Nastavení způsobu ověření uživatelů

V dokumentu jsou popsány možné způsoby ověření uživatele v aplikaci ESO9.

Nastavení autentikace aplikace

Nastavení autentikace aplikace se provádí prostřednictvím programu Správce ESO9. Podrobný popis způsobu nastavení zabezpečení najdete v popisu tohoto programu.

Typ autentikace:

• ESO9 autentikace – základní způsob ověření při přístupu uživatele přes Internet. Používá se i v lokálních sítích, kde neexistuje AD (event. při přístupu uživatelů z různých domén). Aplikační web na IIS si sám uživatele neověřuje, umožní přístup kohokoli. Ověření si pomocí zadaného uživatelského jména a hesla provede aplikační server sám (tedy při každém přístupu do aplikace musí uživatel zadat znovu své ověření). Vlastní komunikační kanál může jet přes HTTPS (zabezpečení proti odposlechu jména a hesla).
• NT autentikace – základní způsob ověření uživatele v lokální síti. Vyžaduje existenci Active Directory (AD) a doménových uživatelských účtů, kterými se uživatelé přihlašují ke svým pracovním stanicím. Při přístupu k IIS se je tato služba sama ověří oproti AD a do ESO9 je již předá jako ověřené uživatele, kteří tak nemusí při přístupu do aplikace nic zadávat. NT autentikace neprojde přes Internet, tam je třeba použít další způsoby ověření.
• Certifikáty – nejbezpečnější a pro uživatele jednodušší způsob ověření při přístupu přes Internet. Webový server a všichni uživatelé používají digitální certifikáty, pomocí nichž prokazují svou identitu. Certifikáty lze exportovat pro případ souběžného přístupu téhož uživatele z více stanic (z práce a z domova). Výhodou pro uživatele je, že nemusí při každém přístupu do aplikace zadávat jméno a heslo. Zároveň lze webový server nakonfigurovat tak, aby komunikoval pouze s definovanou skupinou klientských certifikátů, čímž automaticky zabrání možnosti přístupu libovolného anonymního uživatele z Internetu. Certifikáty lze používat buď komerční, nebo vygenerované vlastní certifikační autoritou. 30 dní před koncem platnosti certifikátu je uživatel upozorněn informační hláškou při vstupu do aplikace na blízkou expiraci.
• Google účty – bezpečný způsob dvoufaktorové autentikace určené zejména do prostředí Internetu. Webový server uživatele neověřuje, ověření se provádí až na aplikační vrstvě (tj. v aplikačním serveru). Každý z uživatelů musí mít založen svůj Google účet, jímž se následně přihlašuje do ESO9. Následně dojde ke spárování uživatelského účtu v ESO9 a Google účtu na základě e-mailové adresy.
  Podrobnější popis viz ESO9 wiki.

Pravidla pro ověření uživatele v systému ESO9

Cílem ověření uživatele v systému ESO9 je získat jméno uživatele, které je pak vyhledáno v tabulce uživatelů.

Postup při získání jména uživatele pro konfiguraci NT autentikace

• Pro případ NT autentikace lze povolit i přihlášení uživatele, který je ověřen v doméně, ale nemá záznam v tabulce uživatelů v aplikaci ESO9. Nastavení zda ne/vyžadovat záznam uživatele v tabulce uživatelů se provádí v aplikaci Správce ESO9.
• Jméno ověřeného užiavatele je předáno z webového serveru IIS.
• Pokud jméno není předáno, server ESO9 požádá IIS o ověření uživatele a očekává jméno (v tomto případě je to již signálem chyby, kterou je nutné odstranit).
• V případě že selže vynucení, nebo není jméno ověřeno, je hlášena chyba a uživatel se do aplikace nepřihlásí.

Postup při získání jména uživatele pro konfiguraci ESO9 autentikace

• Uživatel musí být uveden v tabulce uživatelů a musí mít uvedeno heslo. Heslo je (ve výchozím nastavení) uloženo v tabulce uživatelů v otevřeném formátu. Pokud je hodnota aplikačního parametru Hesla_Encrypt nastavena na "1", budou hesla ukládána šifrovaně.
• Server ESO9 odešle uživateli formulář s dotazem na jméno a heslo.
• Pokud není vyplněné jméno a heslo ověřeno procedurou spAutenticateUser, je hlášena chyba.

Postup při získání jména uživatele pro konfiguraci Certifikáty

• Uživatel musí mít instalován klientský certifikát.
• Uživatel musí být uveden v tabulce uživatelů se jménem a heslem pro první přihlášení. Registraci certifikátu do tabulky uživatelů lze provést při prvním přihlášení zadáním jména a hesla. Po prvním přihlášení je certifikát zaevidován v tabulce uživatelů a při dalším přihlášení se použije automaticky a přihlašovací heslo je zrušeno. Alternativně lze certifikát zaregistrovat uživateli z aplikace Správce ESO9.
• Podrobnější popis nastavení webového serveru IIS viz dokument Certifikátová autentikace v ESO9.
• IIS musí předat informaci o certifikátu uživatele.
• Pokud procedura spAutenticateUser nenalezne uživatele podle certifikátu, je uživateli odeslán formulář s dotazem na jméno a heslo pro registraci certifikátu.
• Pokud registrace certifikátu neproběhne, je hlášena chyba.