Quali sono le migliori pratiche per consentire ai dipendenti di utilizzare un'app Web, ma non conoscono mai la password?

3

Cioè, è possibile con uno strumento Single-Sign-On dare al dipendente "Joe Smith" l'accesso all'app "SocialMedia App1" perché faccia questo lavoro. Ma quando Joe lascia la compagnia, posso avere la certezza assoluta che non ha la password e non c'è bisogno di cambiarla?

    
posta Andrew Arrow 02.10.2015 - 15:39
fonte

4 risposte

5

Generalmente, quando un utente si allontana, non puoi mai avere la certezza assoluta di non avere password o altre informazioni riservate salvate. Di conseguenza, il tuo processo di offboarding deve avere controlli per tutte le eventualità.

Esistono vari sistemi (ad esempio, il proprietario OneLogin) che consentono di integrare un servizio di gestione delle identità aziendali (ad esempio Active Directory) con accessi a siti di social media / altre applicazioni web. Tuttavia, funziona come LastPass in quanto memorizza una password generata a caso in un vault; e questa password può essere intercettata.

Il problema è che è sempre tecnicamente possibile, se l'utente è un amministratore del computer e ha accesso ad alcuni esperti tecnici, per ottenere la password.

Ci sono modi per mitigarlo: ad es. abilitare le notifiche di accesso su Facebook e l'autenticazione a due fattori. Installa solo un telefono non rootato con il token 2FA corretto. Tuttavia, l'utente potrebbe adottare misure per migrare il token 2FA su un altro dispositivo, quindi non si può essere sicuri al 100% che questo sistema funzioni.

Alla fine, la migliore pratica sarà sempre quella di reimpostare le password per tutti gli account a cui l'ex dipendente aveva accesso. Se l'app è direttamente integrata con un servizio di directory, puoi essere sicuro che quando l'account della directory è disabilitato l'accesso viene negato (ad esempio, Google+ utilizzando OAuth), ma se ci sono accessi separati a siti esterni, questi dovranno sempre essere modificati. Anche se sei sicuro al 99% che non hanno la password o non effettueranno il login, l'eccezione dell'1% è sicuramente una motivazione sufficiente per bloccare le cose.

    
risposta data 02.10.2015 - 20:11
fonte
2

Se si dispone di un processo di gestione utente corretto (che include la revoca dell'accesso a un database di autenticazione centralizzato in caso di congedo), l'utilizzo di un SSO per la "SocialMedia App1" che è vincolato a quel meccanismo di autenticazione centralizzato farà in modo che non venga in grado di connettersi a quel servizio una volta disabilitato il suo account.

Potresti anche autenticare direttamente "SocialMedia App1" contro questo servizio (anche se suppongo che non sia sotto il tuo controllo e offra SSO)

    
risposta data 02.10.2015 - 17:19
fonte
2

La gestione delle identità condivise (come l'account aziendale su Facebook, Twitter) in genere rientra nella competenza dei processi di Gestione delle identità privilegiate . A causa della natura condivisa di queste identità, i normali processi di gestione degli utenti non sono applicabili e devono essere considerati ulteriori processi / scenari.

I processi di gestione delle identità privilegiati dispongono di ulteriori controlli e contrappesi per garantire che nessuno oltre alla persona che lavora nel sistema conosca la password applicabile. In genere ciò comporta che la persona autorizzata "esegua il checkout" della password, esegua il lavoro che deve eseguire e quindi "esegua il check-in" della password.

Se ti sembra eccessivo dal punto di vista delle tue esigenze, ti suggerirei

  1. Identifica Facebook (o account condiviso corrispondente) come account di servizio in modo che non venga eliminato e la proprietà viene trasferita automaticamente al nuovo proprietario appropriato come parte del processo di offboarding.
  2. Come parte del processo di trasferimento della proprietà, puoi cambiare la password e aggiornare il nuovo proprietario sulla password.
risposta data 03.10.2015 - 18:52
fonte
-2

Un'opzione è usare LastPass con le cartelle condivise. Penso che questa funzione richieda la licenza aziendale.

link

Supponiamo che tu, come amministratore, crei la cartella condivisa e la condivida con Joe Smith, quindi nelle impostazioni puoi scegliere di nascondere le password nella cartella condivisa da Joe.

LastPass ha plugin per browser per tutti i principali browser, quindi quando Joe apre "SocialMedia App1", il nome utente e la password vengono automaticamente compilati per Joe (il plugin LastPass può anche firmare automaticamente l'utente anche se configurato correttamente). Nell'intero processo, Joe non vede mai la password.

(Questo è solo un modo per farlo)

    
risposta data 02.10.2015 - 17:48
fonte

Leggi altre domande sui tag