سامانه احراز هویت متمرکز

Nita-SSO

درخواست دمو رایگان

ایده آل برای مشتریان سازمانی

ورود به سامانه‌ها را با اتصال به سامانه احراز هویت متمرکز مجهز به امضای دیجیتال، امن‌تر و ساده‌تر کنید.

1. معرفی سامانه

    سامانه احراز هویت متمرکز با دو هدف اصلی طراحی و توسعه یافته است. هدف اول ساده‌سازی و تسریع فرایند تجهیز سامانه‌های نرم‌افزاری به زیرساخت کلید عمومی و امضای دیجیتال است. در این بخش، عملیات پیچیده و زمان‌بر اعمال تغییرات در کدمنبع نرم‌افزارهای کاربردی حذف شده و فقط صدور یک درخواست برای دریافت امضا از کاربر معین، جایگزین آن فرایند پیچیده می‌شود.
    در این روش توسعه‌دهندگان، نه تنها از انجام فعالیت پیچیده و زمان‌بر اعمال تغییرات خلاص می‌شوند، بلکه از استرس و نگرانی‌های مرتبط با اعمال تغییرات در نرم‌افزار و بروز خطاهای متعدد و صرف زمان برای برطرف کردن آنها رهایی می‌یابند.
    هدف دوم فراهم‌سازی امکان احراز هویت امن و متمرکز کاربران در ورود به سامانه‌های سازمان می‌باشد. در واقع با نصب و عملیاتی‌شدن این سامانه در یک سازمان، دیگر لازم نیست کاربران آن سازمان نام کاربری و رمز عبور متعددی را به خاطر بسپارند. کاربران فقط با درج یک نام کاربری و رمز عبور، پس از احراز هویت امن، به کلیه سامانه‌های نرم‌افزاری سازمان دسترسی خواهند داشت.
    در این حالت، مدیریت و کنترل دسترسی کاربران به سامانه‌های سازمان بصورت متمرکز قابل انجام است. در واقع، راهبر سازمان، با استفاده از پنل مدیریتی این سامانه می‌تواند کلیه امور مربوط به تعریف کاربران و مجوز دسترسی ایشان را کنترل و مدیریت نماید.

2. مزایای سامانه
مزایای بهره‌برداری از سامانه احراز هویت متمرکز Nita-SSO عبارتند از:
   • ساده‌سازی و تسریع عملیات PKE شدن سامانه‌های نرم‌افزاری
   • دریافت امضای دیجیتال کاربران بدون درگیرشدن سامانه‌های نرم‌افزاری
   • احراز هویت متمرکز کاربران کلیه سامانه‌های نرم‌افزاری سازمان
   • مدیریت متمرکز کاربران و دسترسی ایشان به سامانه‌های نرم‌افزاری
   • فراهم شدن سرویس انکارناپذیری در احراز هویت و سایر تراکنش‌های کاربران
   • امکان تعریف خط‌مشی احراز هویت متفاوت برای هر یک از سامانه‌ها
   • امکان تعریف نقش و تفویض اختیار کنترل حق دسترسی برای گروه کاربران و یا سیستم‌ها
3. معماری سامانه
سامانه از اجزاء زير تشکيل شده است:
   • مولفه احراز هويت
   • درگاه امضا
   • درگاه اعتبارسنجی امضا و گواهی
   • درگاه مديريت رويدادهاي مميزی
3. 1. مولفه احراز هويت

مولفه احراز هويت، مجموعه‌اي از سرويس‌ها و صفحات وب می‌باشد که از ماژول‌های مختلفی تشکيل شده است. برخی از اين ماژول‌ها به شرح ذيل است:
   • درگاه احراز هويت
   • مديريت ثبت‌نام
   • مديريت کاربران
   • مديريت نقش‌ها
   • مديريت ساختار سازمانی
در ادامه، به تشریح عملکرد هر یک از مولفه‌های فوق پرداخته شده است.

