Buongiorno,
in merito alle soluzioni in SaaS, è stato previsto uno standard che deve essere previsto per permettere l’autenticazione degli utenti sugli LDAP/AD presenti negli enti?
questo ci permette di poter centralizzare la dismissione degli utenti.
Pensavo a soluzioni basate ad esempio su framework tipo Syncope, Okta, Shibboleth, Auth2
Grazie
1 Mi Piace
Bella domanda. Io non ho trovato indicazioni.
Io mi preoccuerei anche di evitare di inserire le credenziali LDAP/AD in un computer fuori dal controllo dell’organizzazione.
Uno SPID livello 2 colegato a LDAP/AD?
Spid purtroppo sarebbe un limite, perchè non tutti gli utenti della PA lo hanno e vorrei evitare questo.
Come avviene per SPID io pensavo ad una sorta di SSO. Ad esempio utilizzando Shibboleth l’ente dovrebbe esporre un servizio di IDP. L’autenticazione avverrebbe in locale nell’ente, sul proprio LDAP/AD e verrebbe scambiato il token di autenticazione SAML, tuttavia questo sarebbe opportuno che fosse standardizzato e posto in distribuzione agli enti sotto forma di kit così da scaricarlo ed installarlo.
A parte che SPID si fa in pochi minuti, va bene anche altra autenticazione a due fattori propria dell’organizzazione. Ma visto che c’e’ SPID usiamo quella.
A me non piace fare scrivere le credenziali AD su un computer dove potenzialmente c’e’ un keylogger o qualche altro maleficio che si impossessa delle chiavi di accesso al sistema informativo aziendale.
[E mi ha sempre lasciato perplesso questa divinizzazione del cloud e del SaaS senza chiarire aspetti di sicurezza di base]
1 Mi Piace
Non sono un esperto di questo problema, ma, se permettete, se si continua a non usare SPID perché pochi ce l’hanno allora pochi continueranno ad averlo e non se ne uscirà mai 
Non è così complicato: chi non ce l’ha se lo fa una tantum e il problema è risolto.
1 Mi Piace
A mio avviso l’utilizzo di SPID ha come controindicazione la difficoltà nella cessazione delle utenze quando un utente esce dall’ente, invece l’utilizzo di LDAP/AD facilita la centralizzazione della dismissione delle utenze.
Da SPID prendi il C.F. dell’utente, se ti risulta fra gli utenti del sistema informativo, bene, accede con il profilo di autorizzazione che gli hai dato in AD o in altro sistema. Se non risulta come utente del sistema informativo non lo fai entrare.
1 Mi Piace
Ad ogni modo questo giro dovrebbe essere standardizzato in modo che sia uguale per tutti i SaaS e non che per ogni SaaS si debba prevedere qualcosa.
1 Mi Piace
Riprendo questo tema che di fatto risulta ancora irrisolto.
A mio avviso a livello centrale si dovrebbe creare un sistema di IAM (Identity Access Management) in cui siano censiti tutti i portali che erogano servizi per le pubbliche amministrazioni. Gli Amministratori di Sistema di ogni ente dovrebbero poter verificare quali utenti sono abilitati ed a quali applicativi. In questo modo, chiunque acceda con SPID CIE o CNS a Portali per Conto di Pubbliche amministrazioni, sarebbero facilmente gestibili sia in fase di Provisioning sia in fase di DeProvisioning.
Le risorse PNRR mi paiono una buona occasione per gestire questa criticità.
1 Mi Piace
Abbiamo buttato milioni di euro del PNRR in digitalizzazione della PA e nessuno che abbia avuto l’idea di mettere un paio di milioni per creare un middleware di autenticazione tra SPID/CIE e Active Directory/LDAP e similari.