteks tasulist trükkimist jms.

Taoline süsteem on realiseeritud näiteks Tallinna Tehnikaülikoolis.

ID-kaardiga sisselogimist arvutisse saab laiendada ka töölauarakendustele, mis nõuavad ID-kaardiga autentimist, näiteks perearstide töörakendus. Sellised rakendused ei ole väga laialt levinud.

Laiemalt on levinud organisatsioonid turvalised võrgud - VPN-d. ID-kaardiga arvutisse sisselogimist saab VPN-dele laiendada.


Tegevuskava

Eeldame järgnevas, et kasutajate arvutid on juba seotud Windowsi domeeni tsentraalselt hallatavaks ning kasutajakontod on realiseeritud Windows Active Directory abil. Protsessi tehnilisi juhendi leiab detailsel kujul failist http://www.sk.ee/upload/files/ID-login_juhend.pdf

  1. Vajaduste analüüs ja realisatsioonivariantide valikud. Etapi kestvuseks võiks arvestada päev-paar.
  2. Kasutajate sertifikaatide tõmbamise süsteemi realiseerimine. Ajakulu ca kaks päeva. Soovitav kasutada tasulist octoX tarkvaratoodet hinnaga suurusjärgus mõned tuhanded eurod. Toode võimaldab käsurea ja/või graafilise liidese abil tõmmata Sertifitseerimiskeskusest vajalikud sertifikaadid ja teha Windowsi domeenis vastavaid vajalikke toiminguid.
  3. Seadistada Windowsi domeen, nn policy’d ja installeerida Sertifitseerimiskeskuse juursertifikaadid. Ajakulu ca kaks päeva.
  4. Tutvustada ID-kaardi kaudu sisselogimise võimalust kasutajatele. Ajakulu ca üks päev.
  5. Võimaliku täiendusena realiseerida tsentraliseeritud kontohalduse "iseteenindus", mida on kirjeldatud eelnevas: ajakulu ca üks nädal.
  6. Võimaliku täiendusena realiseerida integratsioon ID-kaarti nõudva töölauarakendusena (kui sellised on kasutuses): ajakulu ca neli päeva.
  7. Võimaliku täiendusena realiseerida integratsioon krüpteeritud VPN-ga (kui need on kasutuses): ajakulu ca üks nädal.

Kokkuvõttes võiks realisatsiooni ajakulu jääda ca ühe ja kolme-nelja nädala vahele, sõltuvalt lahenduse funktsionaalsusest ja ambitsioonikusest.