Ho un caso d'uso interessante in cui gli utenti devono autenticare le applicazioni in esecuzione in ambienti che potrebbero non avere accesso a Internet o persino accedere a un server di autenticazione. Gli amministratori devono essere in grado di concedere e revocare l'accesso ai singoli utenti senza accesso diretto all'applicazione. Gli amministratori preferiscono invece non mantenere e gestire la soluzione. Esiste un fornitore o un servizio di autenticazione che può fare il trucco?
Ho già esplorato i servizi OCRA come Protectimus e Gemalto e anche RSA SecurID, ma per verificare le risposte alle sfide sembra che tutti richiedano che l'applicazione chiami i loro server.
Un'altra possibilità è di utilizzare un provider di OpenConnect ID in modo che un utente acceda tramite il suo dispositivo mobile, ottenga un token ID e lo copi nell'applicazione. Tuttavia, l'applicazione deve ancora avere le chiavi di firma aggiornate o il segreto del client. Ancora più critico, l'utente potrebbe non avere un modo pratico per copiare il token nell'app in pratica, poiché il token può essere lungo.
Altre informazioni
Se aiuta a chiarire il motivo di questi requisiti:
- Gli utenti sono personale di supporto della mia azienda.
- L'applicazione viene eseguita nella propria macchina virtuale nella rete interna di un'altra azienda.
- In questo momento, l'app e la VM sono "chiusi". Solo il team di supporto della mia azienda può accedere al proprio account di supporto, non al cliente.