SAAS e autenticazione utenti

RaffaeleF · 12 Maggio 2020, 11:11am

Buongiorno,
in merito alle soluzioni in SaaS, è stato previsto uno standard che deve essere previsto per permettere l’autenticazione degli utenti sugli LDAP/AD presenti negli enti?
questo ci permette di poter centralizzare la dismissione degli utenti.
Pensavo a soluzioni basate ad esempio su framework tipo Syncope, Okta, Shibboleth, Auth2
Grazie

frantheman · 12 Maggio 2020, 12:51pm

Bella domanda. Io non ho trovato indicazioni.
Io mi preoccuerei anche di evitare di inserire le credenziali LDAP/AD in un computer fuori dal controllo dell’organizzazione.
Uno SPID livello 2 colegato a LDAP/AD?

RaffaeleF · 12 Maggio 2020, 12:59pm

Spid purtroppo sarebbe un limite, perchè non tutti gli utenti della PA lo hanno e vorrei evitare questo.
Come avviene per SPID io pensavo ad una sorta di SSO. Ad esempio utilizzando Shibboleth l’ente dovrebbe esporre un servizio di IDP. L’autenticazione avverrebbe in locale nell’ente, sul proprio LDAP/AD e verrebbe scambiato il token di autenticazione SAML, tuttavia questo sarebbe opportuno che fosse standardizzato e posto in distribuzione agli enti sotto forma di kit così da scaricarlo ed installarlo.

frantheman · 12 Maggio 2020, 1:13pm

A parte che SPID si fa in pochi minuti, va bene anche altra autenticazione a due fattori propria dell’organizzazione. Ma visto che c’e’ SPID usiamo quella.
A me non piace fare scrivere le credenziali AD su un computer dove potenzialmente c’e’ un keylogger o qualche altro maleficio che si impossessa delle chiavi di accesso al sistema informativo aziendale.
[E mi ha sempre lasciato perplesso questa divinizzazione del cloud e del SaaS senza chiarire aspetti di sicurezza di base]

Luca_Valerio · 12 Maggio 2020, 1:14pm

Non sono un esperto di questo problema, ma, se permettete, se si continua a non usare SPID perché pochi ce l’hanno allora pochi continueranno ad averlo e non se ne uscirà mai

Non è così complicato: chi non ce l’ha se lo fa una tantum e il problema è risolto.

RaffaeleF · 12 Maggio 2020, 1:22pm

A mio avviso l’utilizzo di SPID ha come controindicazione la difficoltà nella cessazione delle utenze quando un utente esce dall’ente, invece l’utilizzo di LDAP/AD facilita la centralizzazione della dismissione delle utenze.

frantheman · 12 Maggio 2020, 1:35pm

Da SPID prendi il C.F. dell’utente, se ti risulta fra gli utenti del sistema informativo, bene, accede con il profilo di autorizzazione che gli hai dato in AD o in altro sistema. Se non risulta come utente del sistema informativo non lo fai entrare.

RaffaeleF · 12 Maggio 2020, 1:55pm

Ad ogni modo questo giro dovrebbe essere standardizzato in modo che sia uguale per tutti i SaaS e non che per ogni SaaS si debba prevedere qualcosa.