Autorizacija↵
ePP zahteva dvofaktorsku autorizaciju (2FA) kao potvrdu izvršenja aktivnosti koje se sa sigurnosne strane smatraju rizičnim. 2FA se može sprovoditi kroz jedan ili više različitih kanala putem kojih korisnik dobija u posed token za autorizaciju - šestocifreni broj koji se mora uneti za potvrdu operacije u okviru ograničenog vremenskog perioda.
Na slici je prikazano podešavanje autorizacije u okviru profila korisnika.
Brojevima su označeni sledeći elementi:
- Odabir autorizacionih kanala
- Odabir podrazumevanog kanala
- Aktivacija 2FA za prijavu na sistem
Podešavanje autorizacije↵
U opcijama profila korisnisku je omogućen izbor metoda autorizacije za podržane kritične aktivnosti:
Sledeće aktivnosti se zaštićuju 2FA:
Za svaku aktivnost korisnik može da opredeli jedan ili više 2FA kanala koji mu se nude na izbor prilikom sprovođenja aktivnosti. Jedan od ponuđenih kanala je podrazumevani što znači da je inicijalno aktiviran, a korisnik ga može promeniti.
Razlog za više kanala
Višestruki kanali služe kao backup opcija u slučaju da postoji problem sa podrazumevanim kanalom. Na primer:
- Ukoliko je korisniku podrazumevani kanal za aktivnost plaćanja email, ali iz bilo kog razloga ga ne dobija, može upotrebiti SMS kanal dok ne razreši problem
- Ukoliko je korisnik za aktivnost prijave podesio autentifikator ali mu mobilni telefon nije pri ruci, može upotrebiti email kanal
Autorizacioni kanali↵
Sledeći autorizacioni kanali su dostupni za preuzimanje 2FA tokena:
- Email server 1
- Email server 2
- SMS
- Autentifikator
Broj i vrsta kanala je stvar kontinuiranog održavanja ePP servisa - novi kanali mogu biti dodati po potrebi i prethodni mogu biti ugašeni.
Email server↵
E-mail server je kanal koji isporučuje korisniku token na njegovu adresu elektronske pošte. Brojevi e-mail servera označavaju fizički različite servere u okviru infrastrukture UT koji se koriste za slanje tokena. Ukoliko korisnik nije pravovremeno ili uopšte dobio e-mail od servisa koristeći odabrani e-mail server, treba da pokuša isporuku preko alternativnog.
Korisnik podešava email samostalno u okviru svog profila, ili ga može podesiti lokalni administrator njegove organizacije, ili operater OJ UT.
Email kanal karakteriše određena verovatnoća nesigurnosti isporuke tj. ne postoji 100% garancija isporuke. Uzroci za ne pristizanje poruke mogu biti razni: poruka je proglašena kao spam, nedovoljno prostora u inbox-u, email server korisnika nije dostupan, email server UT je blokiran itd.
SMS↵
SMS je kanal koji isporučuje korisniku token na broj mobilnog telefona, ukoliko ga korisnik ima podešenog, inače mu je opcija onemogućena.
Korisnik podešava broj telefona samostalno u okviru svog profila, ili ga može podesiti lokalni administrator njegove organizacije, ili operater OJ UT.
SMS kanal karakteriše određena verovatnoća nesigurnosti isporuke tj. ne postoji 100% garancija isporuke. Uzroci za ne pristizanje poruke mogu biti razni: korisnik nije dostupan, nedovoljno prostora na disku, tehnički problemi SMS snabdevača itd.
Autentifikator↵
Autentifikator je kanal koji omogućava korisniku da samostalno generiše token upotrebom aplikacije. Aplikacija mora biti instalirana na uređaju korisnika (mobilni telefon, desktop kompjuter, browser ekstenzija itd.).
Pre upotrebe autentifikatora sprovodi se inicijalizacija koja obuhvata deljenje tajne sa korisnikom. Nadalje, koristeći autentifikator, podnosilac zahteva generiše 2FA token, što je moguće uraditi na uređaju koji ne poseduje konekciju na Internet:
Autentifikator je 100% stabilan kanal ukoliko odogovarajuća aplikacija funkcioniše i ispravno je podešena.
TOTP algoritam
ePP koristi standardni Open Auth TOTP algoritam - RFC6238.
Gubljenje autentifikatora bez backup opcije
U slučaju da je korisnik izgubio pristup autentifikatoru, a za prijavu na sistem je isključio sve druge autorizacione kanale, neće moći da se prijavi na sistem bez intervencije lokalnog administratora organizacije ili operatera UT.
Aplikacije↵
Korisnik samostalno odlučuje koju 2FA aplikaciju će koristiti za upotrebu autentifikatora.
Na raspolaganju mu je veliki broj aplikacija koje se koriste za 2FA, na bilo kom popularnom uređaju ili operativnom sistemu, na primer:
- Mobilne aplikacije
- Browser ekstenzije
- CLI
UT ne daje podršku za korišćenje navedenih 2FA aplikacija
ePP CLI aplikacija
Za potrebe testiranja integracija, UT je obezbeđuje sopstvenu CLI aplikaciju za Windows i Linux platforme, totp-cli.
Podrazumevani kanal↵
Obzirom da korisnik može imati odabranih više 2FA kanala u istom trenutku, moguće je podesiti podrazumevani kanal koji će biti odmah aktivan. Korisnik iz liste uključenih kanala može promeniti podrazumevani kanal u bilo kom trenutku.
Korisnik podešava podrazumevani kanal samostalno u okviru svog profila ili ga može podesiti lokalni administrator njegove organizacije, ili operater OJ UT:
Postoji tri nivoa podešavanja podrazumevanog OTP kanala:
- Podrazumevani kanal ePP sistema
Podešavanje sistema koje nije moguće izmeniti:E-mail server 1 - Podrazumevani kanal organizacije
Opciono podešava lokalni administrator organizacije samostalno ili operater nadležne OJ UT po zahtevu. Ukoliko nije podešen umesto njega se koristi podrazumevani kanal sistema. - Podrazumevani kanal korisnika
Opciono podešava korisnik preko svog profila samostalno ili lokalni administrator njegove organizacije, ili operater nadležne OJ UT po zahtevu. Ukoliko nije podešen umesto njega se koristi podrazumevani kanal organizacije.
Podrazumevani kanal nije podešen
Ukoliko organizacija podesi podrazumevani kanal koji korisnik nema konfigurisan, npr. SMS bez broja telefona, za tog korisnika se primenjuje podrazumevani kanal servisa.