امنیت SSO با یک بار لاگین در روز
سلام دوستان
1. من میخوام یه sso با keycloak راهاندازی کنم. تمام نرمافزارها هم از طریق این sso و با پروتکل LDAP به اکتیودایرکتوری وصل بشن. میخواستم ببینم از نظر امنیتی این کار امنیت داره یا خیر؟
2. بعضی نرمافزارها خودشون میتونن مستقیم به Active directory وصل بشن (از طریق LDAP). حالا میخواستم ببینم حالت اول امنیت بالاتری داره یا دومی؟ یعنی نرمافزار از طریق SSO به AD وصل بشه یا مستقیم؟
3. مورد سوم هم اینه که میخوام کاربر فقط یک بار در روز رمز رو در SSO بزنه و به همه نرمافزارها تا آخر روز کاری لاگین بمونه. این مشکلی نداره؟ من در مورد اینکه session منقضی بشه با هوش مصنوعی که چت کردم، گفت توی keycloak دو بحث access token و refresh token داریم که امنیت رو تا حدی تامین کرده. ولی نمیدونم اینها چیه.
1 پاسخ
سلام
در خصوص اینکه کاربر بتونه یک بار لاگین کنه و تا اتمام زمان کاری دیگه این عمل رو انجام نده کلا خودش از نظر امنیتی مشکل ساز هست! ما خودمون توی سازمان ها پالسی رو که هر 10 دقیقه اگر کاربر با سیستم کاری نکنه اتومات بره روی لاک استرس میگیریم به خودمون میگیم بزار 10 دقیقه رو بزارم 5 دقیقه! با اینکه کاربران اولش مقاومت میکنن ولی بعد به روال عادت پذیر میشن. ( البته کلی پالسی برای سطح کنترل دسترسی برای کاربران عادی و ادمین هست که از طریق گروپ پالسی و ... اعمال میشه )