3. 1. 1. درگاه احراز هويت

    درگاه احراز هويت در محصول Nita-SSO مولفه‌ای است که منطبق با استاندارد‌های OAuth 2.0 و CAS پیاده‌سازی شده و قابلیت احراز هويت با هر یک از روش‌های ذيل را فراهم می‌کند:
   • نام کاربری و رمز عبور
   • رمز عبور يکبار مصرف (OTP)
   • توکن امضای ديجيتال
   • امضاي همراه (بر روی تلفن همراه)
    همچنين احراز هويت از طريق اين درگاه بصورت يکباره انجام می‌شود. به اين مفهوم که اگر چندين سامانه به اين محصول متصل باشند در صورتي‌که کاربر يکبار در هنگام ورود به یک سامانه احراز هويت شده باشد به سایر سامانه‌ها نیز بدون نياز به درج نام کاربری و رمز عبور مجدد، دسترسی خواهد داشت.

3. 1. 2. مديريت ثبت‌نام

    تعريف کاربر در سامانه، علاوه بر اينکه می‌تواند توسط راهبر سامانه انجام شود، اين قابليت نیز وجود دارد که با استفاده از ثبت‌نام کاربر بصورت خوداظهاری انجام گردد. راهبر سامانه می‌تواند به تعداد نامحدود صفحه ثبت‌نام (بطور مثال ثبت نام اساتيد و دانشجويان، کارمندان و مديران، متقاضيان و ...) با حداقل تنظيمات ايجاد نمايد.
    همچنين تأييد ثبت‌نام می‌تواند به دو صورت خودکار و نيمه خودکار انجام شود. در ثبت‌نام نيمه خودکار تمامي ثبت‌نام‌ها توسط راهبر سامانه تأييد می‌گردد. در حالت خودکار مدل‌های ذيل پشتيبانی مي‌گردد:

• تمامی کاربران ثبت‌نام شده تنها با تکميل فرم ثبت‌نام مجاز به استفاده از سامانه هستند.
• کاربران ثبت‌نام شده در صورتی که شماره تلفن همراه آنها در ليست نقش مورد انتظار وجود داشته باشد، پس از ارسال OTP بصورت خودکار مجاز شناخته می‌شوند.
• کاربران ثبت‌نام شده در صورتی که ايميل آنها در ليست نقش مورد انتظار وجود داشته باشد، پس از دریافت ايميل از سامانه و تأیید آن مجاز شناخته می‌شوند.

3. 1. 3. مديريت کاربران

    قابليت تعريف کاربران، ويرايش کاربران و حذف کاربران بصورت يکپارچه در اين قسمت از سامانه پشتيباني مي‌شود. همچنين امکان غيرفعال‌سازی کاربر و فعال‌سازی مجدد آن، هم بصورت دستي و هم بصورت محدوده زمانی وجود دارد. حالت‌های ذيل برای محدوديت‌های زمانی در نظر گرفته شده است:
   • کاربر با طول عمر محدود (بطور مثال 6 ماهه)
   • کاربر با قابليت اتصال در يک بازه ساعت مشخص (بطور مثال ساعت 8 صبح تا 18 بعد‌ازظهر)
   • کاربر با قابليت اتصال در روزهاي مشخصی از هفته (بطور مثال: روز‌های شنبه، يکشنبه و چهارشنبه)
   • کاربر با قابليت اتصال در يک محدوده تاریخ مشخص (بطور مثال از تاريخ 1/10/98 تا تاريخ 1/11/98)
   • ترکيب تمامي موارد بالا بصورت and و or
    امکان تعيين کاربر در يک ساختار سازمانی نيز قابل انجام است. از ساختار سازمانی برای تعريف راهبران ميانی نيز استفاده می‌گردد. جزئيات ساختار سازمانی و استفاده آن در مديريت کاربران در بخش 3. 1. 5. آورده شده است.

