Technologie - Inero Software - Rozwiązania IT i Konsulting

Wdrożenie voicebota w obsłudze telefonicznej – aspekty, o których rzadko się mówi

Andrzej Chybicki — Fri, 06 Feb 2026 14:13:25 +0000

Rozwiązania typu voicebot coraz częściej pojawiają się w obsłudze telefonicznej jako sposób na skrócenie czasu oczekiwania, obniżenie kosztów operacyjnych oraz zwiększenie dostępności usług. W praktyce jednak skuteczne wdrożenie agenta głosowego w rzeczywistym procesie biznesowym wymaga znacznie więcej niż poprawnie działający model językowy. Z perspektywy zespołu INERO kluczowe wyzwania ujawniają się dopiero na etapie pracy produkcyjnej.

Poniżej przedstawiamy wybrane doświadczenia z wdrożenia voicebota obsługującego wieloetapowy proces operacyjny. Są to elementy, które w istotny sposób wpływają na stabilność, przewidywalność i możliwość długoterminowego utrzymania rozwiązania.

Testy rozmów i integracji jako element architektury rozwiązania

W projektach voicebotowych testowanie nie powinno być traktowane jako końcowy etap prac. Już na wczesnym etapie okazało się, że niezbędne jest rozdzielenie testów na dwie uzupełniające się warstwy:

- testy przebiegu rozmowy, weryfikujące kolejność pytań, poprawność dopytań oraz logiczne domykanie poszczególnych etapów,
- testy wywołań narzędzi i webhooków, sprawdzające, czy agent komunikuje się z systemami backendowymi dokładnie w tych momentach, które są wymagane przez proces biznesowy.

Takie podejście pozwala wychwycić błędy niewidoczne na poziomie samej konwersacji, a mające bezpośredni wpływ na integralność danych i dalsze przetwarzanie informacji.

Case snippet
Symptom: rozmowa przebiegała poprawnie, użytkownik potwierdzał jej podsumowanie, jednak dane nie trafiały do systemu operacyjnego.
Działanie: wprowadziliśmy automatyczne testy weryfikujące warunki oraz moment wywołania webhooków.
Wniosek: poprawna rozmowa nie gwarantuje poprawnej realizacji procesu – integracje wymagają równie rygorystycznego testowania jak warstwa dialogowa.

Wersjonowanie agentów – dlaczego GUI zabija powtarzalność i audytowalność

W wielu platformach agentowych najprostszym sposobem wprowadzania zmian jest bezpośrednia edycja konfiguracji w interfejsie graficznym. Takie podejście działa na wczesnym etapie projektu, jednak bardzo szybko ujawnia swoje ograniczenia. Problemy pojawiają się w szczególności wtedy, gdy:

- dwie osoby niezależnie modyfikują instrukcję tego samego agenta,
- drobna poprawka wprowadzona „na szybko” trafia na środowisko produkcyjne bez śladu w historii zmian,
- po czasie nie da się jednoznacznie odtworzyć, kiedy i dlaczego agent zaczął zachowywać się inaczej.

Z tego względu konfigurację agentów zaczęliśmy traktować jak kod źródłowy, a nie jak parametr edytowany w GUI. W praktyce oznaczało to:

- wykonywanie snapshotów konfiguracji agentów w repozytorium,
- stosowanie workflow typu pull / update / push, umożliwiającego świadome przenoszenie zmian z GUI do kontroli wersji,
- spójne podejście do środowisk (np. dev / prod), nawet jeśli platforma agentowa posiada w tym zakresie ograniczenia.

Na pierwszy rzut oka może to wyglądać jak nadmierny formalizm. W praktyce jednak bez takiego podejścia bardzo trudno realizować regresję, rollback czy rzetelną analizę przyczyn zmian w zachowaniu agenta.

Wniosek: voicebot, którego konfiguracja nie jest wersjonowana, z czasem staje się rozwiązaniem trudnym do utrzymania i operacyjnie niekontrolowalnym.

Produkcja jako weryfikacja założeń projektowych

Rzeczywiste rozmowy telefoniczne różnią się istotnie od scenariuszy testowych. Użytkownicy mówią w różnym tempie, wracają do wcześniejszych wątków lub nie potrafią jednoznacznie sformułować odpowiedzi. Z tego powodu kluczowe znaczenie ma kontrola przebiegu rozmowy jako całości, a nie wyłącznie poprawność pojedynczych wypowiedzi.

Case snippet
Symptom: część połączeń trwała bardzo długo i nie prowadziła do jednoznacznego zakończenia procesu.
Działanie: wprowadziliśmy z góry określony maksymalny czas trwania rozmowy oraz reguły jej kontrolowanego domykania.
Wniosek: limit czasu rozmowy pozwala kontrolować koszty operacyjne i zapobiega sytuacjom, w których rozmowa nie prowadzi do sensownej konkluzji.

Normalizacja danych jako element krytyczny architektury

Agent głosowy operuje na języku naturalnym, natomiast systemy backendowe wymagają danych jednoznacznych i ustrukturyzowanych. Bez spójnej normalizacji i walidacji dane zebrane w rozmowie mogą okazać się bezużyteczne na dalszych etapach przetwarzania.

Case snippet
Symptom: kompletne dane zebrane w rozmowie nie przechodziły walidacji w systemach downstream.
Działanie: dodaliśmy warstwę normalizacji i walidacji danych jeszcze przed ich przekazaniem do backendu.
Wniosek: skuteczny voicebot wymaga dodatkowej warstwy logicznej, która tłumaczy język naturalny na precyzyjne struktury danych.

Checklista przed uruchomieniem produkcyjnym

Na podstawie zdobytych doświadczeń wypracowaliśmy zestaw elementów, które uznajemy za niezbędne przed uruchomieniem voicebota w środowisku produkcyjnym:

1. automatyczne testy wywołań narzędzi i webhooków,
2. monitoring kompletności rozmowy i zbieranych danych,
3. wersjonowanie konfiguracji agentów oraz możliwość rollbacku,
4. jasno zdefiniowane warunki zakończenia rozmowy,
5. kontrola maksymalnego czasu trwania połączenia,
6. spójna normalizacja i walidacja danych wejściowych.

Podsumowanie

Z perspektywy zespołu INERO wdrożenie voicebota w obsłudze telefonicznej należy traktować jako projekt systemowy, a nie wyłącznie implementację modelu językowego. O powodzeniu rozwiązania w dużej mierze decydują elementy niewidoczne dla użytkownika końcowego: testy integracyjne, wersjonowanie konfiguracji, monitoring oraz jasno zdefiniowana logika procesu.

To właśnie te aspekty sprawiają, że voicebot przestaje być eksperymentem technologicznym, a staje się stabilnym narzędziem operacyjnym, gotowym do długoterminowego utrzymania i skalowania.

Artykuł Wdrożenie voicebota w obsłudze telefonicznej – aspekty, o których rzadko się mówi pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

OpenAI vs. DeepSeek: Techniczne porównanie z wykorzystaniem zunifikowanych interfejsów API

Martyna Mul — Fri, 14 Mar 2025 14:40:50 +0000

Duże modele językowe (LLM) są coraz częściej wykorzystywane do analizy i ekstrakcji informacji z obszernych dokumentów, w tym długich raportów statystycznych w formacie PDF. Jednak nie wszystkie modele radzą sobie równie dobrze z przetwarzaniem dużych plików, zwłaszcza tych przekraczających 50 stron. W tym artykule przeprowadzamy analizę porównawczą trzech popularnych modeli LLM—modeli GPT od OpenAI: 4o-mini i o3-mini, oraz DeepSeek R1—w celu oceny ich skuteczności w odczytywaniu i analizie danych statystycznych z dużych plików PDF. Nasza ocena koncentruje się na trzech kluczowych czynnikach: dokładności, czasie odpowiedzi oraz szacunkowych kosztach korzystania z każdego modelu.

Aby zapewnić rzetelne porównanie, wykorzystaliśmy LiteLLM – zunifikowane API, które upraszcza benchmarking różnych modeli LLM. Standaryzując interakcje między dostawcami modeli, LiteLLM pozwoliło nam skupić się na ocenie metryk wydajności LLM zamiast na różnicach w implementacji.

Zunifikowane podejście API

Porównywanie modeli LLM typu od różnych dostawców bywa wyzwaniem ze względu na różnice w ich interfejsach API. Aby ujednolicić nasze testy, wykorzystaliśmy LiteLLM – bibliotekę zapewniającą spójny interfejs do obsługi wielu modeli LLM. Dzięki temu możliwa była łatwa zamiana modeli oraz bardziej obiektywne porównanie ich wydajności. Oto, jak proste jest przełączanie między modelami przy użyciu zunifikowanego API LiteLLM:

import litellm 
 
# To use openai. 
response = litellm.completion(model="o3-mini", messages=[{"content": "Hello", "role": "user"}]) 
 
# To use deepseek. 
response = litellm.completion(model="deepseek/deepseek-reasoner", messages=[{"content": "Hello", "role": "user"}])

To uproszczone podejście pozwoliło nam porównać modele bez konieczności zajmowania się złożonością ich implementacji.

DeepSeek vs. OpenAI – przegląd modeli

Zanim przejdziemy do wyników benchmarku modeli AI, zdefiniujmy kluczowe pojęcia i przedstawmy podstawowe specyfikacje testowanych modeli.

Jednym z najważniejszych parametrów w benchmarkingu modeli LLM jest okno kontekstowe – maksymalna liczba tokenów, które model może przetworzyć jednocześnie. Tokeny reprezentują fragmenty tekstu, a nie pojedyncze słowa. Większe okno kontekstowe pozwala modelowi obsługiwać bardziej rozbudowane dokumenty w jednym zapytaniu, co ma kluczowe znaczenie przy pracy z długimi raportami statystycznymi.

Ceny korzystania z modeli LLM są zazwyczaj oparte na liczbie przetworzonych tokenów, przy czym koszt może się różnić w zależności od rodzaju tokenów. W modelach LLM wyróżnia się zazwyczaj trzy typy tokenów wpływające na wycenę:

Tokeny wejściowe (input tokens) – reprezentują dane dostarczane do modelu, takie jak tekst zapytania lub dokument do analizy. Koszt przetwarzania wejściowych tokenów zależy od modelu i dostawcy.
Tokeny wyjściowe (output tokens) – to treść generowana przez model w odpowiedzi na zapytanie. Ponieważ modele LLM mogą zwracać różne długości odpowiedzi, liczba tokenów wyjściowych ma istotny wpływ na końcowy koszt użytkowania.
Tokeny kontekstowe (context tokens) – obejmują zarówno tokeny wejściowe, jak i poprzednie odpowiedzi modelu w sesji konwersacyjnej. Im większy kontekst przechowywany w pamięci modelu, tym większe zużycie tokenów i potencjalnie wyższy koszt.

Zrozumienie tych kategorii jest kluczowe dla optymalizacji kosztów korzystania z LLM, zwłaszcza w przypadku analizy dużych dokumentów.

Modele wybrane do tego porównania należą do najnowszych wersji wydanych w ostatnich miesiącach. Choć różnią się pod względem cen i możliwości, naszym celem jest ocena, czy te różnice przekładają się na mierzalne różnice w wydajności. Poniżej przedstawiamy kluczowe charakterystyki modeli DeepSeek-R1, OpenAI 4o-mini oraz OpenAI o3-mini:

	DeepSeek-R1	OpenAI 4o-mini	OpenAI o3-mini
Okno kontekstowe	128 000 tokenów	128 000 tokenów (maksymalnie 16 384 tokenów w odpowiedzi)	200 000 tokenów (maksymalnie 100 000 tokenów w odpowiedzi)
Data wydania	Styczeń 2025	Lipiec 2024	Styczeń 2025
Cennik (za 1 milion tokenów)	Wejście: 0,55 USD Pamięć podręczna wejścia: 0,14 USD Wyjście: 2,19 USD	Wejście: 0,15 USD Pamięć podręczna wejścia: 0,075 USD Wyjście: 0,60 USD	Wejście: 1,10 USD Pamięć podręczna wejścia: 0,55 USD Wyjście: 4,40 USD
Obsługiwane formaty wejściowe	Tekst	Tekst, obrazy (w tym PNG, JPEG, GIF, WEBP)	Tekst
Obsługiwane formaty wyjściowe	Tekst	Tekst	Tekst

Plik PDF użyty do testów

Dokument użyty do testów składa się z kilku rozdziałów raportu dotyczącego polskiej i światowej gospodarki morskiej w latach 2017–2020. Raport ma 50 stron i zawiera różne statystyki oraz analizy dotyczące ruchu ładunkowego, żeglugi, przemysłu stoczniowego i innych sektorów gospodarki morskiej. Dane w pliku są sformatowane w tabelach i tekście. Większość informacji przedstawiono w tabelach, z dodatkowymi objaśnieniami i podsumowaniami w otaczającym tekście. Przykładowe strony dokumentu użytego do testów:

Metodologia testowania

Przeprowadziliśmy serię testów, wykorzystując następujące zapytania związane z gospodarką morską oraz plik PDF zawierający kontekstowe informacje. Oto przykładowe zapytania dotyczące danych zawartych w pliku PDF:

- Podsumuj kluczowe wnioski ekonomiczne z raportu dotyczącego gospodarki morskiej.
- Jaki był całkowity obrót ładunkowy w polskich portach morskich w 2020 roku?
- Jakie są główne rodzaje ładunków obsługiwanych przez polskie porty morskie?
- Które kraje są głównymi partnerami handlowymi Polski w transporcie morskim?
- Jaki jest średni wiek statków we flocie polskiego transportu morskiego?
- Jakie są kluczowe wskaźniki ekonomiczne polskiego przemysłu stoczniowego?

