SSO a MFA

Posted on by Marek Bielik
SSO a MFA

Role SSO a vícefaktorového ověřování v IAM

Single Sign-On (SSO) a Multi-Factor Authentication (MFA) jsou klíčové stavební kameny moderní správy identit a přístupů (IAM). SSO minimalizuje počet přihlášení a zvyšuje uživatelský komfort i bezpečnost centralizací autentizace. MFA výrazně snižuje riziko zneužití účtů vyžadováním druhého (či více) nezávislých faktorů. V kombinaci poskytují bezpečný, auditovatelný a uživatelsky přívětivý přístup ke cloudovým i on-premise aplikacím.

Bezpečnostní principy: důvěra, kontext a nejmenší oprávnění

IAM staví na principu nejmenších oprávnění, nulové důvěry (Zero Trust) a kontextové autentizaci (hodnocení rizika loginu podle zařízení, polohy, reputace IP, času, chování). SSO centralizuje rozhodování o identitě a MFA přidává silnou jistotu, že držitel přístupových údajů je legitimní uživatel. Autorizace je oddělena od autentizace a realizována politikami (ABAC/RBAC/GBAC) na úrovni aplikací a API bran.

Architektury SSO: federace identit a standardy

  • SAML 2.0: zavedený standard pro webové SSO v enterprise; používá assertions podepsané IdP, které konzumuje SP (aplikace).
  • OAuth 2.0 / OpenID Connect (OIDC): moderní protokoly pro delegaci přístupu (OAuth) a přenesení identity (OIDC). Vhodné pro web, mobil i API.
  • Kerberos: často nasazen v doménovém prostředí (Active Directory) pro intranetové SSO, s lístky TGT a služeb.
  • SCIM: ne pro SSO samotné, ale pro jednotné zřizování/de-provisioning účtů mezi IdP a aplikacemi.

Toky a role: IdP, SP, AS/Authorization Server

Identity Provider (IdP) autentizuje uživatele a vydává tokeny/asserce (SAML Assertion, ID Token, Access Token). Service Provider (SP) nebo Relying Party (RP) token ověří a vytvoří lokální relaci. V OAuth/OIDC roli IdP často plní Authorization Server (AS), který vydává krátkodobé Access Tokeny a Refresh Tokeny, případně ID Token (OIDC) pro profil identity.

SSO s OIDC: autorizační kódy, PKCE a relace

Nejčastěji se používá authorization code flow s PKCE, který chrání před odcizením kódu v prohlížeči. Prohlížeč je přesměrován na IdP, uživatel se autentizuje (ideálně s MFA) a AS vydá kód, který si serverová aplikace vymění za ID/Access Tokeny. Relace SSO je udržována v IdP (centrální SSO cookie + klientské relace), což umožňuje tichou obnovu přihlášení v dalších aplikacích.

Životní cyklus tokenů a řízení rizika

  • Krátká životnost Access Tokenů (minuty) minimalizuje dopad kompromitace.
  • Refresh Token Rotation a vazba na klienta (DPoP/MTLS) snižují riziko zneužití.
  • Audience a scopes omezují, k čemu lze token použít.
  • Token Revocation a back-channel logout pro okamžité ukončení relací.

Vícefaktorové ověřování: faktory a jejich vlastnosti

MFA kombinuje alespoň dva z následujících:

  • Něco, co znám: heslo, PIN, passphrase (náchylné k phishingu a reuse).
  • Něco, co mám: HW token (FIDO2/U2F), mobil s autentizační aplikací (TOTP, push), smart karta.
  • Něco, čím jsem: biometrie (otisk, FaceID) – používat s ochranou šablon a fallbacky.

Za zlatý standard pro odolnost proti phishingu jsou považovány FIDO2/WebAuthn bezpečnostní klíče a platformní autentizátory (passkeys). TOTP (časové jednorázové kódy) je rozšířený kompromis mezi bezpečností a dostupností. SMS OTP je vhodné omezit pro rizika přepisu SIM a SS7.

Phishing-resistant MFA a passkeys

WebAuthn s public-key kryptografií svazuje přihlášení ke konkrétní doméně a zařízení, čímž brání přenositelnosti přihlašovacích údajů. Passkeys sjednocují UX (biometrie/PIN), synchronizují se bezpečně v rámci ekosystémů a podporují zálohování a obnovu s minimálním třením. V enterprise se doporučuje kombinace platform autentizátorů (notebook/telefon) a roaming HW klíčů pro break-glass.

Adaptivní a kontextové MFA

Rizikové signály (nová země, anonymní proxy, anomální čas, nové zařízení, vysoká citlivost aplikace) zvyšují požadavky na ověření: vyžádej druhý faktor, step-up na FIDO2, případně blokuj. Nízkorizikové scénáře mohou projít se sníženým třením (např. pouze biometrie na známém zařízení s compliance atestem).

SSO v hybridních prostředích: cloud, on-prem, legacy

Organizace často spojují cloudový IdP (OIDC/OAuth) s on-prem AD/LDAP. Pro legacy aplikace bez podpory federace se využívá reverse proxy s ověřením na hraně (OIDC) a header-based SSO či Kerberos constrained delegation pro předání identity. Kritické je jednotné řízení sezení, globální logout a audit napříč doménami.

Provozní model: zřizování, JIT a de-provisioning

  • SCIM nebo workflow v IdP pro automatické přidělování rolí a atributů.
  • JIT provisioning při prvním federovaném přihlášení vytvoří účet s minimálním profilem.
  • Just-in-Time access a Just-Enough access (časově omezené role, schvalování) snižují rizika trvalých privilegií.
  • Okamžitý de-provisioning a odvolání tokenů při odchodu zaměstnance nebo kompromitaci.