3. 1. 4. مديريت نقش

    سامانه عمليات مديريت دسترسی‌ها را از طريق نقش‌ها انجام می‌دهد. اين نقش‌ها بصورت يکپارچه و بين سامانه‌ای قابل تعريف هستند. بطور مثال در صورتی‌که سامانه اتوماسيون اداری و سامانه حضوروغياب به اين محصول متصل شده باشند و مديريت نقش خود را برون‌سپاري کرده باشند، اين سامانه قابليت اين را دارد که در يک نقش، مجموعه دسترسي‌های هر دو سامانه را نمايش دهد و نقش، بين چندين سامانه ايجاد شود.
    اين قابليت اين امکان را به راهبر مي‌دهد که نقش‌هاي سیستمی را با نقش‌هاي سازمانی تطبيق دهد. بطور مثال در يک سازمان نقش کارشناس وجود دارد در حالت معمول در تمامي سامانه‌ها کارشناس بصورت مجزا تعريف می‌گردد و پشتيبانی از نقش‌ها با توجه به تعدد نقش‌هاي کارشناس (بطور مثال کارشناس مالي، کارشناس منابع انسانی و ...) به دليل تعدد سامانه‌ها و نقش‌های هم نام دشوار است. در صورتی که در اين محصول می‌توان با تعريف نقش‌های منطبق با نام نقش‌های سازمانی تمامی دسترسی‌ها را بين سامانه‌ها تعريف و بصورت تکرارپذير استفاده کرد.

3. 1. 5. مديريت ساختار سازمانی

    با استفاده از ساختار سازمانی در محصول Nita-SSO، سازمان‌ها و شرکت‌ها می‌توانند سرويس‌های چارت سازمانی خود را برون‌سپاري نمايند و سامانه‌ها از اين سرويس‌ها استفاده کنند. با اين حال استفاده عمده و اصلي ساختار سازمانی در امنيت سطح رکورد است. در اين محصول امنيت سطح رکورد سلسله مراتبی پياده‌سازی شده است. ساختار سازمانی شکل زیر را در نظر بگیريد.

    در صورتي که کاربر در هر سطح از ساختار سازمانی تعريف شود دسترسی آن به سطح خود و سطوح پایین‌تر مقدور خواهد بود. به عنوان مثال اگر راهبری در سطح معاونت بازرگانی ايجاد شود، اين راهبر تنها دسترسی دارد برای سطح معاونت بازرگانی و مديريت فروش و مديريت خرید، کاربر ايجاد کند و يا اطلاعات آنها را مشاهده نمايد.
    اين قابليت باعث توزيع عمليات سرپرستی می‌گردد. به طوری که در سیستم‌های جامع کشوری ديگر نياز نيست راهبر‌های مستقر در تهران، کاربران کل کشور را ايجاد نمایند. بلکه با تفويض دسترسی‌های لازم به راهبر‌های ميانی اين عمليات توزيع می‌گردد. اين در حالي است که راهبران میز امداد به منظور نظارت مي‌توانند تمام عمليات‌های راهبران ميانی را مشاهده نموده و در صورت نياز دسترسی آنها را محدود و يا مسدود کنند.

3. 2. درگاه امضا

    درگاه امضا در محصول Nita-SSO مولفه‌ای است که با دیدگاه PKEaaS طراحی و پیاده‌سازی شده است. این مفهوم به معنی عهده‌دار شدن انجام کامل فرایند دریافت امضای کاربران توسط درگاه امضا، بدون درگیر کردن سامانه‌های نرم‌افزاری است.
    در واقع در صورتی‌که هر یک از سامانه‌های نرم‌افزاری نیاز به دریافت امضای کاربران داشته باشند، کافیست یک درخواست برای این مولفه ارسال کنند. در این صورت درگاه امضا، عملیات دریافت امضا از کاربر مورد نظر بر روی تراکنش و یا هرگونه موجودیت الکترونیکی مثل سند PDF و امثالهم را به انجام رسانده و تراکنش و یا موجودیت امضا شده را به سامانه درخواست کننده تحویل می‌نماید.

3. 2. 1. فرمت‌های امضا

    ليست فرمت‌های امضا ديجيتال در جدول ذیل آورده شده است.

فرمت‌امضا

قابليت پشتيبانی

توضيحات

RAW

image

امضا ديجيتال بدون فرمت است.

