01 — Kasutaja autentimine
Vaikimisi kaasaegne, kriitilistes kohtades riikliku taseme turvalisusega.
Autentimine on esimene indikaator sellest, kui tõsiselt platvormi ülejäänud osa võetakse. Cybsis kohtleb seda vastava tähtsusega.
- Pääsuvõtmed (WebAuthn) – standardvalik
- Andmepüügile vastupidavad krüptograafilised pääsutunnused, mis on seotud seadmega. Riistvaralised turvavõtmed, nagu YubiKey, on esmaklassiliselt toetatud — sama autentimisteekond sobib ühtviisi neile ja platvormi autentijatele (Touch ID, Windows Hello). @simplewebauthn/server v13
- TARA — Eesti eID autentimislahendus (avalik sektor)
- Üks OIDC autentimisvoog Eesti riigi SSO teenuses toetab kõiki riiklikke eID võimalusi: ID-kaarti, Mobiil-ID-d ja Smart-ID-d. Kasutaja teeb valiku TARA portaalis; Cybsis saab tagasi kinnitatud identiteediandmed. TARA on riigi pakutav teenus avaliku sektori süsteemidesse sisselogimiseks — erasektori lahendustes kasutatakse allpool toodud Web eID-d. openid-client v6
- Active Directory / LDAP
- Otseühendus kliendi AD või ükskõik millise LDAP-ühilduva kataloogiga. Ettevõtetele, kelle identiteedid on juba keskhalduse all ja kes ei soovi dubleerivat kasutajate hoidlat. Konto lukustamine töötab kooskõlas kataloogi enda poliitikaga. ldapts v8 · integrationAD moodul
- Web eID — ID-kaart erasektorile
- Eesti ID-kaardiga autentimine on saadaval erasektori ostjatele ning avaliku sektori tiimidele, kes eelistavad TARA kaudu mitte liikuda. Lahendus põhineb brauserilaiendusel ning kasutab OCSP sertifikaadikontrolli ja nonce’iga seotud väljakutse-vastuse mehhanismi. SK ID Solutionsi kaudu pakutavad kommertslikud Mobiil-ID ja Smart-ID on toetatud tasulise integratsioonimoodulina — olemasolevatele klientidele sisaldub see paketis, uute erasektori juurutuste puhul ostetakse eraldi. @peculiar/x509 · OCSP-valideeritud
- Föderatsiooni API-võtmed
- Cybsise paigalduste vaheline masin-masin liidese juurdepääs. Bearer-tokenid HMAC-SHA256 päringusignatuuride ja identiteedipäise rollikaardistusega; tühistatavad väljastanud eksemplaris. föderatsioonimoodul
- Parool (kui muud võimalust pole)
- Paroolid on räsitud Bcryptiga, miinimumpikkus on seadistatav ning konto lukustub pärast seadistatavat arvu ebaõnnestunud katseid jooksva 15-minutilise akna jooksul. Meie eelistus on, et Sa kasutaksid pääsuvõtmeid. bcryptjs v3
Seansimudel
Lühikese kehtivusajaga JWT-pääsutõendid (15 minutit, seadistatav) edastatakse httpOnly SameSite=Strict küpsistes ning kontrollitakse sihtsaajat ja väljaandjat. Värskendustõendid on 48 juhuslikku baiti, mis talletatakse puhkeolekus SHA-256 räsituna — avatekst esineb ainult brauseri küpsises. Jõudeaeg on seadistatav iga üksuse kohta; vaikimisi 60 minutit. Marsruudipõhised päringupiirangud kehtivad igale autentimise lõpp-punktile (nt parool: 10 päringut / 15 minutit; pääsuvõtme registreerimine: 20 / 5 minutit).