Autorizace: RBAC, ABAC a policy enginy

SSO řeší kdo se přihlásil, MFA jak silně se ověřil, ale co smí dělat určuje autorizace. RBAC (role) je srozumitelný, ale hrubý nástroj; ABAC využívá atributy (oddělení, citlivost dat, risk score). Moderní přístup s policy enginy (např. deklarativní politiky evaluované na bráně/API) umožňuje fine-grained přístup a step-up požadavky (např. vyžaduj FIDO2 pro mazání dat).

Bezpečnostní hrozby a mitigace

  • Phishing a relay útoky: nasadit FIDO2/WebAuthn, detekce WebAuthn/Origin Bound, anti-phishing školení.
  • Token theft: krátký TTL, rotace refresh tokenů, DPoP/MTLS, omezení redirect_uri, stejnéSite cookies.
  • Consent a scope abuse: minimální požadované scope, pravidelný audit a odvolání souhlasů.
  • Session fixation: regenerace relace po loginu, striktní cookie atributy (HttpOnly, Secure, SameSite).
  • Bypass MFA: striktní výjimky, žádné plošné bypassy; break-glass účty s tvrdými kontrolami a dohledem.

Uživatelská zkušenost a dostupnost

Kvalitní UX je klíčové pro přijetí. Doporučení: minimalizovat počet vyzvání (SSO), využít biometriku a passkeys, remembered devices s omezenou platností, a jasné self-service možnosti (reset faktorů, registrace nových zařízení). Nezapomeňte na offline a recovery scénáře (záložní kódy, více registrovaných klíčů, helpdesk procesy).

Integrace s endpoint a posture kontrolou

IAM se propojuje s MDM/UEM a kontrolami zařízení (OS verze, šifrování disku, aktivní EDR). Přístup k citlivým aplikacím může vyžadovat device compliance a attestaci (např. TPM/Secure Enclave signály). Politiky mohou zakázat přístup z neřízených či kompromitovaných zařízení, nebo vyžádat step-up MFA.

SSO pro API a stroj-stroj komunikaci

Pro ne-interaktivní přístup se používají OAuth 2.0 Client Credentials či JWT Bearer flow s MTLS/DPoP. Rotace tajemství, krátký TTL a audience restriction jsou klíčové. Service-to-service požadavky lze obohatit o identity federation (např. OIDC mezi doménami) a policy enforcement na API gateway.

Governance, audit a soulady

Centrální auditní stopa (pokusy o login, MFA události, změny faktorů, administrátorské akce) je nutná pro vyšetřování incidentů i pro splnění regulace (např. GDPR – minimalizace dat, řízení souhlasů a právo na přístup). Separační povinnosti (SoD) brání kumulaci privilegií. Periodické access reviews a certifikace oprávnění zabraňují permission creep.

Migrace na moderní IAM: roadmapa

  1. Inventarizace aplikací a mapování aktuálních autentizačních mechanismů.
  2. Volba IdP a standardů (OIDC/SAML), definice politik MFA a rizikových signálů.
  3. Pilot s MFA (FIDO2 + TOTP) a postupné rozšíření, vypnutí SMS OTP, zavedení passkeys.
  4. Integrace SCIM a automatizace zřizování/de-zřizování, jednotný HR zdroj pravdy.
  5. Decommission legacy (NTLM basic auth, dlouhé relace), zavedení centralizovaného logoutu a token revocation.

Výkonnost a škálovatelnost

SSO brány a IdP musí škálovat při špičkách. Důležité jsou stateless architektury (cache, distribuované relace), HA nasazení napříč zónami, a ochrana proti DoS (rate-limiting, CAPTCHA pro anonymní koncové body, prioritizace kritických tenantů). Kryptografické operace (sign/verify) lze akcelerovat HSM či DPU.

Best practices pro bezpečné nasazení

  • Používejte OIDC s PKCE pro veřejné/mobilní klienty, MTLS pro důvěryhodné servery.
  • Obnovujte a rotujte klíče a certifikáty; sledujte expirace, zapněte CT monitoring.
  • Vynucujte MFA minimálně pro administrátory a citlivé aplikace; preferujte FIDO2.
  • Implementujte risk-based politiky a step-up autentizaci.
  • Zabezpečte redirect_uri, používejte nonce/state a SameSite cookies.
  • Zajistěte globální logout (front-/back-channel), revokaci tokenů a detekci anomálií.

Závěr

SSO a MFA společně vytvářejí robustní základ moderní IAM: centralizují ověřování, snižují tření a dramaticky zvyšují bezpečnost. Úspěch závisí na správné volbě standardů (OIDC/SAML), zavedení phishing-resistant MFA (FIDO2/passkeys), kontextové autentizaci, automatizovaném zřizování (SCIM) a důsledném dohledu a auditu. Takto navržená identitní vrstva podporuje Zero Trust, zjednodušuje správu a škáluje s potřebami organizace, aniž by obětovala uživatelský zážitek.

Related Posts

Školské súkromie

Školské súkromie

Súkromie v školách: fotenie a cloud len so súhlasmi, minimum údajov v kontách žiakov a jasné pravidlá zdieľania.

sezónne zásoby

Sezónne zásoby v oblasti výroby Sezónne zásoby sú dôležitým aspektom v oblasti výroby a riadenia zásob. Tento pojem sa vzťahuje na zásoby, ktoré sú vytvárané […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *