• shiny_metal_ass это, наверное, заклинание чтобы вызвать дух @Arkanoid

    вот у нас так — есть несколько систем аутентификации, каждая из них двухфакторная, на каждый аккаунт небольшой пул устройств (у вас же не один телефон?)

    поскольку это конгломерат из большого неповоротливого заказчика и пачки компаний-разработчиков успеть выдать всем кому надо нужные аккауты/права до тепловой смерти вселенной никак не выйдет, все дружно шарят аккаунты. я кому-то аппрувлю доступ не глядя, мне кто-то аппрувит доступ не глядя — так и живём.

    а как у вас?

Replies (21)

  • @BradleyManning, чтобы зайти в копанийский впн нужно вбить код из смс. зато потом доступ к приватным пакетам через нпм без авторизации
  • @BradleyManning, ну тут две проблемы
    a) что оно пиздец неудобное
    b) и что учетки можно шарить

    надо решать обе, если решить только вторую (key attestation), пользователи проклянут, если решить только первую, все будут продолжать делать как привыкли
  • @BradleyManning, для начала я бы пошел по пути попытки сокращения количества систем
  • @BradleyManning, habr.com
    сертификаты, для управления хороший вариант предлагает SmallStep
  • @cypa, сертификаты это все переводить на вменяемый ZT, а судя по вводным до этого далековато
  • @BradleyManning, я рулю сервисом IdP (SSO) на полмиллиона юзеров
  • @Ilya-S-Zharskiy, расскажи прохладных былин
  • @ArkanoiD, кол-во систем пропорционально кол-ву юридических лиц (настоящих, не просто формальных) участвующих во всём этом, так что слабо реально, увы
    там попроще-то вопросы согласовываются через боль, бесконечные задержки и дружелюбие
  • @BradleyManning, federated sso через oidc?
  • @ArkanoiD, в большей части системы — да
  • @BradleyManning, а что мешает перевести всех на это? решит много проблем
  • @BradleyManning, по крайней мере у тебя будет общая аутентификация, а системы авторизации можно прикручивать перпендикулярно
  • @ArkanoiD, ну вот часть рабочего процесса — это удаленный доступ на комп с vpn откуда я захожу удаленным доступом на сервак
    логины там (сейчас) отношения ко всему остальному не имеют
    а с другой стороны — federated sso на кучке вебсайтов
  • @BradleyManning, и какие еще системы аутентификации есть? возможно, идея пересадить всех на сертификаты не так и плоха, но надо смотреть на частности
  • @ArkanoiD, да анрил это всё, я думаю, т.к. оно органическое, результат договоренностей между конторами
    ну это как твоя контора нанимается работать на заказчика, кто-то еще нанимается, фигак — у вас у всех сквозная аутентификация. да ну.
    это же не разные команды внутри одной конторы, это реально разные конторы
  • @BradleyManning, насколько все проще с хипсторами у которых все на условном гугле :)
  • @ArkanoiD, ха, так на гугле тоже есть, просто это одно из
  • @BradleyManning, в общем, нет у меня для тебя универсального рецепта, были бы подробности — попытался бы сесть и нарисовать как упростить.
  • @ArkanoiD, есть самописная noSQL Document-Oriented СУБД

    работает по HTTP, настраивается из браузера
    никогда не выключается (9+ лет аптайма), реплицируется (во все стороны, но используется только pull), поддерживается мультимастер

    нода стартует 9..13 часов

    из неё невозможно удалить/изменить инфу бесследно, только дописать, все действия аудируются
  • @BradleyManning, сертификаты/каталог?
  • @BradleyManning, а что мешает сквозную аутентификацию сделать?

    flow, binding-и, мнемоники, токены, ACL