Cioè, è possibile con uno strumento Single-Sign-On dare al dipendente "Joe Smith" l'accesso all'app "SocialMedia App1" perché faccia questo lavoro. Ma quando Joe lascia la compagnia, posso avere la certezza assoluta che non ha la password e non c'è bisogno di cambiarla?
Generalmente, quando un utente si allontana, non puoi mai avere la certezza assoluta di non avere password o altre informazioni riservate salvate. Di conseguenza, il tuo processo di offboarding deve avere controlli per tutte le eventualità.
Esistono vari sistemi (ad esempio, il proprietario OneLogin) che consentono di integrare un servizio di gestione delle identità aziendali (ad esempio Active Directory) con accessi a siti di social media / altre applicazioni web. Tuttavia, funziona come LastPass in quanto memorizza una password generata a caso in un vault; e questa password può essere intercettata.
Il problema è che è sempre tecnicamente possibile, se l'utente è un amministratore del computer e ha accesso ad alcuni esperti tecnici, per ottenere la password.
Ci sono modi per mitigarlo: ad es. abilitare le notifiche di accesso su Facebook e l'autenticazione a due fattori. Installa solo un telefono non rootato con il token 2FA corretto. Tuttavia, l'utente potrebbe adottare misure per migrare il token 2FA su un altro dispositivo, quindi non si può essere sicuri al 100% che questo sistema funzioni.
Alla fine, la migliore pratica sarà sempre quella di reimpostare le password per tutti gli account a cui l'ex dipendente aveva accesso. Se l'app è direttamente integrata con un servizio di directory, puoi essere sicuro che quando l'account della directory è disabilitato l'accesso viene negato (ad esempio, Google+ utilizzando OAuth), ma se ci sono accessi separati a siti esterni, questi dovranno sempre essere modificati. Anche se sei sicuro al 99% che non hanno la password o non effettueranno il login, l'eccezione dell'1% è sicuramente una motivazione sufficiente per bloccare le cose.
Se si dispone di un processo di gestione utente corretto (che include la revoca dell'accesso a un database di autenticazione centralizzato in caso di congedo), l'utilizzo di un SSO per la "SocialMedia App1" che è vincolato a quel meccanismo di autenticazione centralizzato farà in modo che non venga in grado di connettersi a quel servizio una volta disabilitato il suo account.
Potresti anche autenticare direttamente "SocialMedia App1" contro questo servizio (anche se suppongo che non sia sotto il tuo controllo e offra SSO)
La gestione delle identità condivise (come l'account aziendale su Facebook, Twitter) in genere rientra nella competenza dei processi di Gestione delle identità privilegiate . A causa della natura condivisa di queste identità, i normali processi di gestione degli utenti non sono applicabili e devono essere considerati ulteriori processi / scenari.
I processi di gestione delle identità privilegiati dispongono di ulteriori controlli e contrappesi per garantire che nessuno oltre alla persona che lavora nel sistema conosca la password applicabile. In genere ciò comporta che la persona autorizzata "esegua il checkout" della password, esegua il lavoro che deve eseguire e quindi "esegua il check-in" della password.
Se ti sembra eccessivo dal punto di vista delle tue esigenze, ti suggerirei
Un'opzione è usare LastPass con le cartelle condivise. Penso che questa funzione richieda la licenza aziendale.
Supponiamo che tu, come amministratore, crei la cartella condivisa e la condivida con Joe Smith, quindi nelle impostazioni puoi scegliere di nascondere le password nella cartella condivisa da Joe.
LastPass ha plugin per browser per tutti i principali browser, quindi quando Joe apre "SocialMedia App1", il nome utente e la password vengono automaticamente compilati per Joe (il plugin LastPass può anche firmare automaticamente l'utente anche se configurato correttamente). Nell'intero processo, Joe non vede mai la password.
(Questo è solo un modo per farlo)
Leggi altre domande sui tag password-management