PKCS7

ATTACHED

image

يکی از ساختار‌های امضا پايه است که قابليت امضا بصورت Binary را دارد.

DETACHED

image

CAdES

B

image

يکي از ساختار‌های استاندارد امضاي اروپا است که قابليت امضا فايل در قالب Binary را دارد.

T

image

LT

image

LTA

image

XAdES

B

image

يکي از ساختار‌های استاندارد امضاي اروپا است که قابليت امضا فايل در قالب XML را دارد.

T

image

LT

image

LTA

image

PAdES

B

image

يکي از ساختار‌های استاندارد امضاي اروپا است که قابليت امضا فايل در قالب PDF را دارد.

T

image

LT

image

LTA

image

3. 2. 1. 1. فرمت‌ امضاي RAW

    امضا ديجيتال بدون فرمت است که در صورتی که سرور ارائه‌دهنده خدمت خود اقدام به پياده‌سازی فرمت‌های امضا کرده باشد می‌تواند به منظور گرفتن امضاي کاربر با اين نوع فرمت از درگاه امضا استفاده نمايد. در اين حالت درگاه امضا می‌تواند به عنوان رابط کاربری به منظور تعامل با انواع توکن‌های سخت افزاری مورد استفاده قرار گیرد.

3. 2. 1. 2. فرمت امضاي PKCS7

    فرمت امضا PKCS7 یا CMS که در RFC5652 جزئيات آن آورده شده است. يکی از فرمت‌های امضا است که قابليت نگهداشتن تمام اطلاعات امضا از جمله اطلاعات امضا شده ،گواهي امضا‌کننده، زنجیره گواهی، مهر زماني و ... را دارا است. همچنين اين فرمت قابليت امضا تمامي انواع اطلاعات را دارد. اين فرمت به دو صورت ذيل انجام می‌گردد.
    • Detached: در آن اطلاعات امضا شده وجود ندارد و فقط امضا در آن نگهداری می‌شود.
    • Attached: در آن اطلاعات امضا شده، علاوه بر خود امضا وجود دارد.
    اين فرمت امضا دست برنامه‌نويسان را باز می‌گذارد تا بصورت سفارشی فيلد‌های موردنياز خود را درون يک ساختار استاندارد قرار دهند. با اين حال همين آزادی عمل باعث شده تا در تعامل با ديگر سامانه‌ها مناسب نباشد. چرا که برای اعتبارسنجی هر امضا حالات زیادی باید در نظر گرفته شود.

3. 2. 1. 3. فرمت امضاي CAdES

    فرمت امضاي CAdES که در RFC5126 جزئيات آن آورده شده است، بر مبنای فرمت امضاي PKCS7 تدوين شده است و آن را تکميل کرده است. همچنين به منظور جلوگيري از پيچيدگی‌های اعتبارسنجی در ETSI 103 173 چندين سطح امضا تعريف شده است. اين سطوح امضا بصورت مشخص مواردی که باید در هر سطح از امضا آورده شود را مشخص کرده‌اند. در نتيجه اين فرمت امضا برای تعامل با ديگر سامانه‌ها مناسب است. سطوح امضا در ذيل آورده شده است.
• سطح B: اين سطح ساده‌ترين و حداقل امضاي قابل استفاده است که در آن احرازهويت کاربر نهايي و صحت اطلاعات تضمين می‌شود. هرچند در اين نوع امضا از مهر زمانی استفاده نمي‌گردد. در نتيجه در صورتی که زمان امضاي سند اهميت دارد (مانند مناقصات) اين سطح قابل استفاده نيست. از اين سطح می‌توان در امضاي اسناد غير حساس و با طول عمر کوتاه مانند نامه‌های درون سازمانی استفاده نمود.
• سطح T: اين سطح تمام الزامات سطح B را دارد و با توجه به اينکه از يک سرور مهر زماني برای مشخص کردن زمان امضا استفاده می‌کند، در مقابل حملات مربوط به تغيير زمان امضا مقاوم است و در اسناد حساس به زمان می‌تواند مورد استفاده قرار گيرد. از اين سطح می‌توان برای امضاي مستندات حساس به زمان مانند نامه‌هاي بين سازمانی استفاده نمود. با اين حال با توجه به اينکه تمامی موارد لازم برای اعتبارسنجی در آن آورده نشده است برای اعتبارسنجی اين امضا لازم است درگاه اعتبارسنجی امضا به مجموعه‌اي از سرور‌ها متصل شود و در صورتی که اين سرور‌ها در دسترس نباشند اين امضا قابل اعتبارسنجی نيست. در نتيجه برای استفاده‌های بلند مدت مانند قرارداد‌ها و گواهينامه‌ها اين نوع امضا مناسب نيست.
• سطح LT: اين سطح امضا تمام الزامات سطح T را دارد و با توجه به اينکه در هنگام امضا تمامي موارد لازم برای اعتبارسنجی را در آن قرار می‌دهد. بصورت بلند مدت قابل استفاده است. از اين سطح می‌توان برای امضاي قرارداد‌ها، گواهينامه‌ها، صورت‌های مالی و ... استفاده نمود.
• سطح LTA: اين سطح امضا تمام الزامات سطح LT را دارد و به منظور آرشيو اسناد امنيتي مورد استفاده قرار می‌گيرد. با توجه به اينکه در گذر زمان امنيت کليد‌ها کاهش مي‌یابد و الگوريتم‌های مختلف با توجه به حملات جديد جايگزين یکديگر می‌گردند در سطح LTA بصورت دوره‌اي (بطور مثال سالانه) با کليد‌های جديد و الگوريتم‌های مناسب امضا تجديد می‌شود.

