Molti provider SSO cloud offrono ora "SSO basato su password" (ad esempio link ), dove, anche se il SaaS a cui vuoi accedere non supporta SAML o simili, puoi comunque eseguire SSO, perché il servizio SSO analizzerà l'HTML, memorizzerà la tua password e ti registrerà nell'app SaaS di terze parti.
Microsoft sta facendo pubblicità a questo. Ad esempio, se esegui una ricerca su Google di "Gusto SSO", ne vedrai molte altre che la pubblicizzano. (Prendo Gusto, perché non hanno SAML, e puoi vedere da tutti i servizi SSO che affermano di supportarlo che si tratta di un modello generato automaticamente ...).
Ora, per me questa è una grande vulnerabilità: il motivo principale per cui vogliamo SSO è che quando siamo a bordo di qualcuno, lo facciamo in un posto, e quando se ne vanno, abbiamo una sola password da revocare: non dozzine. Altrimenti, sei tenuto a dimenticare che hanno anche la password di randomsaas.com ...
Ma funziona solo se la password non passa attraverso il browser . Se si tratta di un SSO basato su password, e l'app SSO sta semplicemente autotyping il proprio login l'accesso passa attraverso il browser, e quindi possono annusarlo e memorizzarlo. Pertanto, anche se si revoca l'SSO dell'utente, possono ancora aver memorizzato la password.
C'è qualche soluzione per questo?