การรับรองความถูกต้องเป็นขั้นตอนในการตรวจสอบว่าผู้ใช้หรือนิติบุคคลหรืออุปกรณ์คือใครที่อ้างว่าเป็น ในอีกแง่หนึ่ง มันคือชุดของการตรวจสอบและการระบุตัวตน การรับรองความถูกต้องแบ่งออกเป็นสามองค์ประกอบดังต่อไปนี้ -
-
ปัจจัยความรู้ − สิ่งที่ผู้ใช้เข้าใจ เช่น รหัสผ่าน วลีรหัสผ่าน หรือหมายเลขประจำตัว (PIN) การตอบคำถาม การออกแบบ
-
ปัจจัยความเป็นเจ้าของ − สิ่งที่ผู้ใช้มีสายรัดข้อมือ บัตรประจำตัว โทเค็นความปลอดภัย โทรศัพท์มือถือที่มีโทเค็นฮาร์ดแวร์ โทเค็นซอฟต์แวร์ หรือโทรศัพท์มือถือที่ถือโทเค็นซอฟต์แวร์
-
ปัจจัยโดยกำเนิด − สิ่งที่ผู้ใช้เป็นหรือทำ เช่น ลายนิ้วมือ การออกแบบเรตินอล ลายเซ็นลำดับดีเอ็นเอ ใบหน้า เสียง สัญญาณไฟฟ้าชีวภาพที่ไม่ซ้ำใคร หรือตัวระบุไบโอเมตริกบางส่วน
องค์กรส่วนใหญ่ใช้เว็บแอปพลิเคชันแรกของตนเพื่อนำเสนอข้อมูลโดยทั่วไปผ่านทางอินเทอร์เน็ตสาธารณะ อินทราเน็ต และเอกซ์ทราเน็ต การจัดการและรับทรัพยากรบนเว็บของบริษัทที่ประสบความสำเร็จได้กลายเป็นความท้าทายที่ยากขึ้นเนื่องจากการใช้อินเทอร์เน็ตได้เติบโตเต็มที่
องค์กรที่ต้องการให้พนักงานเข้าถึงอินทราเน็ตจากระยะไกลผ่านทางเว็บ หรือที่ต้องการทำให้ซัพพลายเชนเป็นอัตโนมัติผ่านเอกซ์ทราเน็ต ควรพิจารณาถึงข้อกังวลด้านความปลอดภัยและการดูแลระบบที่มีลักษณะเฉพาะสำหรับตำแหน่งเหล่านี้
องค์กรต่างๆ สนับสนุนการเข้าถึงข้อมูลที่เป็นความลับทางเว็บ ด้วยการกำหนดค่าเหล่านี้ ผู้ใช้ภายในและภายนอกที่มีความต้องการและการอนุญาตที่เปลี่ยนแปลงควรสามารถเข้าถึงทรัพยากรต่างๆ ที่ได้รับการสนับสนุนในอินทราเน็ตขององค์กร และผู้ใช้ควรสามารถเข้าถึงเฉพาะข้อมูลที่ได้รับการรับรองเท่านั้น
สามารถเพิ่มความซับซ้อนของปัญหาได้ บางองค์กรมีความหรูหราในการสร้างระบบข้อมูลตั้งแต่เริ่มต้น องค์กรส่วนใหญ่ต้องการเครื่องมือที่สามารถผสมผสานเทคโนโลยีใหม่เข้ากับระบบปัจจุบันเพื่อรองรับการรักษาความปลอดภัยให้กับทรัพยากรและแอปพลิเคชันทั้งหมดที่เข้าถึงผ่านเว็บได้
มีข้อกำหนดสำคัญหลายประการที่ควรปฏิบัติตามเพื่อจัดการข้อมูลอย่างปลอดภัยบนอินทราเน็ตขององค์กร ประการแรก ข้อมูลประจำตัวของบุคคลที่ต้องการเข้าถึงอินทราเน็ตต้องเป็นของแท้
การตรวจสอบสิทธิ์เป็นขั้นตอนในการตรวจสอบว่าผู้ขอได้รับตัวระบุที่ไม่ซ้ำกันและเรียนรู้ความลับ (เช่น รหัสผ่านหรือ PIN) ที่เกี่ยวข้องกับตัวระบุนั้น
ขั้นตอนนี้ซับซ้อนเมื่อพนักงานหรือคู่ค้าทางธุรกิจเข้าถึงข้อมูลจากคอมพิวเตอร์หลายเครื่องและบ่อยครั้งจากพื้นที่ห่างไกลทางอินเทอร์เน็ต ผู้ใช้ต้องตรวจสอบสิทธิ์จากเว็บเบราว์เซอร์หรืออุปกรณ์ไร้สาย (โทรศัพท์มือถือหรือ PDA) ได้โดยไม่ต้องใช้แอปพลิเคชันของผู้ใช้
นอกจากนี้ มักจะมีเว็บเซิร์ฟเวอร์หลายพันแห่งในองค์กรระดับสูง และผู้ใช้ต้องการสิทธิ์การเข้าถึงสำหรับแต่ละเซิร์ฟเวอร์ที่เข้าถึง ซึ่งอาจนำไปสู่ปัญหาบางอย่าง เช่น ผู้ใช้ควรจำรหัสผ่านสำหรับเซิร์ฟเวอร์บางเครื่อง ผู้ดูแลระบบจำเป็นต้องจัดการการควบคุมการเข้าถึงสำหรับแต่ละเซิร์ฟเวอร์ และรายการอิสระบางรายการควรถูกเพิ่มหรือลบเมื่อสิทธิ์การเข้าถึงของผู้ใช้เปลี่ยนแปลง หรือเมื่อพนักงานเข้าร่วมหรือออกจาก บริษัท.