MyID z obsługą FIDO Enterprise Attestation

Nieczęsto pojawia się na rynku coś, co realnie upraszcza życie zespołom IT i jednocześnie zwiększa bezpieczeństwo. MyID jako pierwsze CMS (Credential Management System) wspiera FIDO Enterprise Attestation.

Z czym my się mierzymy na co dzień

Zacznijmy od realiów. Firma – średnia albo duża, powiedzmy kilkaset pracowników. Sporo kont uprzywilejowanych, sporo dostępu do systemów produkcyjnych. Część ludzi pracuje zdalnie, część z biura, do tego kontraktorzy z zewnętrznych firm. Każdy ma mieć jakiś silny sposób logowania – najlepiej bez hasła, bo wszyscy mamy dość resetów i phishingu.

Z pomocą przychodzą klucze FIDO2. Fizyczne, sprzętowe, trudne do podrobienia – świetne. Ale w praktyce? Jeśli nie masz centralnego zarządzania tym, co faktycznie użytkownik zarejestrował, to robi się bałagan. Użytkownik może podpiąć własny klucz kupiony na Allegro, my nie mamy żadnej pewności, że to bezpieczny sprzęt, nie wiemy czy prywatny czy firmowy, i w ogóle nie mamy kontroli nad tym, co on sobie z tym kluczem zrobi. W razie incydentu nie wiemy nic – kto, z czym, kiedy, na jakim urządzeniu. I tu pomaga nowa funkcja w MyID.

Czym jest FIDO Enterprise Attestation

Standardowy FIDO działa w ten sposób, że jak użytkownik rejestruje klucz, to sam system operacyjny (np. Windows, Chrome, macOS) podpowiada mu, żeby kliknął „Dodaj urządzenie”. I tyle. Ale ten proces nie daje administratorowi żadnej informacji o tym, co to za urządzenie. Czy to Yubikey? Czy to chiński klon kupiony na Amazon? Czy to klucz firmowy, czy prywatny? Czy był wcześniej używany gdzieś indziej? Wszystko to jest czarna skrzynka.

Enterprise Attestation to mechanizm, który pozwala urządzeniu pokazać się „z imienia i nazwiska” – czyli wysyła podpisany certyfikat, w którym widać dokładnie: to jest klucz model XYZ, numer seryjny ABC123, zakupiony przez firmę, przypisany do konkretnego użytkownika.

Co to daje w praktyce

Po pierwsze: pełna kontrola. Rejestrując klucz FIDO, MyID może sprawdzić, czy to klucz dopuszczony przez organizację. Jeśli nie – blokuje rejestrację. Możemy wymusić, żeby tylko konkretne modele (np. Yubikey 5C NFC) były akceptowane, i nic innego.

Po drugie: audyt. W razie incydentu – np. jeśli ktoś próbuje logować się poza godzinami pracy albo z dziwnego geolokalizacyjnego punktu – wiemy dokładnie, który klucz to był. Można zdalnie go unieważnić.

Po trzecie: wdrożenia hybrydowe. W firmach, które mają zarówno środowiska chmurowe (Azure AD, Google Workspace), jak i lokalne (AD + VPN), często był problem: jak zsynchronizować informacje o urządzeniach? MyID jako CMS centralizuje te dane, niezależnie od źródła tożsamości, i teraz – dzięki Enterprise Attestation – robi to również z pełną świadomością sprzętu.

Jak to działa technicznie

Od strony technicznej, MyID korzysta z rozszerzenia FIDO2 o nazwie Enterprise Attestation, które wymaga, żeby klucz sprzętowy podczas procesu rejestracji wysłał specjalny certyfikat, zawierający dane producenta i numer seryjny. MyID jest w stanie:

• przyjąć certyfikat,

• zmapować go do polityki urządzeń (czy dany model jest akceptowany),

• przypisać do użytkownika,

• zarządzać jego cyklem życia (reset, dezaktywacja, przypisanie do innej osoby).

Nie trzeba budować tego samemu, nie trzeba wymyślać obejść z własnym PKI. Wszystko działa w ramach jednej platformy.

A co z kompatybilnością?

Z naszych testów i wdrożeń wynika, że najlepiej działają urządzenia od producentów, którzy już współpracują z Intercede na przykład Yubico. Windows Hello for Business obsługuje ten model częściowo, ale bez centralnego CMS-a jak MyID nadal brakuje wielu funkcji zarządczych. Chrome i Edge już wspierają rozszerzenie Enterprise Attestation, więc z perspektywy użytkownika końcowego wszystko wygląda jak zwykła rejestracja klucza.

Podsumowując

Jeśli chcesz wiedzieć, jak to wygląda w praktyce – możemy pokazać Ci demo, podzielić się konfiguracją pod Twoje środowisko.