-
@Arkanoidэто, наверное, заклинание чтобы вызвать дух
вот у нас так — есть несколько систем аутентификации, каждая из них двухфакторная, на каждый аккаунт небольшой пул устройств (у вас же не один телефон?)
поскольку это конгломерат из большого неповоротливого заказчика и пачки компаний-разработчиков успеть выдать всем кому надо нужные аккауты/права до тепловой смерти вселенной никак не выйдет, все дружно шарят аккаунты. я кому-то аппрувлю доступ не глядя, мне кто-то аппрувит доступ не глядя — так и живём.
а как у вас?
Replies (21)
-
@BradleyManning, чтобы зайти в копанийский впн нужно вбить код из смс. зато потом доступ к приватным пакетам через нпм без авторизации/1 · Reply
-
@BradleyManning, ну тут две проблемы
a) что оно пиздец неудобное
b) и что учетки можно шарить
надо решать обе, если решить только вторую (key attestation), пользователи проклянут, если решить только первую, все будут продолжать делать как привыкли/2 · Reply -
@BradleyManning, для начала я бы пошел по пути попытки сокращения количества систем/3 · Reply
-
/4 · Reply
-
@ArkanoiD, кол-во систем пропорционально кол-ву юридических лиц (настоящих, не просто формальных) участвующих во всём этом, так что слабо реально, увы
там попроще-то вопросы согласовываются через боль, бесконечные задержки и дружелюбие -
@BradleyManning, а что мешает перевести всех на это? решит много проблем
-
@BradleyManning, по крайней мере у тебя будет общая аутентификация, а системы авторизации можно прикручивать перпендикулярно
-
@ArkanoiD, ну вот часть рабочего процесса — это удаленный доступ на комп с vpn откуда я захожу удаленным доступом на сервак
логины там (сейчас) отношения ко всему остальному не имеют
а с другой стороны — federated sso на кучке вебсайтов
-
@BradleyManning, и какие еще системы аутентификации есть? возможно, идея пересадить всех на сертификаты не так и плоха, но надо смотреть на частности
-
@ArkanoiD, да анрил это всё, я думаю, т.к. оно органическое, результат договоренностей между конторами
ну это как твоя контора нанимается работать на заказчика, кто-то еще нанимается, фигак — у вас у всех сквозная аутентификация. да ну.
это же не разные команды внутри одной конторы, это реально разные конторы -
@BradleyManning, насколько все проще с хипсторами у которых все на условном гугле :)
-
@ArkanoiD, ха, так на гугле тоже есть, просто это одно из
-
@BradleyManning, в общем, нет у меня для тебя универсального рецепта, были бы подробности — попытался бы сесть и нарисовать как упростить.
-
@ArkanoiD, есть самописная noSQL Document-Oriented СУБД
работает по HTTP, настраивается из браузера
никогда не выключается (9+ лет аптайма), реплицируется (во все стороны, но используется только pull), поддерживается мультимастер
нода стартует 9..13 часов
из неё невозможно удалить/изменить инфу бесследно, только дописать, все действия аудируются -
@BradleyManning, а что мешает сквозную аутентификацию сделать?
flow, binding-и, мнемоники, токены, ACL