Zabezpieczenia aplikacji mobilnej

WEBCON Autor Aplikacja mobilna
Facebooktwitterpinterestlinkedinmail
dotyczy wersji 2016.1.3.x; autor: Bartłomiej Spyrka

Obecnie każdy zdefiniowany profil w aplikacji mobilnej musi być zabezpieczony PINem lub hasłem. Tego typu podejście nie zawsze jest wygodne i często również nie jest zgodne z korporacyjną polityką bezpieczeństwa, która wymaga odpowiedniego zabezpieczenia danych i aplikacji.

Opisywana zmiana ma pozwolić użytkownikowi aplikacji zdecydować o sposobie zabezpieczenia całej aplikacji oraz poszczególnych profili. Z drugiej strony zmiana ma również umożliwić globalne sterowanie przez administratora procesu i wymuszanie właściwego poziomu bezpieczeństwa aplikacji.

Wersja 2016.1.3.X – wnosi elementy konfiguracyjne – pozwalające na administracyjna konfigurację poziomu zabezpieczeń do profilu łączących się do danego środowiska.

Konfiguracja zabezpieczeń na środowisku

Domyślnym parametrem na świeżej instalacji lub na instalacji migrowanej do wyższej wersji WEBCON BPS jest wartość ‘Zależna od użytkownika’. Wartość ta, może zostać zmieniona przez uprawnionego administratora – posiadającego dostęp do WEBCON BPS Designer Studio.

Rozróżnia się trzy poziomy zabezpieczeń, możliwe do ustawienia w Konfiguracji Systemu -> Parametry globalne -> Wymagany poziom zabezpieczenia aplikacji mobilnej.

Rysunek 1 Widok z konfiguracji systemu dot. poziomu zabezpieczenia aplikacji mobilnej

 

Poniższe zestawienie zawiera, krótką informacje nt. poszczególnych parametrów. W dalszej części artykuły znajdą się przykłady użycia poszczególnych parametrów.

Tabela 1 Tabela zawierająca informacje o poszczególnych opcjach konfiguracyjnych.

Poziom zabezpieczenia środowiska Zachowanie  
0 – użytkownika
  • Umożliwia samodzielne ustawienie zabezpieczeń aplikacji ( PIN)
  • Umożliwia samodzielne ustawienie zabezpieczenia profilu (zapamiętywanie hasła)
 
1 – PIN
  • Wymusza ustawienie PIN na aplikacji
  • PIN dotyczy zabezpieczenia całej aplikacji ( nie tylko profilu)
  • Wymuszenie stosowania PIN, blokuje możliwość ręcznego odblokowania jej w konfiguracji aplikacji
  • Przy wznowieniu aplikacji z uśpienia, konieczność podania PIN
  • Trzykrotne błędne wprowadzenia PIN, pozwala na wyczyszczenie konfiguracji aplikacji ( przywraca ustawienia domyślne
 
2 – Hasło do profilu
  • Działa per profil ( dopuszczalny jest profil zabezpieczony hasłem oraz profil
  • Wymusza konieczność wpisywania hasła do profilu przy każdym logowaniu

 

Konfiguracja aplikacji mobilnej

Ważnym ogniwem w całej zmianie jest wprowadzenie korekt do interfejsu użytkownika aplikacji mobilnej. Na każdej z platform – w menu konfiguracji – pojawia się dodatkowy ekran rozdzielony na konfigurację dotyczącą aplikacji (obecnie związane z PIN) oraz konfigurację dot. samego profilu.

Rysunek 2. Nowy ekran ustawień aplikacji.

 

Przy zabezpieczeniu PIN warto wspomnieć iż może on przyjmować różne stany i zachowania wobec różnych konfiguracji środowiska / profilu użytkownika. Kilka kombinacji przedstawia poniższa tabela.

 

Tabela 2. Przypadki użycia profili i różnych zabezpieczeń

Opis Adres witryny Poziom zabezpieczeń w BPS Efekty dla użytkownika
Przypadek I – aplikacja ma zdefiniowany tylko jeden profil
Profil 1 http://adres1/bps 0 – Użytkownika
  • Możliwość dobrowolnego ustawienia PIN
  • Możliwość ustawienia konieczności wprowadzania hasła do profilu przy każdym logowaniu
Przypadek II – aplikacja ma zdefiniowane dwa profile.
Profil 1 http://adres1/bps 0 – Użytkownika
  • Pierwsza próba zalogowania się na Profil2 – spowoduje wywołanie ekranu – gdzie należy skonfigurować kod PIN (o ile nie był wcześniej ustawiony) (rys.3)
  • W konfiguracji aplikacji Zabezpieczenie PIN – pozostanie ustawione na TAK oraz zostanie wyszarzone (bez możliwości zmiany z poziomu aplikacji) Rys. 4
  • Możliwość zmiany kodu PIN w dowolnym momencie
  • Konieczność podania PIN, po wznowieniu działania aplikacji – po okresie nieaktywności
  • Możliwość ustawienia konieczności wprowadzania hasła do profilu przy każdym logowaniu
Profil 2 http://adres2/bps 1 – Zabezpieczenie PIN
Przypadek III – aplikacja ma zdefiniowany profil z wymuszonym zabezpieczeniem hasłem
Profil1 http://adres3/BPS 2 – zabezpieczenie profilu hasłem
  • Możliwość dobrowolnego ustawienia PIN
  • Wymuszenie (przez aplikację) konieczności wprowadzenia hasła, za każdym logowaniem
Przypadek IV– aplikacja ma zdefiniowane dwa profile (PIN + hasło)
Profil 1 http://adres4/bps 1 – Zabezpieczenie PIN
  • Pierwsza próba zalogowania się na Profil2 – spowoduje wywołanie ekranu – gdzie należy skonfigurować kod PIN (o ile nie był wcześniej ustawiony) (rys.3)
  • W konfiguracji aplikacji Zabezpieczenie PIN – pozostanie ustawione na TAK oraz zostanie wyszarzone (bez możliwości zmiany z poziomu aplikacji) Rys. 4
  • Możliwość zmiany kodu PIN w dowolnym momencie, niezależnie od profilu na którym użytkownik jest  zalogowany
  • Konieczność podania PIN, po wznowieniu działania aplikacji – po okresie nieaktywności
  • Możliwość ustawienia konieczności wprowadzania hasła do profilu przy każdym logowaniu (na Profilu 1)
  • Wymuszenie (przez aplikację) konieczności wprowadzenia hasła, za każdym logowaniem do Profilu2
Profil 2 http://adres5/bps 2 – Zabezpieczenie profilu hasłem
 

 

Usunięcie PINu z aplikacji

Aplikacja mobilna, posiada możliwość usunięcia ustawionego uprzednio kodu PIN. Funkcjonalność taka jest dostępna – pod warunkiem iż na urządzeniu nie posiadamy żadnego profilu, który posiadałby wymuszone ustawienie PIN. W tej sytuacji wystarczy wejść w konfigurację odznaczyć ‘Zabezpieczenie PIN’  i zatwierdzić konfigurację. Po tej operacji PIN zostanie wyczyszczony.

Rysunek 3. Ekran wprowadzania PIN

Rysunek 4. Zabezpieczenie PIN – zablokowane do edycji z poziomu aplikacji

Rysunek 5. Czyszczenie kodu PIN w aplikacji mobilnej