Jak wcześniej wspomniano, porównaliśmy następujące modele:

- OpenAI’s 4o-mini

- OpenAI’s o3-mini

- DeepSeek’s deepseek-resoner (R1)

Zmierzyliśmy następujące metryki:

- Czas inferencji – Określa czas potrzebny modelowi na wygenerowanie odpowiedzi po otrzymaniu zapytania. Krótszy czas inferencji oznacza szybsze reakcje, co ma kluczowe znaczenie dla aplikacji czasu rzeczywistego oraz przetwarzania dużych dokumentów.
- Zużycie tokenów – Modele LLM przetwarzają i generują tekst w jednostkach zwanych tokenami. Token może być pełnym słowem, jego częścią lub nawet znakiem interpunkcyjnym. Całkowite zużycie tokenów obejmuje zarówno tokeny wejściowe (zapytanie użytkownika lub dokument), jak i tokeny wyjściowe (odpowiedź modelu). Im więcej tokenów jest używanych, tym wyższy koszt zapytania.
- Koszt odpowiedzi – Obliczany jako zużycie tokenów × cena modelu (za 1 000 lub 1 000 000 tokenów, w zależności od dostawcy). Ponieważ różne modele mają różne struktury cenowe, porównanie kosztów odpowiedzi pozwala określić, który model jest bardziej opłacalny w zastosowaniach na dużą skalę.

Wyniki testów

Oto podsumowane wyniki naszych testów (każdy test był powtarzany kilkukrotnie):

Model	Średni czas inferencji (s)	Średni koszt odpowiedzi ($)	Średnia liczba tokenów wejściowych	Średnia liczba tokenów wyjściowych
DeepSeek R1	57,2	0,0039	63 961,7	751,6
o3-mini	13,8	0,0755	63 251,5	1 162,5
4o-mini	9,5	0,0511	62 538,0	1 046,5

Kluczowe wnioski

- Czas inferencji: DeepSeek konsekwentnie wykazywał dłuższe czasy inferencji w porównaniu do obu modeli OpenAI. Może to być istotny czynnik dla aplikacji, które wymagają szybkiego przetwarzania.
- Koszt odpowiedzi: DeepSeek wykazał przewagę kosztową, szczególnie w zakresie tokenów wyjściowych. Pomimo dłuższego czasu inferencji, całkowity koszt zapytania pozostaje niższy niż w przypadku OpenAI o3-mini i 4o-mini. Niższy koszt odpowiedzi DeepSeek wynika z mechanizmu buforowania, który ogranicza konieczność ponownego przetwarzania danych wejściowych. Większość treści wejściowych, zwłaszcza zawartość pliku PDF, była buforowana, co pozwoliło na znaczne oszczędności w kosztach przetwarzania. Dzięki temu systemowi DeepSeek efektywnie obsługiwał powtarzające się zapytania, czyniąc go opłacalnym wyborem do analizy dużych dokumentów.
- Zmienność odpowiedzi: Modele różniły się pod względem stylu i poziomu szczegółowości generowanych odpowiedzi. Ma to znaczenie w zależności od kontekstu i wymagań użytkownika (np. ogólne podsumowania vs. szczegółowa analiza).
- API LiteLLM: LiteLLM znacząco ułatwiło śledzenie kosztów, zużycia tokenów i czasu odpowiedzi bezpośrednio w odpowiedziach API, umożliwiając prostą i przejrzystą analizę porównawczą modeli.

Podsumowanie

Nasze testy podkreślają zalety stosowania zunifikowanych interfejsów API do benchmarkingu modeli LLM. LiteLLM znacząco uprościło cały proces, pozwalając nam skupić się na ocenie efektywności modeli oraz ich wydajności.

DeepSeek R1 wykazał się konkurencyjną opłacalnością, głównie dzięki mechanizmowi buforowania, który redukował koszty ponownego przetwarzania tych samych danych wejściowych. Jednak był zdecydowanie najwolniejszym modelem w naszych testach, osiągając średni czas inferencji na poziomie 57,2 sekundy.

Z kolei OpenAI o3-mini i 4o-mini zapewniały znacznie krótszy czas odpowiedzi, co czyni je bardziej odpowiednimi dla zastosowań wymagających przetwarzania w czasie rzeczywistym.

Artykuł OpenAI vs. DeepSeek: Techniczne porównanie z wykorzystaniem zunifikowanych interfejsów API pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Keycloak: wskazówki dotyczące monitorowania i ochrony przy użyciu wbudowanych narzędzi konfiguracyjnych

Marceli Formela — Thu, 26 Sep 2024 10:43:22 +0000

Keycloak to nie tylko potężne narzędzie do zarządzania tożsamością i dostępem; jest również kluczowe dla monitorowania wydajności i zwiększania bezpieczeństwa, zwłaszcza w obronie przed atakami phishingowymi. Dzięki wbudowanym mechanizmom monitorowania i alertowania, administratorzy mogą wykrywać podejrzane działania użytkowników oraz utrzymywać optymalną wydajność systemu.

Andrzej Chybicki

CEO Inero Software

Usługi Keycloak: Kompleksowa implementacja, utrzymanie i szkolenia

Wydajność Keycloak: Monitorowanie z Grafaną

Monitorowanie wydajności Keycloak jest kluczowe, zwłaszcza w dużych organizacjach, gdzie system musi obsługiwać jednocześnie tysiące użytkowników. Ciekawym narzędziem do tego celu jest na przykład Aerogear (https://github.com/aerogear/keycloak-metrics-spi). Aerogear umożliwia łatwe śledzenie krytycznych metryk w czasie rzeczywistym, co pozwala na optymalizację systemu i skalowanie.

Aerogear zapewnia dwie kluczowe funkcje: MetricsEventListener i MetricsEndpoint, które umożliwiają przesyłanie zdarzeń Keycloak do Prometheus oraz integrację z narzędziami wizualizacyjnymi, takimi jak Grafana. Dzięki temu administratorzy mogą monitorować ważne metryki, takie jak:

- Zużycie pamięci,
- Liczba zalogowanych użytkowników (według realm, klienta, globalnie, itp.),
- Błędy logowania.

Grafana oferuje wysoki poziom dostosowywania, umożliwiając dodanie niestandardowych parametrów (np. z plików CSV lub baz danych) oraz konfigurację alertów. Te alerty mogą być wywoływane przez różne czynniki, takie jak:

- Przekroczenie limitu czasu logowania,
- Logowanie z nieautoryzowanych lokalizacji,
- Niezwykle duża liczba żądań resetowania hasła.

żródło: grafana.com/grafana/dashboards/10441-keycloak-metrics-dashboard

Ochrona przed atakami phishingowymi: Mechanizmy adaptacyjnego uwierzytelniania

Oprócz monitorowania wydajności, zaawansowane wbudowane funkcje bezpieczeństwa Keycloak pomagają chronić przed atakami phishingowymi poprzez analizę wzorców zdarzeń. Zdarzenia w Keycloak umożliwiają administratorom definiowanie niestandardowych odpowiedzi na określone działania użytkowników, takie jak resetowanie hasła po nieudanych próbach logowania — często będące wskaźnikiem aktywności phishingowej.

Przykładem funkcji bezpieczeństwa jest adaptacyjne uwierzytelnianie, które modyfikuje proces logowania użytkownika na podstawie wcześniejszych zachowań. Na przykład, jeśli użytkownik prosi o zresetowanie hasła bez wcześniejszych nieudanych prób logowania, system może uruchomić dodatkowy krok uwierzytelnienia, taki jak uwierzytelnianie dwuskładnikowe (2FA).

Tworzenie i dostosowywanie polityki bezpieczeństwa

Podczas wdrażania tych funkcji kluczowe jest określenie, kiedy działania użytkownika powinny budzić podejrzenia. Na przykład resetowanie hasła bez wcześniejszych nieudanych prób logowania może sygnalizować phishing, podczas gdy reset po wielu nieudanych logowaniach jest bardziej rutynowy. Można zdefiniować niestandardową politykę bezpieczeństwa, która będzie określać: „Jeśli użytkownik żąda resetowania hasła bez nieudanych logowań w ciągu ostatnich 3 minut, wymagana jest autoryzacja 2FA”.

Te mechanizmy adaptacyjnego uwierzytelniania zmniejszają obciążenie wynikające z wieloskładnikowego uwierzytelniania (MFA), jednocześnie utrzymując wysoki poziom bezpieczeństwa. Dzięki skonfigurowaniu systemu zdarzeń i alertów w Keycloak, organizacje mogą skuteczniej wykrywać nietypowe zachowania i szybciej reagować na potencjalne zagrożenia.

Keycloak to wszechstronne narzędzie, które wspiera zarówno monitorowanie wydajności, jak i zwiększone bezpieczeństwo. Integracja z narzędziami takimi jak Grafana pozwala administratorom śledzić kluczowe parametry systemowe, a zaawansowane mechanizmy oparte na zdarzeniach oraz adaptacyjne uwierzytelnianie wzmacniają ochronę przed phishingiem i innymi zagrożeniami. Odpowiednia konfiguracja tych funkcji może znacznie zwiększyć poziom bezpieczeństwa i poprawić czas reakcji na incydenty.

Artykuł Keycloak: wskazówki dotyczące monitorowania i ochrony przy użyciu wbudowanych narzędzi konfiguracyjnych pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Wyzwania i korzyści integracji Keycloak: zgodność z dyrektywą NIS 2 oraz praktyczne porady na wdrożenie

Marta Kuprasz — Tue, 16 Jul 2024 07:35:44 +0000

Powszechna digitalizacja usług sprawia, że coraz więcej zasobów przenoszonych jest do chmury. Chociaż takie podejście przynosi liczne korzyści, w tym elastyczność i skalowalność, to jednocześnie eksponuje te usługi na zewnątrz, zwiększając ryzyko nieautoryzowanego dostępu. Zarządzanie dostępem do zasobów w chmurze staje się coraz większym wyzwaniem, zwłaszcza w dużych organizacjach, które operują na rosnącej liczbie użytkowników, kontrahentów oraz różnorodności ról i uprawnień.

Ten proces przyciągnął uwagę globalnej społeczności, która za pomocą wytycznych i dyrektyw podkreśla znaczenie dostosowywania praktyk bezpiecznych do specyfiki danej firmy oraz sektorów, w których działa. Dyrektywa 2022/2555, znana jako dyrektywa NIS 2, jest reakcją Unii Europejskiej na zachodzące zmiany i konieczność wprowadzenia jednakowego zestawu obowiązków i standardów z zakresu bezpieczeństwa informacji w obrębie krajów wspólnoty. Najważniejsze obowiązki wynikające z dyrektywy to:

1. Obowiązek wprowadzenia środków zarządzania ryzykiem i reagowania na incydenty.
2. Obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwych organów.
3. Wymóg współpracy między państwami członkowskimi oraz z odpowiednimi organami na poziomie UE.
4. Dedykowane wymagania dla kluczowych sektorów, takich jak energia, transport, zdrowie i finanse.

Co zmieni dyrektywa NIS 2

Nowe przepisy objęły więcej sektorów i liczniejsze grono organizacji, w tym średnie i duże przedsiębiorstwa z branż krytycznych. Wprowadzono bardziej restrykcyjne wymogi dotyczące bezpieczeństwa informacji oraz obowiązki sprawozdawcze, w celu zwiększenia odporności na zagrożenia cybernetyczne. Zgodnie z Artykułem 21 punkt 3, firmy mają obowiązek zweryfikować ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.

Z kolei w raporcie „Foresight Cybersecurity Threats for 2030”, ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci) przedstawiła szczegółową analizę pojawiających się zagrożeń cyberbezpieczeństwa w perspektywie do roku 2030. Analitycy wśród głównych zagrożeń wskazali:

Zakłócenie łańcucha dostaw oprogramowania

Niedobór wykwalifikowanych specjalistów ds. cyberbezpieczeństwa

Błędy ludzkie i eksploatowane systemy legacy

Najnowsze raporty na temat bezpieczeństwa łańcucha dostaw oprogramowania potwierdzają, że jest to jedno z największych zagrożeń dla cyberbezpieczeństwa. Raport „The State of Software Supply Chain Security 2024” od ReversingLabs wskazuje, że liczba ataków na łańcuch dostaw oprogramowania wzrosła o 289% w ciągu ostatnich czterech lat, przy czym najwięcej ataków skoncentrowało się na popularnych repozytoriach open-source, takich jak npm i PyPI. (1)

W publikacji ENISA wskazano również niebezpieczeństwo związane z rosnącą zależnością kluczowych sektorów gospodarki, od zewnętrznych usług IT. Może ona prowadzić do zwiększonej liczby interakcji w krajobrazie cyfrowym. Efektem tego procesu jest stopniowe uzależnianie się kluczowych dostawców usług od oprogramowania, którego proces powstawania nie jest certyfikowany ani zarządzany.