3. 2. 1. 4. فرمت امضاي XAdES

    فرمت امضاي XAdES که در ETSI 101 903 جزئيات آن آورده شده است به منظور امضاي فايل‌های XML مورد استفاده قرار می‌گيرد. اين فرمت مانند CAdES سطوح مختلفي دارد که در بخش 3. 2. 1. 3. توضيح داده شده است.

3. 2. 1. 5. فرمت امضاي PAdES

    فرمت امضاي PAdES که در ETSI 102 778 جزئيات آن آورده شده به منظور امضاي فايل‌های PDF مورد استفاده قرار می‌گيرد. اين فرمت مانند CAdES سطوح مختلفي دارد که در بخش ‏3. 2. 1. 3. توضيح داده شده است.

3. 2. 2. فرمت‌های فايل

    در جدول ذیل جرئيات استفاده از فرمت‌های امضاي مختلف برای فرمت‌های فايل‌های متفاوت آورده شده است.

فرمت‌های امضا

XML

PDF

Binary

Digest

Zip

امضای موازی

اعتبارسنجی

در درگاه

اعتبارسنجی در برنامه

RAW

Base64

image

image

image

image

image

image

image

image

PKCS7

Attached

Base64

image

image

image

image

image

image

image

image

Detached

Base64

image

image

image

image

image

image

image

image

CAdES

Envloping

image

image

image

image

image

image

image

image

Detached

image

image

image

image

image

image

image

image

PAdES

Enveloped

image

image

image

image

image

image

image

image

XAdES

Enveloping

Base64

image

image

image

image

image

image

image

image

Embed XML

image

image

image

image

image

image

image

image

Manifest

image

image

image

image

image

image

image

image

Canonicalization

image

image

image

image

image

image

image

image

Enveloped

enveloped transformation

image

image

image

image

image

image

image

image

based on XPath

image

image

image

image

image

image

image

image

Canonicalization

image

image

image

image

image

image

image

image

Detached

image

image

image

image

image

image

image

image

Internally Detached

image

image

image

image

image

image

image

image

در جدول فوق اصطلاحات مطرح شده به شرح ذيل است.
• XML: منظور فايل با فرمت XML است.
• PDF: منظور فايل با فرمت PDF است.
• Binary: منظور اطلاعات در قالب آرايه byte است.
• Digest: منظور امضا بدون ارسال کل فايل سمت سرور است، به اين صورت که خود ارائه‌دهنده خدمت نسبت به گرفتن Digest سند اقدام می‌کند، سپس نتيجه Digest را برای درگاه امضا ارسال می‌نمايد.
• Zip: منظور خانواده فايل‌های compress شده مانند jar، docx و ... است.
