La soluzione più semplice sarebbe quella di rifattorizzare le applicazioni laddove possibile, ma se non puoi modificare la fonte ci sono alcune strategie:
Soluzioni per la gestione di account / password "Middleman".
In questa classe di soluzioni, la gestione della password effettiva è delegata a un altro servizio. Le soluzioni migliori saranno in grado di accedere a un'applicazione e modificare la password, quindi la password viene modificata dall'applicazione / servizio prima che ogni utente effettui l'accesso e venga modificata quando l'utente si disconnette o il tempo scade. In questo modo viene generata una password per ogni individuo e non ha alcun valore dopo la sessione perché è stata modificata. Se vuoi cercare gli strumenti cerca la classe di " Strumenti di gestione delle identità privilegiate " (PIM).
Simile a una soluzione PIM, è una gestione di accesso privilegiato (PAM). A volte questi strumenti sono considerati simili o un prodotto può fare entrambi, ma la mia definizione di PAM è dove lo strumento fa da intermediario per l'accesso. Questo articolo di Thycotic fornisce una breve panoramica della terminologia (avviso da un venditore)
La maggior parte di questi servizi sono progettati per il livello di sistema operativo e non sono sempre facili da configurare con qualche tipo di servizio cloud / SaaS che ha un flusso di lavoro o 2FA.
Soluzione Jump Box
Potresti voler limitare l'accesso per autenticare il servizio a un host specifico. A questo punto hai un'autentica autenticazione e accedi a quell'host (forse persino registri lo schermo). Questo potrebbe essere sufficiente per le tue esigenze a seconda delle app e se hai solo bisogno di fare semplici correlazioni con chi era nella jump box ai registri dell'applicazione. Per lo meno è possibile registrare tutte le attività. Alcune soluzioni Jumpbox + PAM possono offrire questo tramite un'interfaccia web.
Il punto debole è che non stai mettendo il controllo sull'app, ma a un livello inferiore.
Proxy l'autenticazione
Se stai lavorando con una famosa applicazione cloud, potresti riuscire a trovare un CASB che puoi inserire davanti alla tua applicazione e abiliterà la registrazione. Il CASB può avere la capacità di fare qualche forma di PIM, passare un token, ecc.
Potresti essere in grado di configurare un tipo di soluzione per reverse proxy. OpenIAM descrive tale configurazione per applicazioni legacy - Ho letto su questo aspetto prima, ma non abbiamo mai avuto il coraggio di provare a implementarlo per un'applicazione legacy a cui avremmo voluto aggiungere SSO.
Nota:
Nel tuo post originale parli di moduli di riempimento automatico. Ciò significa che la password potrebbe essere intercettata o che due utenti potrebbero essere autenticati allo stesso tempo se l'app Web non impedisce sessioni simultanee. Eviterei tutto ciò che è come un gestore di password utente finale che sincronizza solo i file delle password.
La soluzione ideale renderà possibile l'attivazione di un solo utente alla volta e in cui un singolo utente non vede mai la password della sua versione della password che diventa "una tantum".