Jak zapewnić zgodność rozwiązań IT z dyrektywą NIS 2?

NIS 2 jest dość ogólną dyrektywą. Nie mówi wprost, co należy zrobić i jakie działania podjąć. Niemniej jednak wytycza pewien kierunek działań z obszaru cyberbezpieczeństwa, wśród których warto podkreślić:

zapewnienie jednolitego i sprawdzonego autoryzowanego dostępu do usług cyfrowych, zwłaszcza tych przetwarzających dane osobowe,
zapewnienie w przedsiębiorstwach procesów stałego monitoringu oraz aktualizacji zabezpieczeń dla kluczowych punktów dostępu usług
ustandaryzowanie procesów dostępu do usług cyfrowych wraz ze wdrożeniem systemu zarządzania tożsamością użytkowników
raportowanie i monitorowanie stanu dostępu do autoryzowanych usługi i zbiorów danych.

Z tego względu możemy w najbliższym czasie spodziewać się wzrostu zainteresowania wdrażaniem rozwiązań klasy IAM (identity and access management). Podstawowym problemem, jest nie tylko wdrożenie samego systemu tej klasy, ale przede wszystkim możliwość dopasowania do potrzeb integracji konkretnych rozwiązań:

SSO z Keycloak– znacząco upraszcza proces uwierzytelniania i autoryzacji w organizacjach, poprawiając wygodę użytkowników oraz bezpieczeństwo systemów. Dzięki jednorazowemu logowaniu, użytkownicy mogą efektywniej korzystać z różnych aplikacji, co zwiększa produktywność.

Event Logging i alarmy– Keycloak rejestruje różnorodne zdarzenia, takie jak logowania, zmiany haseł, błędy uwierzytelniania oraz modyfikacje konfiguracji systemu. – Custom authrozation flow / na czym polega problem i dlaczego jest ważny. Alarmy pomagają w szybkiej reakcji na zagrożenia, minimalizując ryzyko naruszeń bezpieczeństwa i zwiększając ochronę zasobów w chmurze.

Custom Authorization Flow w Keycloak– pozwala na tworzenie niestandardowych procesów uwierzytelniania i autoryzacji, dostosowanych do specyficznych wymagań organizacji. Potrzeba zastosowania tego rozwiązania wynika z konieczności zapewnienia elastyczności i bezpieczeństwa w zarządzaniu dostępem do zasobów.

Identity Provieders – Integracja Keycloak z Microsoft Active Directory (AD) i Google Workspace umożliwia centralne zarządzanie tożsamościami i dostępem. Dzięki temu użytkownicy mogą korzystać z jednolitego logowania (SSO), uzyskując dostęp do wielu aplikacji za pomocą jednego zestawu danych uwierzytelniających.

Skalowanie Keycaloak– umożliwia obsługę rosnącej liczby użytkowników i aplikacji poprzez uruchamianie wielu instancji w konfiguracji klastrowej, co zapewnia równomierne rozłożenie obciążenia i wysoką dostępność.

Jak przygotować się do rozmowy na temat wdrożenia Keycloak w dużej organizacji?

Rozmowy techniczne na temat wdrożenia nowych narzędzi bywają długie i wieloetapowe, dlatego warto się do nich właściwe przygotować, aby etap konsultacji przebiegł szybko i obie strony uzyskały wystarczającą liczbę informacji. O to jak najlepiej przygotować się do wdrożenia Keycloak zapytaliśmy naszego CEO, Andrzeja Chybickiego.

Jakie są najczęstsze potrzeby firm, które szukają współpracy w obszarze cyberbezpieczeństwa?

Keycloak jest specyficznym, ale i kompleksowym rozwiązaniem, które pozwala tworzyć rozbudowane systemy zarządzania autoryzacją użytkowników. Jego największą zaletą jest możliwość wdrażania jako software on-premise.

Firmy z bogatym doświadczeniem również mogą napotkać wyzwania, wprowadzając istotną zmianę jaką jest customowy flow autoryzacji w swoich systemach logowania i często poszukują konsultacji. W takich sytuacjach szukają one partnerów, którzy mają praktykę w realizacji podobnych projektów, znają typowe problemy i posiadają sprawdzone metody ich rozwiązywania.

Klientami naszej firmy są organizacje na różnorodnych poziomach doświadczenia z IAM – niektóre rozważają implementację, zdając sobie sprawę z korzyści płynących z zarządzania tożsamością i dostępem, ale niepewne, od gdzie zacząć. Inne już rozpoczęły wdrożenie i zainstalowały potrzebne komponenty, lecz napotykają wyzwania w sferze konfiguracji dostosowania do użytkowników, partnerów i pracowników, na przykład przy projektowaniu skomplikowanych schematów autoryzacji wymaganych przez ich działalność.

Jak przygotować się do wdrożenia Keycloak, aby przebiegło ona sprawie?

Pomagając firmom w tworzeniu wewnętrznych rozwiązań IAM nasze działania prowadzą do dwóch podstawowych pytań. Najpierw, należy ocenić czy Keycloak w porównaniu z innymi rozwiązaniami, takimi jak Okta czy AWS Cognito, które mogą oferować prostszą obsługę i automatyzację z poziomu chmury, jest najlepszym wyborem. Następnie, kluczowe staje się rozpisanie procesów autoryzacji, integracja aplikacji, typ instalacji (on-demand lub lokalnie), wsparcie techniczne oraz długofalowa strategia z akutalizacjami systemu. To są podstawowe kwestie do przedyskutowania na samym początku.

Czego klienci oczekują od nas jako od firmy kompleksowo wdrażającej Keycloak?

Nasze doświadczenie pokazuje, że największą pomocą dla naszych partnerów jest wiedza specjalistyczna zdobyta przy realizacji podobnych inicjatyw. Najczęściej poszukują specjalistów, gdy mają szczególne wymagania dotyczące dostosowania oprogramowania produkcyjnego lub potrzebują stworzyć dodatek (plugin). Oczekują od nas wsparcia, licząc na to, że wykorzystamy doświadczenia z poprzednich projektów i zaprezentujemy, jak radziliśmy sobie z podobnymi wyzwaniami w przeszłości. Przykładów jest tu bardzo wiele od zapewnienia skalowania, do konfiguracji i integracji z przepływami autoryzacji w chmurze po integrację z systemami baz danych zawierających obsługę milionów użytkowników jednocześnie. Naszym zadaniem jest świadczenie usług doradczych adekwatnych do ich zasadniczych potrzeb.

Wdrożyliśmy Keycloak, ale co potem? Czy firma musi zatrudniać programistów znających to narzędzie do zarządzania systemem po jego implementacji?

Proces wdrożenia i konfiguracji Keycloaka jest złożony, a intensywność prac w trakcie trwania projektu nie jest równomierna. Prace takie są najczęściej nadzorowane z działem bezpieczeństwa lub osobami na poziomie głównego technicznego managementu – wymagają zatem koordynacji wielu grup pracowników. Często potrzebna jest również koordynacja z zespołami wsparcia, aby ustalić optymalny czas na wprowadzanie zmian w procesach autoryzacyjnych.

Implementacja Keycloaka nie wymaga ciągłej obecności dedykowanych ekspertów w organizacji. Keycloak jest generalnie stabilnym narzędziem i kluczowe jest, aby osoby zarządzające systemem posiadały wiedzę na temat jego funkcjonowania i były w stanie obsługiwać panel administracyjny Keycloaka, wykorzystując jego funkcje bez konieczności modyfikacji.

Niemniej jednak, długoterminowe wsparcie jest kluczowe, w tym regularne aktualizacje bezpieczeństwa, które społeczność Keycloak udostępnia co kilka miesięcy. Takie aktualizacje mają charakter krytyczny i warto mieć dostęp do kompetencji i wiedzy na wypadek krytycznych problemów.

[1] https://www.enisa.europa.eu/publications/foresight-cybersecurity-threats-for-2030-update-2024-extended-report

Artykuł Wyzwania i korzyści integracji Keycloak: zgodność z dyrektywą NIS 2 oraz praktyczne porady na wdrożenie pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Tworzenie niestandardowego uwierzytelniania SMS w Keycloak

Marceli Formela — Fri, 14 Jun 2024 11:01:51 +0000

Wraz ze wzrostem liczby zagrożeń cybernetycznych, uwierzytelnianie wieloskładnikowe (MFA) stało się dla wielu firm standardem w politykach bezpieczeństwa. MFA zwiększa ochronę, wymagając od użytkowników weryfikacji tożsamości za pomocą wielu metod. Takie uwierzytelnianie stało się więc standardową praktyk, dodając dodatkową warstwę ochrony.

Wśród różnych metod, uwierzytelnianie oparte na SMS wyróżnia się równowagą między bezpieczeństwem a wygodą użytkownika. Jednak tworzenie niestandardowego uwierzytelnienia SMS w ramach dostawcy tożsamości, takiego jak Keycloak, może być skomplikowanym i złożonym procesem, wymagającym zrozumienia jego architektury i możliwości rozszerzania.

Interfejs Dostawcy Usług (SPI)

Keycloak ma na celu obsługę większości przypadków użycia bez konieczności tworzenia niestandardowego kodu. Oferuje także elastyczność w zakresie dostosowywania. W tym celu Keycloak udostępnia kilka SPI, które pozwalają na wdrażanie własnych rozwiązań. Zamierzamy wdrożyć uwierzytelnianie, które wymaga ważnego kodu SMS. Aby stworzyć tę funkcję, musimy zaimplementować interfejsy org.keycloak.authentication.AuthenticatorFactory i Authenticator. AuthenticatorFactory jest odpowiedzialny za tworzenie instancji Authenticatora. Oba interfejsy rozszerzają ogólny zestaw interfejsów Provider i ProviderFactory, które są używane przez inne komponenty Keycloak.

Pakietowanie klas

Będziemy pakietować nasze klasy do jednego projektu. Musi on zawierać plik o nazwie org.keycloak.authentication.AuthenticatorFactory, który powinien znajdować się w katalogu META-INF/services/. Plik ten musi zawierać pełne kwalifikowane nazwy klas każdej implementacji AuthenticatorFactory, którą masz w pliku JAR. Na przykład:

pl.inero.keycloakext.authenticator.sms.SmsAuthenticatorFactory
pl.inero.keycloakext.authenticator.custom.CustomUsernamePasswordFormFactory
pl.inero.keycloakext.authenticator.custom.CustomCookieAuthenticatorFactory

Plik services/ jest używany przez Keycloak do skanowania dostawców, których musi załadować do systemu.

CredentialModel i CredentialProvider

Pierwszym krokiem jest skonfigurowanie naszych klas związanych z poświadczeniami, ponieważ numer telefonu użytkownika powinien być przechowywany jako rekord poświadczeń. Jak widać poniżej, klasa Sms2faCredentialData jest prostym kontenerem danych do przechowywania numeru telefonu powiązanego z użytkownikiem.

public class Sms2faCredentialData {

private String phoneNumber;

@SuppressWarnings("unused") //used for credentials deserialization
public Sms2faCredentialData() {
}

public Sms2faCredentialData(String phoneNumber) {
     this.phoneNumber = phoneNumber;
}

public String getPhoneNumber() {
     return phoneNumber;
}

@SuppressWarnings("unused") //used for credentials deserialization
public void setPhoneNumber(String phoneNumber) {
     this.phoneNumber = phoneNumber;
}
}

Kolejnym krokiem jest rozszerzenie klasy CredentialModel, która może generować prawidłowy format poświadczeń w bazie danych. Aby obiekty Sms2faCredentialModel były w pełni funkcjonalne, muszą zawierać nie tylko surowe dane JSON odziedziczone po klasie bazowej, ale także odmarshallowane obiekty wewnątrz swoich własnych atrybutów. Zapewnia to szeroką dostępność i wykorzystanie poświadczeń, umożliwiając łatwą integrację i obsługę procesów uwierzytelniania.

public class Sms2faCredentialModel extends CredentialModel {

public static final String TYPE = "sms2fa";
private Sms2faCredentialData smsCredentials;

public Sms2faCredentialModel(Sms2faCredentialData smsCredentials) {
     try {
         this.smsCredentials = smsCredentials;
         setCredentialData(JsonSerialization.writeValueAsString(smsCredentials));
         setUserLabel("tel: " + smsCredentials.getPhoneNumber());

         setType(TYPE);
     } catch (IOException e) {
         throw new RuntimeException(e);
     }
}

public String getPhoneNumber() {
     return smsCredentials.getPhoneNumber();
}
}

Podobnie jak w przypadku innych dostawców w Keycloak, utworzenie CredentialProvider wymaga obecności odpowiadającej mu CredentialsProviderFactory. Aby spełnić ten wymóg, implementujemy Sms2faCredentialProviderFactory.

public class Sms2faCredentialProviderFactory  implements CredentialProviderFactory {

public static final String PROVIDER_ID = "keycloak-ext-sms2fa";

@Override
public String getId() {
     return PROVIDER_ID;
}

@Override
public CredentialProvider create(KeycloakSession session) {
     return new Sms2faCredentialProvider(session);
}
}

Interfejs CredentialProvider jest zbudowany z parametrem generycznym, który rozszerza CredentialModel, zapewniając kompatybilność z różnymi typami poświadczeń. Dodatkowo musimy zaimplementować interfejs CredentialInputValidator, co wskazuje Keycloak, że ten dostawca jest przygotowany do uwierzytelniania poświadczeń dla naszego niestandardowego Authenticatora. Chociaż nie będziemy tu omawiać pełnej architektury, dokumentacja Keycloak obejmuje dodatkowe metody.

