Seguridad de las integraciones del menú escritorio/móvil
Breve descripción general
El menú de WalkMe para escritorio y dispositivos móviles utiliza dos tipos de estándares seguros al conectar una integración:
- Clave API: el mismo nivel de permisos para todos los usuarios de la aplicación. La integración se conectará automáticamente por defecto después de que el administrador la active en la consola.
- OAuth2.0: nivel de permisos según el permiso del usuario en la aplicación real conectada. La integración requiere el consentimiento del usuario (conecta la aplicación manualmente) después de que el administrador la active en la consola.
Qué es OAuth2.0
OAuth 2.0 es un estándar seguro para el intercambio de datos. Este estándar de autenticación y autorización protege los datos del usuario al proporcionar acceso a los datos sin revelar la identidad o las credenciales del usuario. Eso es para que el menú realice solicitudes de datos para que aparezcan en la búsqueda empresarial y los widgets de la pantalla de inicio, sin acceder a contraseñas y otra información confidencial.
OAuth 2.0 permite que las aplicaciones accedan a los datos de otras sin revelar las credenciales del usuario. Esto se realiza a través del uso de tokens, que son emitidos por el servidor de autorización y se pueden utilizar para acceder a los recursos protegidos en el servidor de recursos.
Los datos confidenciales, como los números de tarjetas de crédito, los registros médicos, los estados de cuenta bancarios o las contraseñas, se almacenan de forma remota y se les asigna un ID de token para que los comerciantes y terceros (en este caso, el menú) no tengan acceso a ellos.
Ventajas de OAuth 2.0
Aparte del hecho de que la integración de terceros no revela la contraseña del usuario (en este caso, el menú), una de las principales ventajas de OAuth 2.0 es que permite a los usuarios revocar el acceso a sus recursos en cualquier momento. Si los usuarios ya no necesitan esta integración de terceros, pueden simplemente revocar el acceso de la aplicación a sus recursos. Esto no es posible con la autenticación tradicional con nombre de usuario y contraseña, donde el usuario tendría que recordar cambiar su contraseña para revocar el acceso.
Además, OAuth 2.0 admite diferentes tipos de concesión, lo que permite que el servidor de autorización emita tokens de diferentes maneras. Esta flexibilidad permite que el servidor de autorización elija el tipo de concesión más seguro en función de los requisitos específicos del cliente y del usuario, y comparta solo los datos más relevantes de acuerdo con los alcances predefinidos.
OAuth 2.0 tiene un protocolo flexible que se basa en SSL (Secure Sockets Layer) para garantizar que los datos entre el servidor web y los navegadores sigan siendo privados. SSL utiliza protocolos de criptografía de la industria para mantener seguros los datos.
Actualizar tokens de cifrado
Cada vez que se otorga un nuevo token de acceso al menú de escritorio/móvil, la aplicación cifrará los tokens de acceso y actualización y los almacenará en una base de datos remota.
El proceso de cifrado incluye una clave privada única ("salt") que se genera para cada individuo en el primer arranque y se almacena en el llavero de la máquina local.
El "salt" es irreemplazable y no se puede restaurar: perderlo hace que los tokens de acceso se anulen. Esta medida de seguridad se está tomando para eliminar la suplantación de identidad al acceder a datos de alta sensibilidad.
Consulta la siguiente figura para revisar la generación y el flujo de almacenamiento de claves de cifrado:
Seguridad de búsqueda empresarial
La búsqueda empresarial utiliza integraciones de terceros para implementar una "búsqueda federal". Las búsquedas dentro del menú están respaldadas por un motor de procesamiento de lenguaje natural (NLP) y una base de datos de gráficos que admite una excelente experiencia del usuario.
La búsqueda empresarial del menú de WalkMe no indexa datos de terceros en una base de datos que se pueda buscar de forma independiente. El siguiente diagrama de secuencia describe el algoritmo de búsqueda:
La capa de caché guarda los resultados durante un período de cinco minutos.
Cada servicio de adopción crea un identificador único para los resultados que no tiene sentido sin acceso a los datos de terceros y lo almacena en la base de datos de gráficos.