• امضاي موازی: امضاي موازی يا در حالاتی امضاي سلسله مراتبی، زماني اتفاق می‌افتد که چندين امضاکننده اقدام به امضاي يک فايل می‌نمايند. در صورتی که امضاکننده دوم تنها اطلاعات فايل را امضا نمايد امضا موازی در نظر گرفته می‌شود. در صورتی که امضاکننده دوم اطلاعات فايل به همراه امضاي امضاکننده اول را امضا نمايد امضا سلسله مراتبی لحاظ می‌گردد.
• اعتبار سنجی در درگاه: قابليت اعتبارسنجی در درگاه اعتبار سنجی محصول Nita-SSO مدنظر است.
• اعتبار سنجی در برنامه: قابليت اعتبارسنجی در برنامه‌های کاربردی مانند acrobat reader و ... مدنظر است.
• Enveloping: زماني که اطلاعات امضا شده زیر مجموعه‌اي از ساختار خود امضا باشد.
• Detached: زماني که اطلاعات امضا شده بصورت کاملا جداگانه از ساختار امضا نگهداری شود.
• Enveloped: زماني که امضا در کنار اطلاعات امضا شده قرار گیرد.
• Internally detached: زماني که هم امضا و هم اطلاعات امضا شده زير مجموعه يک عنصر بالايي قرار گيرند. (تنها در فايل XML مصداق دارد)

3. 2. 3. الگوريتم‌های درهم‌سازی

    در جدول ذیل الگوريتم‌های درهم‌سازی مورد پشتيبانی درگاه امضا آورده شده است.

عنوان

NONE

SHA1

SHA224

SHA256

SHA384

SHA512

SHA3_224

SHA3_256

SHA3_384

SHA3_512

RIPEMD160

MD5

3. 3. درگاه اعتبارسنجی امضا و گواهی

    این درگاه نیز با دیدگاه PKEaaS در محصول Nita-SSO طراحی و پیاده‌سازی شده است. این مفهوم به معنی عهده‌دار شدن انجام فرایند بررسی و تایید اعتبار گواهي الکترونیکی و امضای دیجیتال موجود بر روی تراکنش‌ها و اسناد الکترونیکی توسط درگاه اعتبارسنجی امضا و گواهی، بدون درگیر کردن سامانه‌های نرم‌افزاری است.
    در واقع در صورتی‌که هر یک از سامانه‌های نرم‌افزاری متصل به محصول Nita-SSO با یک تراکنش یا سند الکترونیکی حاوی امضای دیجیتال مواجه شوند، می‌توانند صحت و اعتبار آن را از درگاه اعتبارسنجی استعلام نمایند.
    بنابراین، این مولفه در صورت دریافت یک درخواست اعتبارسنجی از سوی هر یک از سامانه‌های نرم‌افزاری، اعتبار گواهی الکترونیکی و یا امضای دیجیتال موجود بر روی تراکنش‌ها و یا اسناد الکترونیکی را از مراجع صادر کننده، استعلام می‌کند. در صورت معتبر بودن گواهی یا امضا، تاییدیه مربوطه را دریافت و به سامانه درخواست کننده ارائه می‌نماید.
استاندارد‌های مورد پشتيبانی توسط اين درگاه به شرح ذيل است:

• PKCS#1
• PKCS#7
      - Attached
      - Detached
• PAdES
• XAdES
• CAdES

3. 4. درگاه مديريت رويدادهاي مميزی

    به منظور ارائه خدمات PKEaaS يک درگاه مديريت رويداد‌هاي مميزي در محصول پياده‌سازی شده است. اين درگاه وظيفه ثبت و نمايش رويداد‌های مميزي را بصورت مجتمع دارد، تا ديگر سامانه‌ها با برون‌سپاري اين رويداد‌ها از پيچيدگی‌های امنيتي لاگ‌های مقاوم در مقابل ويرايش و حذف مصون بمانند.