Multichannel Entry Point Technologický pohled na nové přístupy k autentizaci v přímých bankovních kanálech
Všechno, co jste kdy chtěli vědět o sexu (ale báli jste se zeptat)
Pardon… o MEPu
Multi co?
B - obchodních značek A - služeb N - uživatelských identit K - kanálů Y - zařízení
Banka Aktivní obchody
Pasivní obchody
Produkty 3. stran
Poplatky
Pobočka
Call centrum
Online
ATM
Klient (vlastník)
Klient (disponent)
Neklient
…
Telefon
Tablet
PC
Platební karty
Obchodní značky Aktivní obchody
Pasivní obchody
Produkty 3. stran
Poplatky
Pobočka
Call centrum
Online
ATM
Klient (vlastník)
Klient (disponent)
Neklient
…
Telefon
Tablet
PC
Platební karty
„Multi“ Authn & Authz A&A Sys
A&A Sys
A&A Sys
A&A Sys
A&A Sys
A&A Metoda A&A Metoda
A&A Sys
A&A Sys
A&A Metoda
A&A Metoda
A&A Metoda
A&A Sys
A&A Sys
A&A Sys
A&A Metoda
A&A Sys
A&A Sys
A&A Metoda
A&A Metoda
A&A Metoda
A&A Metoda
A&A Metoda
A&A Metoda
„Multi“ Authn & Authz A&A Sys
A&A Sys
A&A Sys A&A Sys
A&A Sys
A&A Metoda A&A Metoda
A&A Metoda
A&A Metoda
A&A Sys
A&A Sys
Autentizační služby A&A Sys A&A Sys
A&A Metoda
A&A Sys
A&A Sys
A&A Sys
A&A Metoda
A&A Metoda
A&A Metoda
A&A Metoda
A&A Metoda A&A Metoda A&A Metoda Autentizační metody
MEP – autentizace jako služba Zavádíme koncept oddělení technologických kompetencí Business funkcionality aplikací Sdílené služby bezpečnosti 1. Obsluha mnoha „business“ aplikací 2. Jedno místo pro řízení bezpečnosti 3. Jedna klientská identita 4. Podpora různých autentizačních metod 5. Funkce pro správu životního cyklu autentizačních metod
Autentizace jako služba
MEP IB
IB
IB MB
IB 3rd party (eShops)
A komu tím
prospějete, co?
Tradiční přístup integrace bezpečnostních metod
Homepage PC/ Tablet (rozcestník)
Mám PC a offline mobil
Login INPUT: username INPUT: OTP BUTOTN: Přihlásit LINK: registrace
Mám PC a klasický mobil
Login INPUT:username INPUT: heslo BUTTON: Přihlásit LINK: Registrace
Autorizace transakce
Přihlášení Potvrzení přihlášení TEXT: sesison id INPUT: autorizační kód BUTTON: Přihlásit BUTTON: Zpět
YourBank IB TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit
OK
Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět
Rekapitulace transakce QR kód transakce INPUT: OTP BUTTON: potvrdit LINK: zpět
Rekapitulace transakce INPUT: autorizační kód BUTTON: potvrdit LINK: zpět
Výsledek ověření transakce LINK: Pokračovat
Chyba
Tablet/PC
Mám PC a online mobil
Login INPUT: username BUTTON: Přihlásit LINK: registrace
Čekání na přihlášení TEXT: session id BUTTON: Přerušit
Chyba přihlášení LINK: Zpět
Chyba
Vstupní url, Redirect dle device
Chyba přihlášení
Pozn: Zkuste i mobilní verzi ze smartphone
Čekání na potvrzení BUTTON: přerušit LINK: zpět
Mobil
Mám online mobil Homepage Mobil
Pozn: Zkuste i desktop verzi (PC/ tablet)
Registrace FORM: logonname, PIN, telefonní číslo (volitelně), email pro odblokování BUTTON: potvrdit BUTTON: zpět
TEXT: Aktivační kód IMAGE: Aktivační QR kód BUTTON: zpět
Registrace SMS: FORM: logonname, heslo, telefonní číslo BUTTON: potvrdit BUTTON: zpět
Výsledek registrace BUTTON: Zpět
Registrace
yourbank.monetplus.cz
Nový přístup integrace bezpečnostních metod SSO Logoout
Logout
Slef-service registration
HEADER Logo + link: Monet Logo + link: Ahead FedBank Corporate/ Personal BUTTON: Registrace BUTTON: Přihlásit
HEADER Error Page Bad Response
Registrace
Přihlásit
SSO Logon
OK
HEADER + USER TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit
Plaťák
Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět
FS FTM
Výsledek ověření transakce LINK: Pokračovat
Funkce a procesy
Správa metod – aktivace, deaktivace, blokování, odblokování,… Autentizace uživatele (SAML) Autorizace požadavků WebAPI (OAuth) Autorizace transakcí (custom, SAML based) Single sign-on (SAML) Single sign-off (SAML) Správa atributů a rolí
Je to bezpečné?
Bezpečnost Bezpečnost není snížena v porovnání s tradičním přístupem Bezpečnostní funkce jsou realizovány v jednom místě Centralizace přináší výhody
Lze realizovat SSO i tak, že není nutné zadávat přihlašovací údaje např. při přechodu na další aplikaci Může vznikat potenciální „riziko“ přihlášení se na službu, do které se uživatel přihlásit nechtěl
Velký důraz je kladen na autorizace transakcí Rizikové aktivní operace se explicitně potvrzují WYSIWYS princip kombinovaný s OOB
Bezpečnost na jednom místě
1 identita
Y metod
Single point of attach Single point of defense
1 bezpečnost
MEP IB
IB
A služeb
IB MB
IB 3rd party (eShops)
Různé systémy, různé identity?
Identity, identity… Proč ne jedna? Jedna bázová identita Prakticky nic neříkající GUID
Service provider specific atributy Bankovní služby potřebují bankovní identitu (klientské číslo) eShopy potřebují alias a je super, když mají adresy Registrační proces přidá atributy/role pro konkrétní službu
Je možné budovat vztahy důvěry s jinými systémy Sdílení identit – převzetí těch atributů, které lze využít eIDAS – celoevropský identitní prostor (2018+)
IAM DB GUID Personal Name, Surname, Social ID, ... Bank
MEP IB
IB
IB MB
IB 3rd party (eShops)
IAM DB
Client ID, Primary account, ...
eShop Home address, Shipping address, ... Token
ID, type, features, ...
Login znám, ale
federovaný?
Federovaný login Mám PC a offline mobil
Login INPUT: username INPUT: OTP BUTOTN: Přihlásit LINK: registrace
Homepage PC/ Tablet (rozcestník)
Mám PC a klasický mobil
Login INPUT:username INPUT: heslo BUTTON: Přihlásit LINK: Registrace
Tablet/PC
Mám PC a online mobil
Login INPUT: username BUTTON: Přihlásit LINK: registrace
Rekapitulace transakce QR kód transakce INPUT: OTP BUTTON: potvrdit LINK: zpět
Potvrzení přihlášení TEXT: sesison id INPUT: autorizační kód BUTTON: Přihlásit BUTTON: Zpět
OK
YourBank IB TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit
Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět
Rekapitulace transakce INPUT: autorizační kód BUTTON: potvrdit LINK: zpět
Výsledek ověření transakce LINK: Pokračovat
Chyba Čekání na přihlášení TEXT: session id BUTTON: Přerušit
Chyba
Vstupní url, Redirect dle device
Pozn: Zkuste i mobilní verzi ze smartphone
Chyba přihlášení
Chyba přihlášení LINK: Zpět
Čekání na potvrzení BUTTON: přerušit LINK: zpět
GUI pro autentizaci a autorizaci Poskytováno jako služba MEP
Mobil
Mám online mobil Homepage Mobil
Pozn: Zkuste i desktop verzi (PC/ tablet)
Registrace FORM: logonname, PIN, telefonní číslo (volitelně), email pro odblokování BUTTON: potvrdit BUTTON: zpět
TEXT: Aktivační kód IMAGE: Aktivační QR kód BUTTON: zpět
Registrace SMS: FORM: logonname, heslo, telefonní číslo BUTTON: potvrdit BUTTON: zpět
Výsledek registrace BUTTON: Zpět
GUI pro autentizaci a autorizaci v rámci služeb IB
SSO Logoout
Logout
Slef-service registration
HEADER Logo + link: Monet Logo + link: Ahead FedBank Corporate/ Personal BUTTON: Registrace BUTTON: Přihlásit
HEADER Error Page Bad Response
Registrace
Přihlásit
SSO Logon
OK
HEADER + USER TEXT: Stav účtu TEXT: Jméno majitele účtu LINK: platební příkaz LINK: odhlásit
Plaťák
Zadání platebníhho příkazu FORM: plaťák BUTTON: potvrdit LINK: zpět
FS FTM
Výsledek ověření transakce LINK: Pokračovat
Flow obrazovek
Integrace Vytvoření vztahu důvěry mezi systémy Specifické pro použité protokoly (SAML, OAuth) Výměna certifikátů, různých URL na straně služby i MEP (přihlašovací, odhlašovací, autorizační, konzument identity, …)
Definice předávaných atributů Definice požadovaných rolí Definice požadovaných autentizačních mechanismů Integrace look & feel GUI pro autentizaci a autorizaci
MEP WebFE Authentication
Federated Login Module IAM DB
Authentication method server (C.A.S.E.)
A co transakce, podepisování...
Federovaný podpis transakcí Podporujeme i tento scénář Princip vychází se SAML Různé úrovně
„SSO like“ bez nutnosti uživatelské akce – low risk Pouze potvrzení „Souhlasím“ Reautentizace Autorizace (podpis, potvrzení) transakce Princip WYSIWYS
Systém primárně neřeší funkce FDS, umí je však konzumovat
Flow obrazovek
Federované autorizace transakcí
MEP WebFE Authentication/Authorization
Federated Login Module
Federated transaction authorization module IAM DB
Authentication method server (C.A.S.E.)
Jak probíhá připojení nové autentizační metody?
Připojení nové metody Technologická integrace do MEP
Integrace nového autentizačního server vs integrace do některého z existujících Integrace GUI pro přihlašovací/autorizační flow Integrace GUI pro správu životního cyklu metody Klasifikace síly metody, URI identifikátoru
Netechnologická integrace
Obchodní procesy, poplatkování Návody pro uživatele Školení podpory Informační kampaně
Distribuce metody Podpora klientů
Integrace nové metody
MEP IB
WebFE Authentication/Authorization
WebFE Self-Service
IB Federated Login Module
Federated transaction authorization module
IAM DB
Processes - tokens - identities
IB MB
Auth Server Gateway
IB 3rd party (eShops)
Authentication method server (C.A.S.E.) New method
Authentication method server (X)
Obchodní procesy, poplatkování Návody pro uživatele Školení podpory Informační kampaně …
Je to červené?
NE Je to zelené :-) A je tam „e“, tak je to Ekologické!
k?
?z??
o?
? z?a
Na viděnou na workshopu!
DĚKUJEME ZA POZORNOST