Nasza implementacja obejmuje funkcje tworzenia i usuwania poświadczeń. Funkcje te wykorzystują menedżera poświadczeń, odpowiedzialnego za przechowywanie i pobieranie poświadczeń, niezależnie od tego, czy są one przechowywane lokalnie, czy w systemach magazynowania federacyjnego.

@Override
public CredentialModel createCredential(RealmModel realm, UserModel user, Sms2faCredentialModel credentialModel) {
if (credentialModel.getCreatedDate() == null) {
     credentialModel.setCreatedDate(Time.currentTimeMillis());
return user.credentialManager().createStoredCredential(credentialModel);
}

@Override
public boolean deleteCredential(RealmModel realm, UserModel user, String credentialId) {
logger.debugv("Delete Sms2fa credential. username = {0}, credentialId = {1}", user.getUsername(), credentialId);
return user.credentialManager().removeStoredCredentialById(credentialId);
}

Dla interfejsu CredentialInputValidator główną metodą do zaimplementowania jest isValid, która sprawdza, czy dane poświadczenie jest ważne dla danego użytkownika w danej domenie (realm). Jest to metoda wywoływana przez Authenticator, gdy chce zweryfikować dane wprowadzone przez użytkownika.

@Override
public boolean isValid(RealmModel realm, UserModel user, CredentialInput credentialInput) {
final Sms2faCredentialModel credentialModel = getDefaultCredential(session, realm, user);
final String secretData = credentialModel.getSecretData();
return secretData != null && secretData.equals(credentialInput.getChallengeResponse());

Teraz powinniśmy mieć wszystko, aby móc przejść do implementacji samego Authenticatora.

AuthenticatorFactory i Authenticator

Klasa SmsAuthenticatorFactory zawiera logikę potrzebną do skonfigurowania i tworzenia instancji SmsAuthenticator, który wykonuje walidację OTP opartą na SMS. Obsługuje dostosowywanie poprzez kilka konfigurowalnych właściwości.

supports customization through several configurable properties.
public class SmsAuthenticatorFactory implements AuthenticatorFactory {

@Override
public String getId() {
     return "sms-authenticator";
}

@Override
public String getDisplayType() {
     return "SMS Authentication";
}
@Override
public String getHelpText() {
     return "Validates an OTP sent via SMS to the users mobile phone.";
}
     (…)
}

Teraz przejdźmy do samego Authenticatora. Główna metoda, na której się skupimy, to sendChallenge(). Kiedy przepływ jest początkowo wyzwalany, ta metoda jest wywoływana. Ważne jest, aby zauważyć, że nie obsługuje ona przetwarzania formularza kodu SMS. Jej rola polega na renderowaniu strony lub kontynuowaniu przepływu.

Strona HTML, która prosi o wprowadzenie otrzymanego kodu, jest prezentowana użytkownikowi, który następnie wprowadza kod i przesyła go. Wówczas wysyłane jest żądanie HTTP do przepływu za pomocą adresu URL akcji określonego w formularzu HTML. To wyzwala metodę action() w naszej implementacji Authenticatora. Jeśli podany kod jest nieprawidłowy, rekonstruujemy formularz HTML, dodając komunikat o błędzie. Następnie używamy metody failureChallenge(), przekazując powód niepowodzenia. Działa ona podobnie do challenge(), ale dodatkowo loguje błąd, co pomaga wykryć ewentualne możliwości ataku.

private void sendChallenge(AuthenticationFlowContext context) {
(…)
credentialModel.setSecretData(code);
user.credentialManager().updateStoredCredential(credentialModel);
AuthenticationSessionModel authSession = context.getAuthenticationSession();
authSession.setAuthNote("ttl", Long.toString(System.currentTimeMillis() + (ttl * 1000L)));

try {
     /* sending SMS */
     context.challenge(context.form().setAttribute("realm", context.getRealm()).createForm(TPL_CODE));
} catch (Exception e) {
     context.failureChallenge(AuthenticationFlowError.INTERNAL_ERROR,
             context.form().setError("smsAuthSmsNotSent", e.getMessage())
                     .createErrorPage(Response.Status.INTERNAL_SERVER_ERROR));
}
}

@Override
public void action(AuthenticationFlowContext context) {
(…)
final Sms2faCredentialModel credentialModel = getCredentialProvider(session).getDefaultCredential(session, context.getRealm(), user);
boolean isValid = getCredentialProvider(context.getSession()).isValid(context.getRealm(), context.getUser(),
       new UserCredentialModel(credentialModel.getId(), getCredentialProvider(context.getSession()).getType(), enteredCode));
if (isValid) {
     if (Long.parseLong(ttl) < System.currentTimeMillis()) {
         // expired
         context.failureChallenge(AuthenticationFlowError.EXPIRED_CODE,

                 context.form().setError("smsAuthCodeExpired").createErrorPage(Response.Status.BAD_REQUEST));
     } else {
         // valid
         context.success();
     }
} else {
     context.getEvent().user(user).error(Errors.INVALID_USER_CREDENTIALS);
     context.failureChallenge(AuthenticationFlowError.INVALID_CREDENTIALS,
             context.form().setAttribute("realm", context.getRealm())
                     .setError("smsAuthCodeInvalid").createForm(TPL_CODE));
}
}

Authentication Flow

Aby dodać Authenticator do przepływu, administrator musi przejść do Konsoli. W sekcji Uwierzytelnianie (Authentication) i zakładce Przepływy (Flows) powinien zobaczyć istniejące przepływy. Wbudowane przepływy nie mogą być bezpośrednio modyfikowane, więc aby zintegrować nowo utworzony Authenticator, musimy albo zduplikować istniejący przepływ, albo stworzyć nowy od podstaw.

Required actions

Jeśli telefon nie jest skonfigurowany, powinniśmy wywołać niestandardowe wymagane działanie. Ponownie, powinniśmy dodać pełną kwalifikowaną nazwę klasy do katalogu META-INF/services i zaimplementować interfejs RequiredActionProvider. Metoda requiredActionChallenge() jest odpowiedzialna za renderowanie HTML, który poprowadzi wymagane działanie.

@Override
public void requiredActionChallenge(RequiredActionContext context) {
LoginFormsProvider form = context.form();
if (getSmsAuthenticatorConfig(context) == null) {
     form.setError("smsAuthMissingAuthenticatorConfig");
}
final Response response = form.createForm("sms-2fa-register.ftl");
context.challenge(response);
}

Ta część jest odpowiedzialna za przetwarzanie danych wejściowych z formularza HTML wymaganego działania. Po wprowadzeniu otrzymanego kodu SMS, numer telefonu powinien zostać zapisany w bazie danych jako poświadczenie. Przy następnym logowaniu będziemy mogli skorzystać z tej formy OTP.

@Override
public void processAction(RequiredActionContext context) {
    (…)
final String phoneNumber = params.getFirst("phoneNumber");
final String code = params.getFirst("code");

if(StringUtils.isBlank(phoneNumber) && StringUtils.isBlank(authSession.getAuthNote("phone_number"))) {
     //if no phone number is set, redirect to the first page
     requiredActionChallenge(context);
     return;
}
if (phoneNumber != null) {
     sendPhoneNumberVerificationChallenge(context, authSession, phoneNumber, smsAuthenticatorConfig.getConfig());
     return;
}
if (code != null) {
     /* verify provided SMS code */ 
    }
}

Ostatnią rzeczą, którą musisz zrobić, jest przejście do Konsoli Administratora i zakładki Wymagane Działania (Required Actions). Twoje nowe działanie powinno teraz być wyświetlone i włączone na liście wymaganych działań.

Jeśli użytkownik nie podał wcześniej numeru telefonu, a uwierzytelnianie SMS jest ustawione jako wymagane w przepływie uwierzytelniania, powinna pojawić się nowa widok.

Podsumowując, konfiguracja SMS MFA obejmuje ustawienie niestandardowych wymaganych działań oraz dostawców uwierzytelniania, ale oczywiście istnieją inne kwestie do uwzględnienia, takie jak komunikacja między Keycloak a bramką SMS. Zagadnienia, które omówiliśmy w tym poście, to oczywiście tylko część możliwej konfiguracji, ale najważniejsza i specyficzna dla Keycloak.

Jedną z istotnych zalet wdrożenia SMS MFA jest jego powszechna dostępność, ponieważ większość użytkowników posiada telefony komórkowe zdolne do odbierania wiadomości SMS. Dodatkowo, zapewnia to prostą obsługę dla użytkowników, wymagając minimalnej konfiguracji i znajomości. Jednak mechanizm ten ma swoje wady, w tym potencjalne zagrożenia, takie jak ataki polegające na zamianie kart SIM lub przechwytywaniu kodów SMS. Ponadto, dostarczanie wiadomości SMS może czasami być zawodnym procesem, co prowadzi do opóźnień lub nieudanej dostawy, wpływając na doświadczenie użytkownika. Powinniśmy być tego świadomi przed podjęciem decyzji o zastosowaniu tej metody, szczególnie w erze nowszych rozwiązań, takich jak mobilne aplikacje OTP.

Artykuł Tworzenie niestandardowego uwierzytelniania SMS w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach

Marta Kuprasz — Mon, 13 May 2024 12:35:16 +0000

Keycloak to narzędzie do zarządzania tożsamością i dostępem, które zapewnia bezpieczeństwo aplikacji i usług webowych. Aby maksymalnie zabezpieczyć swoje środowisko przy jego użyciu, warto wdrożyć najlepsze praktyki. Oto 5 kluczowych kroków, które Ci w tym pomogą.

Włącz HTTPS i używaj silnych certyfikatów

Pierwszym i najważniejszym krokiem jest zapewnienie, że cała komunikacja z serwerem Keycloak odbywa się przez bezpieczny protokół HTTPS. Używanie certyfikatów SSL/TLS od zaufanych dostawców chroni przed przechwyceniem i manipulacją danymi.

W tym kroku:

– Skonfiguruj serwer Keycloak: Ustaw serwer, aby korzystał wyłącznie z HTTPS, odrzucając wszystkie niezaszyfrowane żądania HTTP.

– Uaktualnij certyfikaty: Regularnie odnawiaj i uaktualniaj certyfikaty SSL/TLS, aby uniknąć ryzyka wykorzystania przestarzałych kluczy.

Zastosuj wieloskładnikowe uwierzytelnianie (Multi-Factor Authentication, MFA)

Ta funkcja dodaje warstwę bezpieczeństwa poprzez jednoczesne użycie kilku metod weryfikacji tożsamości użytkownika. 2FA (uwierzytelnianie dwuskładnikowe) to popularna forma MFA, która zazwyczaj wymaga od użytkownika podania hasła i potwierdzenia tożsamości za pomocą drugiego składnika, na przykład kodu z aplikacji uwierzytelniającej.

W tym kroku:

Aktywuj uwierzytelnianie wieloskładnikowe w Keycloak: Włącz MFA dla wszystkich użytkowników, szczególnie tych z dostępem administracyjnym i do danych wrażliwych.
Wybierz metody uwierzytelniania: Keycloak obsługuje różne metody MFA – najczęściej używane to aplikacje uwierzytelniające (np. Microsoft Authenticator).

Przeczytaj także:

Wprowadź silne polityki haseł i zarządzanie sesjami

Zarządzanie hasłami i sesjami jest kluczowe dla ochrony tożsamości użytkowników i zapobiegania nieautoryzowanemu dostępowi. Są pierwszą linią obrony przed atakami, takimi jak brute force czy phishing. Keycloak w tym zakresie daje szerokie pole możliwości konfiguracji polityki ustawiania haseł, które są konfigurowalne z poziomu konsoli administracyjnej.

W tym kroku:

– Skonfiguruj politykę haseł: ustal dokładne zasady wyboru haseł, aby wymagały określonej długości, skomplikowania (np. obecność znaków specjalnych, dużych i małych liter) oraz określ czas życia hasła i jego historię.

– Ogranicz czas życia sesji: Ustaw krótkie, ale praktyczne czasy życia sesji i tokenów, aby zminimalizować okno dla potencjalnych ataków. Automatyczne wylogowywanie użytkowników po określonym czasie nieaktywności jest ważne dla zapobiegania przypadkowemu pozostawieniu sesji otwartej na współdzielonych lub publicznych urządzeniach.

Przeczytaj także:

- Praktyczne wprowadzenie do Keycloak SSO: Od konfiguracji do integracji
- Wpowadzenie do Passkey w Keycloak

Zabezpiecz punkty końcowe API i używaj kontroli dostępu opartej na rolach (RBAC)

Kontrola dostępu oparta na rolach (Role-Based Access Control) pozwala na definiowanie ról, przypisywanie ich użytkownikom i zarządzanie uprawnieniami, co umożliwia kontrolę operacji na API zależnie od roli.

W tym kroku:

Zabezpieczanie punktów końcowych API: Aby zabezpieczyć punkty końcowe API, kluczowe jest zastosowanie odpowiednich mechanizmów autoryzacji i uwierzytelniania:

- Uwierzytelnianie: Implementuj protokoły uwierzytelniania, takie jak OAuth 2.0 i OpenID Connect, aby użytkownicy i aplikacje musiały udowodnić swoją tożsamość przed uzyskaniem dostępu do API.
- Tokeny dostępu: Wykorzystuj tokeny dostępu (access tokens), które zawierają informacje o uprawnieniach użytkownika, do weryfikacji uprawnień dostępu do różnych zasobów API.
- HTTPS: Zapewnij, że wszystkie żądania do API są przesyłane przez HTTPS, chroniąc dane przed przechwyceniem i modyfikacją.

Kontrola dostępu oparta na rolach (RBAC): Role-Based Access Control pozwala na zarządzanie uprawnieniami użytkowników na podstawie ich ról w organizacji:

- Definiowanie ról: Ustal role, które odzwierciedlają różne poziomy dostępu w aplikacji, np. administrator, użytkownik, gość itp.
- Przypisywanie ról: Przypisz użytkownikom role, które określają, do jakich zasobów i operacji mogą uzyskać dostęp.
- Zarządzanie uprawnieniami: Skonfiguruj zasady dostępu w Keycloak, aby kontrolować, które operacje mogą być wykonane przez użytkowników z daną rolą na określonych punktach końcowych API.

Przeczytaj także:

Regularnie aktualizuj i monitoruj środowisko

Aktualizacja i stałe monitorowanie środowiska Keycloak jest niezbędne do utrzymania wysokiej ochrony przed nowymi zagrożeniami i lukami w zabezpieczeniach. Aktualizacje Keycloak pojawiają się co kilka miesięcy, a informacje na ich temat można znaleźć na oficjalnej stronie projektu lub w dokumentacji Keycloak.

W tym kroku:

– Aktualizacje: Regularnie aktualizuj Keycloak do najnowszych stabilnych wersji.

– Monitoring i logowanie: Użyj narzędzi do monitorowania, aby śledzić wszelkie niezwykłe zachowania i szybko reagować na potencjalne incydenty bezpieczeństwa. Skonfiguruj systemy logowania, aby zbierać kluczowe informacje o działaniu systemu. Korzystając na przykład z Kubernetes, można efektywnie zarządzać i skalować narzędzia do monitorowania i logowania, takie jak Prometheus i ELK Stack. Kubernetes ułatwia wdrażanie i zarządzanie kontenerami z tymi narzędziami, automatyzując ich rozmieszczanie, skalowanie i naprawę, co jest kluczowe dla utrzymania ciągłości działania i bezpieczeństwa w rozproszonych systemach.

– Postaw na sprawdzonego Partnera: Jeśli wdrożenie najlepszych praktyk Keycloak wydaje Ci się na tym etapie pracochłonnym procesem, który mocno obciąży Twój zespół, skorzystaj z pomocy specjalistów w tej dziedzinie.

Przeczytaj także:

Inero Software posiada bogate doświadczenie we wdrażaniu zaawansowanych rozwiązań w dziedzinie cyberbezpieczeństwa. Tworzymy kompleksowe systemy do zarządzania użytkownikami i ich rolami, które są dostosowane do złożonych infrastruktur IT i spełniają wysokie wymagania korporacyjne. Nasz zespół, składający się z ekspertów w dziedzinie cyberbezpieczeństwa, implementuje zaawansowane schematy autoryzacji zgodnie z renomowanymi standardami bezpieczeństwa. Dzięki naszej wiedzy i doświadczeniu, zapewniamy skuteczną ochronę przed zagrożeniami i zgodność z korporacyjną polityką bezpieczeństwa.

Skontaktuj się z nami, aby poznać możliwości wspólnego wdrożenia najlepszych praktyk Keycloak w Twojej organizacji.

Artykuł Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Rok pod znakiem upowszechnienia Sztucznej Inteligencji

Marta Kuprasz — Thu, 21 Dec 2023 10:07:09 +0000

Koniec roku to czas podsumowań. W świecie IT wydarzyło się wiele interesujących rzeczy, dlatego w tym artykule postanowiliśmy skupić się na AI. Rozwój sztucznej inteligencji i jej obecność w mediach przyspieszyły do niespotykanej dotąd skali. Narzędzia oparte na Large Language Models (LLM) zostały spopularyzowane i szeroko udostępnione użytkownikom z różnych branż, nie tylko technologicznych. Postanowiliśmy podsumować rok z Andrzejem Chybickim, CEO Inero Software. Oto jego lita 5 kluczowych wydarzeń mijającego roku.

Fakt 1: OpenAI – sztuczna inteligencja staje się powszechnie dostępna

OpenAI odegrało ogromną rolę w popularyzacji sztucznej inteligencji w kontekście zrozumienia ludzkiego języka. W 2022 roku wydali ChatGPT, a w kolejnych miesiącach prezentowali nowe, ulepszone modele. Te postępy nie tylko poprawiły wydajność istniejących aplikacji, ale również otworzyły nowe możliwości dla AI w ochronie zdrowia, administracji, marketingu i wielu innych.

W 2023 roku do ChatGPT wprowadzono wiele ulepszeń, charakteryzujących się zaawansowanymi algorytmami uczenia dla lepszej dokładności i bardziej zniuansowanych konwersacji, spersonalizowanymi interakcjami z użytkownikami, rozszerzonym wsparciem językowym dla globalnej dostępności oraz szerszą integracją z aplikacjami. OpenAI podkreślało kwestie etyczne i redukcję uprzedzeń, włączyło uczenie się w czasie rzeczywistym dla aktualnych treści, poprawiło możliwości interakcji multimedialnych, a także wzmocniło niezawodność i solidność narzędzia. Dodatkowo, ChatGPT został dostosowany do konkretnych branż, zapewniając specjalistyczne funkcjonalności i wiedzę, co stanowi znaczący skok w technologii AI i aplikacjach skoncentrowanych na użytkowniku.

Komentarz eksperta

Open AI był pierwszym szeroko rozpoznawalnym dużym modelem językowym. Zapewne w najbliższych latach będziemy widzieli różne odmiany modeli LLM, przeznaczone do specyficznych zastosowań – de facto to już od paru miesięcy się dzieje. OpenAI, mimo bycia pionierem, przynajmniej w aspekcie rozpoznawalności, nie zawsze jest uważane za najlepszy i najbardziej uniwersalny model. Kierunek rozwoju to na pewno upowszechnienie na podobnej zasadzie jak kiedyś było z komputerami (tj. LLM jak PC) oraz specjalizacja, czyli wyspecjalizowane modele językowe, przeznaczone do konkretnych zastosowań, albo nawet podmiotów czy ludzi.

Fakt 2: GitHub Copilot – lider w implementacji AI/LLM

Jedną z kluczowych ról w rozwoju sztucznej inteligencji odegrał Microsoft, współpracujący z OpenAI. W ciągu ostatniego roku Microsoft kontynuował doskonalenie swojej wizji Microsoft Copilot. Skupmy się na rozwiązaniu dla programistów: GitHub Copilot. W 2023 roku przeszedł on znaczące zmiany i ulepszenia. Oto kluczowe aktualizacje:

W 2023 roku GitHub Copilot wprowadził kilka znaczących ulepszeń, wzmacniając swoją rolę w rozwoju oprogramowania napędzanego przez AI. Chat GitHub Copilot, jest teraz ogólnie dostępny i napędzany przez GPT-4 od OpenAI, oferuje bardziej precyzyjne sugestie i wyjaśnienia kodu, używając języka naturalnego, aby pomagać programistom w różnych językach. Ta funkcja jest zintegrowana zarówno z platformą GitHub, jak i jej aplikacją mobilną, wspierając kodowanie, żądania (pull requests) i dokumentację. Dodatkowo, wprowadzono GitHub Copilot Enterprise, dostosowując narzędzie do specyficznych potrzeb organizacyjnych, pomagając programistom szybko dostosować się do baz kodów swoich organizacji i usprawniając liczne zadania, mając na celu zwiększenie produktywności i bezpieczeństwa na poziomie korporacyjnym. Został również uruchomiony Program Partnerski GitHub Copilot, integrując Copilot z różnymi narzędziami i usługami deweloperskimi, tworząc szeroki ekosystem, który wzmacnia możliwości programistów korzystających z AI. Na koniec GitHub ujawnił nowe funkcje zabezpieczeń oparte na AI w swoim pakiecie Advanced Security, w tym system zapobiegania lukom bezpieczeństwa w czasie rzeczywistym oraz posiada funkcje testowania bezpieczeństwa aplikacji, aby wykrywać i naprawiać luki w kodzie oraz tajemnice, dalej zabezpieczając proces tworzenia oprogramowania.

Komentarz Eksperta

Dzięki współpracy z OpenAI, Microsoft w 2023r. stał się liderem jeśli chodzi o wdrażanie rozwiązań AI/LLM na świecie. Strategia Microsoftu, w tym zakresie opiera się na stosowaniu modelu LLM do tego, aby wspierał (ale nie zastępował) możliwie dużą liczbę czynności i procesów wykorzystujących produkty Microsoft. Szczególne znaczenie miało także zapewnienie odpowiedniego poziomu SLA (uspójnionego z resztą usług Azure) oraz bezpieczeństwa danych. Do najistotniejszych zmian, oprócz wspominanego GitHub CoPilota (który ma za zadanie wspierać programistów w kodowaniu), można zaliczyć, wtyczki CoPilota dostępne w praktycznie wszystkich flagowych produktach tej firmy (Word, Excel, PowerPoint, Outlook).
W Grudniu 2023, nastąpiła także prezentacja rozwiązania CoPilot Studio, które umożliwia tworzenie systemów IT low-code / no-code z istotnym wsparciem modelu OpenAI. To w efekcie umożliwia łatwe rozbudowanie już istniejących w Azure rozwiązań low-code, takich jak np. Azure Agents z botami konwersacyjnymi czy adapterami do baz danych wspieranymi przez AI. Mimo ze CoPilot Studio na chwilę obecną nie jest dostępny w docelowej formie, Microsft jasno komunikuje kierunki rozwoju oraz to jakie zalety, wynikające z jego użycia mogą doświadczyć zarówno deweloperzy, inżynierowie jak i użytkownicy. Z prezentacji przedstawicieli MS można wysnuć wniosek iż, celem Microsoftu jest obniżenie progu wejścia w zakresie tworzenia oraz wdrażania nowych, zaawansowanych rozwiązań AI, gdyż wykorzystanie platform low-code nie wymaga tak głębokiej wiedzy technicznej jak w przypadku tradycyjnego kodowania. Możemy się spodziewać powszechnego zainteresowania tymi rozwiązaniami, nie tylko największych firm wykorzystujących MS Azure w najbliższych latach. Obecnie w gronie ekspertów, pytanie brzmi nie “czy używać AI” ale jak ją wdrożyć aby nie zostać w tyle za konkurencją. Te podmioty, które w najbliższych latach stworzą spójną strategię w zakresie wchłaniania produktów opartych o AI do swoich procesów będą mogły znacząco skorzystać na rewolucji która już ma miejsce.

Fakt 3: Europejski akt ws. sztucznej inteligencji

14 czerwca 2023 roku Parlament Europejski zajął pozycję negocjacyjną w sprawie sztucznej inteligencji. Priorytetem Parlamentu było zapewnienie, że systemy AI używane w UE są bezpieczne, przejrzyste, możliwe do śledzenia i niedyskryminujące. Parlament zaplanował również ustanowienie neutralnej technologicznie, jednolitej definicji AI, która mogłaby być stosowana do przyszłych systemów AI. Akt ustala różne zasady dla różnych poziomów ryzyka AI.

Niedopuszczalne ryzyko: Systemy AI o niedopuszczalnym ryzyku to systemy uznane za zagrożenie dla ludzi i będą zakazane. Należą do nich:

Manipulacja poznawczo-zachowawcza osób lub konkretnych grup podatnych na wpływy: na przykład zabawki aktywowane głosem, które zachęcają dzieci do niebezpiecznych zachowań
Ocena społeczna: klasyfikacja osób na podstawie zachowania, statusu socjoekonomicznego lub cech osobistych
Systemy identyfikacji biometrycznej w czasie rzeczywistym i zdalnej, takie jak rozpoznawanie twarzy Niektóre
wyjątki mogą być dozwolone: Na przykład „post” systemy zdalnej identyfikacji biometrycznej, gdzie identyfikacja następuje po znacznym opóźnieniu, będą dozwolone do ścigania poważnych przestępstw, ale tylko po zatwierdzeniu przez sąd.

Systemy AI niedopuszczalnego ryzyka

Systemy sztucznej inteligencji stwarzające niedopuszczalne ryzyko, czyli uważane za zagrożenie dla ludzi, zostaną zakazane. To m.in.:

Poznawczo-behawioralna manipulacja ludźmi lub określonymi wrażliwymi grupami: na przykład zabawki aktywowane głosem, które zachęcają dzieci do niebezpiecznych zachowań.
Identyfikacja biometryczna i kategoryzacja osób fizycznych.
Scoring (klasyfikacja punktowa) obywateli: klasyfikacja ludzi na podstawie ich zachowań, statusu społeczno-ekonomicznego lub cech osobistych.
Systemy identyfikacji biometrycznej działające w czasie rzeczywistym i zdalnie, takie jak rozpoznawanie twarzy.

Pewne wyjątki mogą być dopuszczalne do celów egzekwowania prawa. Systemy zdalnej identyfikacji biometrycznej działające w czasie rzeczywistym będą dozwolone w ograniczonej liczbie poważnych przypadków, natomiast systemy identyfikujące ze znacznym opóźnieniem będą mogły być używane do ścigania poważnych przestępstw, ale wyłącznie po zgodzie sądu.

Systemy AI wysokiego ryzyka

Systemy sztucznej inteligencji negatywnie wpływające na bezpieczeństwo lub prawa podstawowe będą uznane za systemy wysokiego ryzyka.

Zostaną podzielone na dwie kategorie:

1) Systemy sztucznej inteligencji stosowane w produktach objętych unijnymi przepisami dotyczącymi bezpieczeństwa produktów. To np. zabawki, lotnictwo, samochody, urządzenia medyczne i windy.

2) Systemy sztucznej inteligencji należące do ośmiu konkretnych obszarów, które będą musiały zostać zarejestrowane w unijnej bazie danych:

Zarządzanie i eksploatacja infrastruktury krytycznej.
Edukacja i szkolenie zawodowe.
Zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia.
Dostęp do i korzystanie z podstawowych usług prywatnych oraz usług i korzyści publicznych.
Ściganie przestępstw.
Zarządzanie migracją, azylem i kontrolą granic.
Pomoc w interpretacji prawnej i stosowaniu prawa.

Wszystkie systemy AI wysokiego ryzyka będą oceniane przed wprowadzeniem na rynek, a także przez cały cykl ich życia.

*źródło https://www.europarl.europa.eu/news/pl/headlines/society/20230601STO93804/akt-ws-sztucznej-inteligencji-pierwsze-przepisy-regulujace-ai

Komentarz Eksperta:

Zapewnienie bezpieczeństwa oraz poufności danych to z pewnością jedna najistotniejszych kwestii dotyczących wdrażania rozwiązań AI. Liczni eksperci wskazują, że mimo dobrych intencji komisji Europejskiej, proponowane rozwiązania przyczynią się do zmniejszenia konkurencyjności rodzimego rynku twórców AI, co w efekcie zwiększy dystans pomiędzy Europą a liderami w tej dziedzinie (tj. USA i Chinami). Osobiście podzielam te obawy, tutaj dobrym przykładem może być analogiczna sytuacja jaka miała miejsce ok. 15 lat temu, kiedy wdrażana była chmura obliczeniowa. Wtedy w EU też powstał akt regulujący zasady dostępu i poufności danych (GDPR) który do tej pory jest podstawą regulacyjną w tym zakresie. Jednocześnie, największe rozwiązania, z których większość krajów EU korzysta to rozwiązania wytworzone w USA, dla których priorytetem był swobodny rozwój technologii a dopiero w drugiej kolejności ramy prawne. Niestety, wiele wskazuje na to że podobnie może być jeśli chodzi o AI.

Fakt 4: Gemini: nowy model od Google

Bez wątpienia premiera Gemini była najważniejszym wydarzeniem drugiej połowy 2023 roku, które odbiło się szerokim echem. Te nowe narzędzie jest wynikiem współpracy licznych zespołów Google. Zostało zbudowane od podstaw jako multimodalne, co oznacza, że może generalizować i bezproblemowo rozumieć, łączyć różne rodzaje informacji, w tym tekst, kod, audio, obraz i wideo.

Gemini 1.0 zostało przeszkolone do rozpoznawania i rozumienia tekstu, obrazów, dźwięku jednocześnie, dzięki czemu lepiej rozumie złożone informacje i może odpowiadać na pytania, dotyczące skomplikowanych tematów. To sprawia, że jest szczególnie dobre w wyjaśnianiu rozumowania w złożonych dziedzinach, takich jak matematyka i fizyka.

Podczas prezentacji dotyczącej wydania API Gemini dla deweloperów dużo czasu poświęcono AI Studio, narzędziu do tworzenia kodu. Drugim głównym tematem był Vertex AI, bardziej zaawansowany program, który umożliwia „zarówno szkolenie, jak i wdrażanie modeli uczenia maszynowego (ML) i aplikacji AI”. Google oferuje możliwość przeniesienia wstępnego projektu opracowanego w AI Studio do Vertex AI, aby dodać dodatkowe funkcje dostępne w ramach większej platformy Google Cloud.

Komentarz Eksperta:

Do wyścigu LLM oficjalnie dołączył Google. Najciekawszym aspektem tego co proponuje jest to, że ich model będzie działał w trzech wersjach Ultra (najbogatszej), Pro oraz Nano, przy czym ta ostatnia będzie przeznaczona do działania na telefonach komórkowych. Nie wiemy jeszcze czy Nano będzie w całości uruchamiany na urządzeniach klienckich (smartfonach) czy będzie jedynie swego rodzaju rozwinięciem Google Asisstant.
Warto tez podkreślić, że Google, podobnie jak Microsoft, będzie oferował usługi Gemini jako elementy swoich flagowych produktów takich jak SpreadSheets, Google Docs oraz inne.

Fakt 5: Postępy w przetwarzaniu języka naturalnego (NLP)

Rok 2023 był przyniósł znaczący postęp w dziedzinie przetwarzania języka naturalnego (NLP). Badacze i firmy na całym świecie poczynili znaczne kroki w poprawie dokładności i wszechstronności modeli NLP. Te postępy doprowadziły do bardziej zaawansowanego rozumienia i generowania ludzkiego języka przez maszyny, otwierając drogę do bardziej intuicyjnych i naturalnych interakcji człowieka z komputerem. W tym roku nastąpiło wdrożenie zaawansowanych technologii NLP w różnych aplikacjach, od chatbotów obsługi klienta po złożone narzędzia analizy danych, rewolucjonizując sposób, w jaki codziennie wchodzimy w interakcje z technologią. Postęp w technologii NLP nie tylko wzmocnił istniejące aplikacje, ale również otworzył nowe możliwości dla AI w takich dziedzinach jak edukacja, tworzenie treści i komunikacja wielojęzyczna.

Komentarz Eksperta:

Technologie AI coraz śmielej przełamują barierę rozumienia języka naturalnego. Tym samym powoli zaciera się granica pomiędzy danymi ustrukturyzowanymi jakie do tej pory używaliśmy w systemach IT a wiedzą ludzką. Wydaje się stworzenie AGI czyli maszyny dorównującej albo nawet przewyższającej przeciętnego człowieka w wielu aspektach jest już tylko kwestią czasu. Wyzwaniem dla świata nauki, biznesu i polityków będzie teraz pokierowanie rozwojem AI tak, aby służył on możliwie szeroko rozumianej ludzkości i nie powodował zagrożeń, których wielu (prawdopodobnie) słusznie się obawia.

Ostatnie miesiące były bogate w interesujące premiery w dziedzinie sztucznej inteligencji. Prezentacja nowych dużych modeli językowych, otworzyła szereg możliwości ich zastosowania w codziennych zadaniach, zarówno w pracy programistycznej, jak i w kreatywnych zespołach. Europejskie władze starają się nadążyć za tymi zmianami i dostosować przepisy prawne do aktualnej sytuacji technologicznej. W nadchodzących miesiącach z pewnością zobaczymy więcej nowości, ponieważ wiodący gracze, tacy jak Google i Microsoft, rywalizują w tworzeniu rozwiązań wykorzystujących sztuczną inteligencję.

Artykuł Rok pod znakiem upowszechnienia Sztucznej Inteligencji pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Optymalizacja procesu gromadzenia danych dzięki algorytmom AI

Marta Kuprasz — Tue, 12 Sep 2023 08:48:59 +0000

Optymalizacja procesu gromadzenia danych dzięki algorytmom AI

W dobie postępu i licznych osiągnięć w dziedzinie przetwarzania języka naturalnego, widzimy coraz większe możliwości w zakresie analizy i wnioskowania, na podstawie danych zgromadzonych w nieustrukturyzowanych archiwach tekstowych i dokumentach. Koniecznym krokiem staje się więc, usprawnienie działań biznesowych i wdrożenie do nich narzędzi związanych z NLP i LLM. Digitalizacja procesów biznesowych sprawia, że wiele zadań przenosi się do świata wirtualnego, a kontrola i analiza dużej ilości zgromadzonych danych staje się poważnym wyzwaniem.

Kluczowy jest oczywiście czas

W erze ciągłego pośpiechu, żmudne zadania analityczne, wymagające skupienia, dokładności i sumienności stają się prawdziwym ciężarem dla sprawnych i często rozproszonych zespołów. Nowoczesny biznes działa szybko. Jest wiele branż, w których dbałość o jakość dokumentacji odgrywa bardzo ważną rolę i znacząco wpływa na efektywność pracy w grupie. To między innymi sektor księgowy, kancelarie prawnicze, branża ubezpieczeniowa czy transportowa. Właśnie tą ostatnią posłużymy się jako przykładem. Firmy TSL codziennie realizują nawet po kilkadziesiąt frachtów. Każdy z nich generuje dużą ilość dokumentacji, jak faktury, umowy, polisy, WZ, karty pracy kierowców itp.. Dodając je do wewnętrznego obiegu administracyjnego, łatwo przeoczyć dokument nieczytelny (np. pośpiesznie zeskanowany), który na pewnym etapie zakłóci proces obiegu dokumentów i będzie wymagał korekty, przez co liczba zadań do wykonania znacznie się wydłuży. Może mieć to wpływ na zachwianie przepływów pieniężnych. Optymalizacja procesu gromadzenia danych we właściwej jakości staje się więc kluczowa.

Tradycyjne metody stają się mniej skuteczne

Tradycyjne metody rozwoju oprogramowania stają się mniej skuteczne w przypadku dużych baz danych. Często opierają się wyłącznie na strukturalnie przetwarzanych danych i z góry określonych regułach, które mogą być nieodpowiednie do pracy z nieustrukturyzowanym tekstem i subtelnościami naturalnego pisma. Klasyczne podejście do tworzenia oprogramowania załamuje się w obliczu wielkoskalowych baz wiedzy. Pracując nad DocsQuality obniżamy barierę dostępu zespołów do narzędzi związanych z NLP (programowaniem neurolingwistycznym) i LLM (z ang. Large Language Model), aby mogły one w sposób prosty pobierać dane z archiwów nieustrukturyzowanych tekstów i dokumentów.

Zadaniem oprogramowania DocsQuality jest ocena atrybutów dokumentu, przed jego zaimportowaniem do obiegu księgowego. Oceni on w czasie rzeczywistym, między innymi czytelność, wyrazistość i jakość pliku. Oprogramowanie od razu poinformuje o problemach związanych np. z załącznikiem do maila, dając sygnał, że już na tym etapie system nie powinien przyjąć tego dokumentu do obiegu.

Modele NLP i LLM

Połączenie i zastosowanie modeli NLP i LLM to nowa, innowacyjna metoda oceny jakości dokumentacji. Przy tworzeniu oprogramowania, NLP może być używane do wyodrębnienia tekstu ze zdjęć dokumentów. Jest to związane z techniką OCR (Optical Character Recognition) i pozwala przekształcić tekst z obrazu na tekst edytowalny, który można ocenić pod kątem jakości. Z kolei modele LLM, mogą przeczytać i zrozumieć tekst w dokumencie PDF, pozwalając na ocenę czytelności, gramatyki, składni oraz poprawności ortografii w dokumencie, a w kolejnym etapie analizę, wnioskowanie i rozumienie treści.

DocsQuality

Inżynierowie Inero Software wiąż rozwijają funkcjonalności, które oferuje DocsQuality. Tworzenie nowego oprogramowania w tak dynamicznym środowisku, wymaga ciągłego udoskonalania i szukania optymalnych rozwiązań. Potencjał, który ma w sobie wdrożenie do niego narzędzi związanych z NLP i LLM, pozwoli w przyszłości na jeszcze dokładniejszą analizę dokumentacji.

Jeśli zainteresowało Cię oprogramowanie DocsQuality zapraszamy na stronę https://docsquality.com/ oraz do kontaktu mailowego hi@docs-quality.com. Chętnie odpowiemy na wszystkie pytania i przedstawimy jego funkcjonalność i sposób wdrożenia. DocsQuality można z powodzeniem zintegrować z działającym systemem ERP. Pozwoli to na rozszerzenie oferowanych funkcjonalności o skuteczny monitoring jakości dokumentów, pozwalający wyłapywać problematyczne pliki przed ich wdrożeniem do obiegu księgowego.

Artykuł Optymalizacja procesu gromadzenia danych dzięki algorytmom AI pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Budowa systemu rozpoznawania komend głosowych w języku polskim

Andrzej Chybicki — Mon, 04 Apr 2022 10:08:58 +0000

Budowa systemu rozpoznawania komend głosowych w języku polskim

System rozpoznawania komend głosowych został stworzony po to, aby usprawnić życie człowieka. Pełni on rolę pomocnika, który wyszuka dla nas odpowiednie informacje, ułatwi zakupy w Internecie czy umożliwi obsługę różnych urządzeń bez wykorzystywania zewnętrznych przycisków czy regulacji. Jednak stworzenie takiego systemu od podstaw może być trudnym wyzwaniem. W szczególności, jeśli chcemy zbudować go w języku polskim.

Istnieją ogólne modele sieci neuronowych, które dedykowane są rozpoznawaniu języka mówionego, czyli transkrypcji nagrania audio do tekstu. Wszystko jednak uwarunkowane jest od tego, ile danych posiadamy. Obecnie istnieje wiele zbiorów nagrań z języka angielskiego, które są odpowiednio przygotowane. Same dane jednak nie wystarczą. Muszą być do nich dołączone transkrypcje. Niestety w języku polskim nie mamy dużej ilości próbek głosowych razem z transkrypcjami. Na dzień dzisiejszy nie jesteśmy więc w stanie tak dobrze wyuczyć modeli, jak to jest robione w języku angielskim.

Jak na razie nie możemy wyuczyć asystentów wykorzystując modele open source’owe z zadowalającą skutecznością, jednak możemy sprawdzić co jesteśmy w stanie zbudować z ogólnie dostępnych danych. Celem naszej pracy jest stworzenie systemu rozpoznawania mowy, który działa w ograniczonym zbiorze komend.

Główne źródła zbierania danych dla systemu rozpoznawania komend głosowych

W ostatnich miesiącach pojawiły się zbiory danych: Common Voice i Zasoby Nauki, które są odpowiednio przygotowane pod modele ASR (Automatic Speech Recognition). Oznacza to, że nagrania dźwiękowe zawierają również transkrypcje. Są to tak naprawdę dwa największe zbiory danych, które można użyć. Do zbudowania własnego systemu wykorzystaliśmy więc je i złączyliśmy w jedno.

Common Voice jest ciekawym zbiorem danych. Jeżeli chcemy aby ich ilość była jeszcze większa, możemy kontrybuować w tym działaniu. Każdy z nas może wejść na stronę i nagrać swój głos, który zostanie zapisany, a następnie sprawdzony przez innych użytkowników. W ten sposób będziemy mogli przyczynić się do powiększenia ilości danych z języka polskiego, dzięki czemu budowanie systemów rozpoznawania komend głosowych będzie łatwiejsze.

W przyszłości istnieje możliwość, że YouTube udostępni do wykorzystania swoje nagrania audio razem z automatycznie generowanymi transkrypcjami. Jest to jednak rozwiązanie, które (być może) powstanie dopiero później. Dodatkowym źródłem danych mogą również być audiobooki, które zawierają transkrypcję książek i nagrania audio. W takim przypadku musimy jednak wykonać pracę przygotowania danych polegającą na pofragmentowaniu danych na krótsze nagrania. Dodatkowo zmienna intonacja lektora może wpływać na dokładność wyuczonych przez nas modeli.

Przygotowanie i ujednolicenie danych

Przede wszystkim musimy zapewnić minimalną i maksymalną długość nagrania. Muszą one znajdować się w określonych ramach czasowych. Zbyt długie nagrania mogą być problemem podczas uczenia modelu, natomiast krótkie nagrania mogą nie nieść ze sobą żadnej istotnej informacji. Musimy także zapewnić jednakową częstotliwość próbkowania sygnału. Jest to bardzo ważna kwestia przy uczeniu modeli opartych na dźwięk.

Fala dźwiękowa czystego tonu, rozchodząca się w przestrzeni, ma charakter sinusoidalny. Zmiana częstotliwości takiego dźwięku oznacza zmianę okresu sinusoidy, więc zmieniają się odległości między jej grzbietami. Jednak dźwięk w komputerze również musi być w jakiś sposób zaprezentowany. Sinusoida jest przebiegiem ciągłym, natomiast komputer zapisuje pojedyncze wartości. Częstotliwość próbkowania mówi nam o tym, ile razy na sekundę została zapisana wartość rejestrowanej fali dźwiękowej. Bardzo ważne jest to, żeby każdy dźwięk, który wchodzi do naszego modelu miał taką samą częstotliwość próbkowania.

Poprzez nieprawidłowe próbkowanie rekonstruowany dźwięk może być zniekształcony lub całkowicie niesłyszalny. Trzeba więc pamiętać o odpowiednim dobraniu częstotliwości próbkowania, aby zminimalizować rozmiar zapisywanych danych przy jednoczesnym braku utraty informacji. Zbyt rzadkie próbkowanie może spowodować pojawienie się zjawiska aliasingu, czyli nakładania się wyższych częstotliwości na niższe.

Źródło: Reprezentacje danych dźwiękowych w kontekście metod uczenia maszynowego, s. 134, Tymoteusz Cejrowski

Zapobieganie takiemu zjawisku polega na próbkowaniu sygnału z częstotliwością co najmniej dwa razy większą od najwyższej częstotliwości występującej w sygnale. Częstotliwość ta nazywana jest częstotliwością Nyqiusta. Dla przykładu, nagrania na płytach CD są zapisywane z częstotliwością próbkowania 44100 Hz. Natomiast maksymalna poprawnie zrekonstruowana częstotliwość będzie wynosiła 22050 Hz, co odpowiada górnemu zakresowi dźwięków słyszalnych przez człowieka.

Opis i uczenie modelu deepspeech w systemie rozpoznawania komend głosowych

Sieci neuronowe w pewien sposób przypominają układ nerwowy. Podstawowymi jednostkami w takich sieciach są neurony, które rozmieszczone są w warstwach. Jest to uproszczony model procesu przetwarzania informacji przez ludzki umysł.

Zazwyczaj sieć neuronowa składa się z trzech części. Pierwsza to warstwa wejściowa, która posiada jednostki reprezentujące zmienne wejściowe. Następna część to warstwy ukryte, które zawierają jednostki nieobserwowane i są ukrytym stanem sieci neuronowej. To właśnie od tych warstw w dużej mierze zależy efektywność modelu. Natomiast ostatnią częścią jest oczywiście warstwa wyjściowa, która posiada jednostki reprezentujące zmienne przewidywane. Wszystkie jednostki złączone są konkretnymi połączeniami o różnej wadze. Dane wejściowe znajdują się na pierwszej warstwie, przechodzą one przez kolejne, a ostatecznie z warstwy wyjściowej otrzymujemy wynik.

Sieć neuronowa uczy się przez porównywanie rekordów. Generuje ona predykcje dla konkretnych danych (nagrań audio) i wprowadza korekty wag, jeśli generują one niepoprawną predykcję (złą transkrypcję). Cały proces powtarzany jest wiele razy do uzyskania satysfakcjonującej dokładności. Wszystkie wagi na początku mają charakter losowy, a odpowiedzi wychodzące nie mają dużo sensu, z czasem natomiast sieć poprawia swoje predykcje. Dzieje się tak, ponieważ sieć dopasowuje się do danych w procesie uczenia wykorzystując algorytm wstecznej propagacji błędu.

Jednym z najprostszych modeli Sieci Neuronowych jest Perceptron wielowarstwowy. Składa się on z wielu warstw neuronowych. Neurony poprzedniej warstwy tworzą konkretny wektor, który jest podawany na wejście neuronów do warstwy następnej. Pojedynczy neuron w warstwie następnej ma liczbę wejść równej liczbie neuronów z warstwy poprzedniej +1. Jednak w ramach jednej warstwy, neurony między sobą nie mają żadnych połączeń. Taki typ modelu nazywany jest również modelem „Feed-Forward” i jest jedną z podstawowych architektur sieci neuronowych.

Rysunek przedstawiający model „Feed-Forward”

Sieci rekurencyjne różnią się od sieci typu „Feed-Forward” w wielu aspektach. Jedną z głównych różnic jest sposób propagacji danych wejściowych na wyjście sieci. W najprostszym modelu wyjście sieci jest niczym innym kombinacją wag i wejścia modelu (pojedynczego rekordu). W przypadku sieci rekurencyjnych wyjście modelu zależy również od poprzedniego wyjścia. Wynik działania modelu dla rekordu X jest brany pod uwagę przy wyliczaniu wyjścia dla kolejnego rekordu Y.

Konwolucyjna sieć neuronowa jest typem sieci najczęściej stosowanej do analizy obrazów wizualnych z uwagi na swój charakter procesowania wejścia. Podobnie jak człowiek, sieć ta nie analizuje obrazu piksel po pikselu ale wyłapuje wzorce obecne w danych wejściowych dzięki zastosowaniu tzw. Kerneli czyli filtrów. Każda warstwa w sieci neuronowej uczy się cech obrazu takich jak kontury czy nasycenie światłem. Złożenie tych informacji poprawia efektywność modelu.

Poza neuronowymi modelami rozpoznawania mowy, warto pochylić się nad open source’owymi systemami, które umożliwiają zbudowanie systemu rozpoznawania komend głosowych. Jednym z nich jest Kaldi, który został napisany w C++. Powstał on w 2009 roku, a jego głównymi cechami jest to, że system ten jest rozszerzalny i cały czas rozwijany. Udostępnia on m.in. narzędzia do pre-procesowania nagrań audio czy modeli opartych o Ukryte Modele Markowa (HMM). Sama społeczność udostępnia wiele innych modułów, które można wykorzystać do własnych zadań. Kaldi, poza modelami statystycznymi, obsługuje także głębokie sieci neuronowe. Pomimo tego, że jest napisany głównie w C++, to posiada on skrypty w jezyku Bash czy Python.

W naszej pracy skupiliśmy się jednak na konkretnym modelu ASR: deepspeech 2. Jest to model, który wykorzystuje głębokie uczenie (ang. Deep Learning), składa się on z 3 warstw konwolucyjnych, 8 rekurencyjnych i jednej Fully-Connected. Deepspeech 2 można z powodzeniem wyuczyć na dowolnym języku, trzeba jednak pamiętać, że takie uczenie wymaga wydajnego systemu komputerowego/serwerowego wyposażonego w odpowiednią ilość kart graficznych lub akceleratorów obliczeń.

W przypadku popularnych języków takich jak angielski czy mandaryński można znaleźć przetrenowane modele gotowe do użycia. W naszym zadaniu wybraliśmy deepspeech 2 z implementacją w PyTorchu, ponieważ jest on lekki, ma stosunkowo mało parametrów (wag do wyuczenia) i wybrana przez nas implementacja jest aktywnie utrzymywana. W tym modelu oprócz przygotowania odpowiednich częstotliwości próbkowania o których pisaliśmy wyżej, musieliśmy również przygotować odpowiednio dane pod sam model deepspeech. Wiązało się to z zapewnieniem odpowiedniej struktury katalogów.

Wnioskowanie z użyciem modeli ASR i dodatkowego modelu językowego

Wykorzystując deepspeech jesteśmy w stanie zastosować dodatkowy model językowy (model n-gramowy). Opiera się on na statystykach i pomaga w przewidywaniu kolejnego elementu sekwencji w wynikowej transkrypcji. Trzeba pamiętać, że zastosowanie takiego modelu wymaga zgromadzenia dużego zasobu danych statystycznych. N-gramy pomagają maszynom w zrozumieniu słowa w konkretnym kontekście. Dzięki temu mogą one lepiej zrozumieć jego przeznaczenie.

Jeśli chcemy utworzyć taki model, zaczynamy od zliczania wystąpień sekwencji o ustalonej długości n w istniejących już zasobach językowych. Analizuje się więc całe teksty i zlicza się pojedyncze wystąpienia (1-gram), dwójki (2-gramy) i trójki (3-gramy). Możemy również uzyskać model 4-gramowy, jednak tutaj potrzebne są już ogromne zbiory danych, przez co dla języka polskiego jest to niezwykle trudne do zrealizowania. W kolejnym kroku zamienia się liczbę wystąpień na prawdopodobieństwo poprzez normalizację. W ten sposób zyskujemy predykcję kolejnego elementu na podstawie dotychczasowych sekwencji. Warto zaznaczyć, że im więcej przeanalizowanego tekstu, tym wyższa jakość modelu. Dane te są głównie wykorzystywane w aplikacjach przetwarzania języka naturalnego (NLP). Model n-gramowy dla języka polskiego można znaleźć tutaj.

Użycie modelu n-gramowego na etapie wnioskowania pozwala na skorygowanie wyjścia sieci neuronowej (transkrypcji modelu deepspeech 2) zgodnie z regułami zawartymi w modelu n-gramowym.

Działanie w ograniczonym zbiorze komend

Niestety budowane modele nie mogą być wystarczająco dokładne ze względu na małą ilość danych w języku polskim. W naszym przypadku możemy jednak działać w ograniczonym zbiorze komend. Oznacza to, że rozpoznawaniu podlega konkretna ilość komend głosowych. Nasze zadanie polegało na tym, żeby dopasować odpowiednią komendę ze zbioru z tym co dostarczył nam model. Ważne jest tutaj określenie najwyższego podobieństwa pomiędzy komendą, a tym co zwrócił nam model.

Do tego zadania wykorzystaliśmy miarę zwaną odległością Levenshteina, która wskazuje na podobieństwo pomiędzy transkrypcją, a daną komendą. Polega ona na zliczaniu pozycji lub liter, które się nie zgadzają. Przykładowo, odległość Levenshteina pomiędzy wyrazami:

drzwi
drzwi

Jest zerowa. Są to wyrazy identyczne, więc nie potrzeba tutaj żadnych działań.

Natomiast odległość Levenshteina pomiędzy wyrazami:

kołacz
połać

wynosi 3, ponieważ potrzeba co najmniej 3 działań: zamiany k na p, zamiany c na ć i usunięcia litery z.

Tam, gdzie jest najmniej podstawień, posiadamy największe prawdopodobieństwo, że komendy są takie same.

Podsumowanie

Celem systemów rozpoznawania głosu jest zapewnienie łatwości w komunikacji między urządzeniem a człowiekiem. Podejście wykorzystujące narzędzia Open-Source w zadaniu uczenia modeli ASR na razie ogranicza się do rozpoznawania ograniczonego zbioru komend. Budowanie takiego sytemu w oparciu o dane w języku polskim jest trudnym zadaniem, ze względu na małą ilość danych dźwiękowych połączonych z transkrypcjami. Zastosowanie miary podobieństwa pomiędzy transkrypcją a zbiorem komend pozwala na zbudowanie użytecznego systemu ASR działającego w trybie offline. Biorąc pod uwagę aktualne trendy w wykorzystaniu inteligentnych urządzeń oraz możliwości techniczne, warto obserwować dalszy rozwój tych systemów i pojawiające się nowe zbiory danych.

Inero Software oferuje wiedzę i doświadczenie w zakresie skutecznego wykorzystywania najnowocześniejszych technologii i danych do kształtowania korporacyjnych produktów cyfrowych przyszłości.

W sekcji BLOG można znaleźć inne artykuły dotyczące nowoczesnych rozwiązań dla przedsiębiorstw.

Redakcja: Tymoteusz Cejrowski, Software Developer.

Artykuł Budowa systemu rozpoznawania komend głosowych w języku polskim pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Tożsamość cyfrowa w dobie pracy zdalnej

Andrzej Chybicki — Mon, 21 Mar 2022 11:02:59 +0000

Cyfrowa tożsamość w dobie pracy zdalnej i pandemii

Okres pracy zdalnej i postępująca cyfryzacja usług przyczyniła się do popularyzacji narzędzi i systematów informatycznych w naszej codziennej pracy. Obok powszechnie znanych narzędzi takich jak systemy Office, Outlook, komunikatory, narzędzia telekonferencje typu Microsoft Teams czy Google Meets, zdalnie pracujemy także z coraz bardziej wyspecjalizowanymi systemami takimi jak systemy obiegu dokumentacji, fakturowania czy inne. Aby uwzględnić wymagania prawne i zapewnić bezpieczeństwo danych w tych systemach, dostęp do nich musi być odpowiednio zabezpieczony i skonfigurowany. Z jednej strony, ważne jest aby użytkownicy mogli z nich korzystać możliwie w łatwy sposób, np. bez konieczności wpisywania loginu hasła za każdym razem kiedy chcą uzyskać do nich dostęp. Z drugiej, istotnym jest także, aby osoby postronne, dostawcy nie mogli bez odpowiedniej autoryzacji uzyskać dostępu do zasobów zawartych w tych systemach, zgodnie z polityką bezpieczeństwa naszej organizacji.

W dużych zespołach korporacyjnych, których pracownicy są fizyczne rozmieszczeni w różnych lokalizacjach, miastach a nawet krajach, kwestia ta ma jeszcze większe znaczenie. Mimo że osoby zatrudnione w takich zespołach pracują z różnych miejsc to wiele zasobów musi być ze sobą zintegrowanych, a ujednolicony dostęp do nich usprawnia pracę i ułatwia komunikację oraz zarządzanie. Prostym przykładem takich zintegrowanych rozwiązań mogą być systemy obiegu dokumentów i fakturowania. Dla przykładu, pracownik posiadający dostęp do systemu zarządzania umowami obsługuje również system fakturowy. Dla bardziej złożonych procesów biznesowych, logowanie się do różnych systemów działających w obrębie korporacji może być jednak uciążliwe. Każdy z pracowników musi pamiętać swoje unikatowe login i hasło, które w ogólności powinny być różne dla każdego z wykorzystywanych systemów. Jednocześnie, każdy pracownik logując się do dowolnego z tych systemów, chce mieć jedną tożsamość, ponieważ tak naprawdę zawsze reprezentuje tą samą, fizyczną osobę i w każdym z tych systemów podlega konkretnej grupie autoryzacji i uprawnień wynikających z przypisanego mu stanowiska, obowiązków służbowych oraz innych. W takich sytuacjach właśnie stosuje się systemy zarządzania tożsamością (ang. IAM – Identity and Access Management).

Czym jest cyfrowa tożsamość – digital identity?
Cyfrowa tożsamość to zbiór indywidualnych loginów i haseł, z których korzystamy w różnych systemach. Jeżeli posiadamy ich wiele, to dysponujemy dużą ilością danych logowania. W dłuższej perspektywie może być to uciążliwe, szczególnie w sytuacjach, kiedy użytkownik zapomni jednego z haseł, przez co później musi je odzyskiwać. W takim przypadku jest to trudne do zarządzania zarówno ze strony użytkowników, jak i administratorów.

IAM to narzędzie, które zapewnia skuteczne zarządzanie dostępem do zasobów informacyjnych. Za pomocą takiego rozwiązania można z wykorzystaniem jednego mechanizmu obsługiwać konta zarówno istniejących jak i nowo utworzonych. System zarządzania tożsamością pomaga również w administrowaniu danymi użytkowników, którzy odeszli z organizacji lub zmienili się ich status. W ten sposób można bez problemu zmienić lub wygasić ich uprawnienia.

Jednym z częściej pojawiających się pojęć podczas tworzenia IAM jest pojęcie SSO (Single-Sign-On). SSO to koncepcja budowania rozwiązań autoryzacji, która pozwala nam logować się do wielu systemów przy wykorzystaniu z jednego wspólnego punktu logowania. Charakteryzuje się on również tym że że posiada jeden wspólny moduł zarządzania użytkownikami, ich uprawnieniami oraz autoryzacją dla wszystkich systemów. Pozwalają one na zarządzanie naszą cyfrową tożsamością w zunifikowany sposób. W efekcie, użytkownik posiada jeden login i hasło do wielu systemów, za pomocą których może się autentyfikować.

Wpływ COVID-19 na zintegrowane zarządzenie autoryzacją

W ostatnich dwóch latach systemy klasy IAM są coraz częściej stosowane z uwagi na konieczność pracy zdalnej lub hybrydowej. IAM ma ogromne znaczenie w zabezpieczeniu zasobów cyfrowych. Ważne jest aby wiedzieć iż narzędzia te zapewniają nie tylko podstawowe uwierzytelnianie i autoryzację w celu zabezpieczenia danych pracownika, ale także dają możliwość autoryzacji wieloetapowej (ang. Mutli-factor authorization – MFA) np. z wykorzystaniem SMSów, mailów, komunikatorów, powiadomień zdalnych czy innych.

Kiedy ważne jest zarządzanie tożsamością i dostępem?

Zarządzanie cyfrową tożsamością odbywa się tak naprawdę zawsze gdy korzystamy ze swojego unikalnego loginu. Prostym przykładem użycia cyfrowej tożsamości może być integracja konta Google z przeglądarką Chrome. W przypadku korporacyjnych rozwiązań nasza tożsamość musi być dokładniej uwierzytelniana, dlatego za każdym razem gdy logujemy się do np. poczty przez przeglądarkę internetową musimy podawać swój login i hasło.

„Według raportu Verizon Data Breach Investigations, ponad 70% pracowników wielokrotnie używa tych samych haseł w pracy. Raport stwierdza, że 81% naruszeń związanych z hakowaniem wykorzystywało skradzione lub słabe hasła”

Podstawową zasadą tworzenia systemów IAM jest to, żeby nie tworzyć nowych rozwiązań w zakresie bezpieczeństwa, ale przede wszystkim wykorzystywać standardy i sprawdzone metody zabezpieczeń. Narzędzia, które pozwalają nam na wykorzystanie standardowych podejść do zapewnienia bezpieczeństwa i wygody użytkowania w zakresie autoryzacji dla różnych scenariuszy połączeń rozmaitych systemów, to między innymi:

Azure B2C
OAuth2
Open ID Connect
Identity Server
Active Directory
KeyCloak
Amazon Cognito
Google IAM

Wspominając o zarządzaniu cyfrową tożsamością konieczne jest wskazanie różnic pomiędzy autoryzacją a autentyfikacją. Autoryzacja daje możliwość dostępu do potwierdzania czy dana osoba jest dopuszczona do skorzystania z jakiegoś zasobu (np. modułu, funkcji lub bazy danych), a autentyfikacja oznacza potwierdzanie tożsamości.

5 zalet zarządzania tożsamością i dostępem

Zwiększenie cyber bezpieczeństwa

Dzięki rozwiązaniom IAM, firmy mogą wdrażać wspólne i zunifikowane polityki zabezpieczeń we wszystkich połączonych systemach. Korzystając z takich narzędzi administratorzy mogą bez problemu usuwać niepożądane uprawnienia dostępu w razie potrzeby, poprzez zapewnienie jednego spójnego systemu kont i haseł.

Mniejsze koszty operacyjne w zakresie zarządzania infrastrukturą i bezpieczeństwem IT

Wykorzystując zintegrowane systemy przedsiębiorstwa mogą obniżyć koszty w zakresie zarządzania infrastrukturą informatyczną minimalizując czas potrzebny na rozwiązywanie problemów związanych z kontem użytkownika.

Wygodniejsze korzystanie z systemów przez użytkowników i administratorów

Poprzez wdrożenie narzędzi IAM administratorzy są w stanie stworzyć unikalną tożsamość dla każdego użytkownika w prosty i szybko sposób. Nie muszą oni więc zarządzać dziesiątkami kont dla różnych aplikacji lub innych zasobów. Użytkownicy posiadają dostęp do systemów niezależnie od ich lokalizacji, czasu lub aktualnie wykorzystanego urządzenia.

Możliwość łatwiejszego dostosowania się do regulacji polityk bezpieczeństwa korporacyjnego

Korporacje zamawiając albo tworząc oprogramowanie wdrażają polityki bezpieczeństwa mówiące o tym co może, a co nie może być dopuszczalne w konkretnych systemach informatycznych. Jeżeli mamy do czynienia z jednym systemem logowania kont, to o wiele łatwiej jest zarządzać taką polityką.

Łatwiejsze odzyskiwanie i zarządzanie hasłami

Dzięki rozwiązaniom IAM, problemy związane z bezpieczeństwem haseł zostaną zminimalizowane. Pomagają one administratorom wdrażać lepsze praktyki dotyczące zarządzania zabezpieczeniami. Mowa tutaj o częstych aktualizacjach danych logowania czy silniejszym uwierzytelnianiu.

Zarządzanie tożsamością i dostępem – podsumowanie

Jeżeli przedsiębiorstwa chcą zapewnić swoim pracownikom bezpieczeństwo i zwiększyć ich produktywność, powinny zdecydować się na zintegrowane zarządzanie tożsamością i dostępem. Po zalogowaniu się do głównego systemu użytkownicy nie muszą martwić się posiadaniem odpowiedniego hasła do innych struktur. Pracownik otrzymuje więc dostęp do idealnego zestawu narzędzi, dzięki którym może zwiększyć swoją produktywność.

„72% organizacji przekłada bezpieczeństwo nad wydajność operacyjną (52%) i zapobieganie naruszeniom (47%) co jest kluczowym czynnikiem rozwoju narzędzi IAM.”

~Według 2020 IAM Report, Cybersecurity Insiders

Cyfrowe zarządzanie tożsamością to proces, który może być wdrażany etapami. Nie trzeba integrować wszystkich systemów w zakresie autoryzacji za jednym razem. Przedsiębiorstwo może zdecydować się na wprowadzanie pojedynczych systemów i z czasem dołączać kolejne struktury.

W sekcji BLOG można znaleźć inne artykuły dotyczące nowoczesnych rozwiązań dla przedsiębiorstw.

Artykuł Tożsamość cyfrowa w dobie pracy zdalnej pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.