Pull to refresh

Comments 41

очень хорошо! Только можно и еще одну проблему прописать: появления нового участка, способного отказать, а именно провайдера интернета вашей «некой абстрактной» компании. Что будет, если откажет он? Все сотрудники начинают курить бамбук, и ждать починки?
увы, сетевой отказ — основная проблема любой «облачной» технологии
нет, ну есть варианты — очередной резерв — в том числе и по каналам связи! Но это влияет на удорожание, и уже много посчитаешь и подумаешь — а стоит ли овчинка выделки!
Ни одна технология, к сожалению, не является универсальной для решения абстрактно всех задач. Потому и «облачные» технологии имеют свои области применения, и, разумеется, свои противопоказания.
Задача специалиста знать — какой инструмент в каких ситуациях применять. Ну и иметь доступ к «ящику с инструментами» :)
А чем ваше решение лучше Azure ACS + Windows Azure Active Directory?
Тем, что это решение применимо только для сервисов на платфоре Azure.
Мы же планируем работать с любыми SAAS-продуктами, не зависимо от технологии реализации.
Кто мешает подвязать к нему в виде RP любое стороннее приложение? Там реализованы стандартные протоколы, которые поддерживаются на большинстве платформ. В бэкенд можно воткнуть AD(причем вроде есть гибридный вариант с OnPromise AD), можно OpenAM подоткнуть и тд.
А кто это будет делать? Вендоры? Потребители?
С ACS проблема интеграции ложится на плечи потребителя, или, в лучшем случае — интегратора, которого потребитель наймет.
В добавок — эта технология решает только часть обозначенных проблем.
Тот же AD бодро настраивается из коробки. OTP на уровне Azure — в превью уже. А разработчику SaaS решения добавить поддержку стандартного протокола — не особо сложно. Но это решение позволяет как раз использовать полноценный SSO да еще и со связкой в виде IdM по выбору. Еще вопрос в протоколах. Если протокол не стандартный — то сразу нет.
Ну вот вы увидели, прочувствовали, обсудили. Родили требования. А дельше-то что? На сайте у вас обычный IaaS на базе VMware.
Нет, мы начали идти по пути реализации этих идей — ez-login.com/
использовать многофакторную аутентификацию в виде:

применения электронных USB-токенов


По моему, только эта технология — более менее защищена! e-mail и sms — не очень эффективно!
Да, вы абсолютно правы. Но наличие этих каналов доставки OTP лучше, чем их отсутсвие.
В добавок, e-mail можно рассматривать, как очень слабую защиту, но бесплатную.
SMS по сравнению с e-mail конечно же надёжнее, но и платить за это кому-то надо.
Использование персональных токенов — ещё затратнее.
Я считаю, что наша задача дать возможность бизнесу использовать разные варианты.
Вас спасет приложение для смартфона.
да, в планах есть такая задача
Применение электронных физических токенов напрочь убивает идею сколь-нибудь широкого использования публичных облачных сервисов — просто потому, что эти токены надо физически делать и раздавать. В этом раскладе более или менее крупному клиенту теоретически можно организовать свою PKI с изготовлением ключевых пар на своей стороне и передачей открытых ключей для своих токенов в онлайн-сервис для контроля авторизации. Мелкий же клиент вряд ли будет разбираться — плюнет и уйдёт.
Для этого надо, чтобы любой сервис (хоть публичный, хоть приватный) был способен токены обслуживать.
Мы потенциально готовы взять на себя эту задачу и стать «обёрткой» для таких сервисов
Процесс разработки на SDL строится?
Да, стараемся этой парадигмы придерживаться: «Training, Requirements, Design, Implementation, Verification, Release, and Response»
SaaS не причем, все вышеперечисленные проблемы касаются всего зоопарка корпоративного ПО.
По мотивам топика
— Интеграция корпоративных систем??!
— Не, не слышали.
Для «зоопарка» корпоративного ПО в модели «оn-premise» существует уже большое количество решений. А вот готовых и проверенных решений в области SAAS пока что нет.
а кстати, решения vmware view — кто-нибудь предлагает из облака? с рядом стоящим ad и exchange в том же облаке? так снимется проблема паролей (озвученная в статье) по моему, и все в облаке.
А какие протоколы аутентификации поддерживаются?
в настоящее время простую и массовую «Form-based» через HTTPS там, где он есть.
В ближайших планах OAuth2, SAML2 и WS-Federated
WS-Trust? SAML-P своя реализация или Metro/WIF?
Глубоко ещё не разбирали, но насколько я понимаю стек технологий от MS: WS-Federated является абстракцией более высокого порядка, чем WS-Trust.
Касательно же SAMLP — то он является подмножеством SAML2 (и вроде бы не поддерживается в WIF, хотя есть в AD FS)
Вообщем случае технологии от MS для нас являются одним из вариантов, который мы будем рассматривать. Но не делать на них упор.
С протоколами пока всё очень не просто, ибо OAuth2 имеет баг-репорты о потенциальнй и фактической уязвимости для MIM-атак.
С SAML2 несмотря на наличие титула «стандарт» есть в ряде случаев серьёзные отклоения. Например, в нашем лабораторной реализации, SP от одного известного сервиса принимл наши «сообщени», а SP другого не менее именитого сервиса — нет.
WS-Trust для WS-* сервисов. И это отдельная тема, так как с такими решениями приходится интегрироваться не только на уровне UI. Просто мало ли придется когда-то интегрироваться. особенно смотрите на делегацию и сценарии ActsAs и OnBehalfOf.

У протокола SAML-2 много частей, реализация SP-Lite и IdP у MS в превью с 2011 года. И они как партизаны наотрез отказываются отвечать по этой теме через почту или как-то еще. Просто в твиттере уже проскакивали идеи запилить самим этот протокол, так как та реализация, что есть у MS не подлежит коммерческому использованию и дизассемблированию(тонкий намек местным товарищам из MS).

Вопрос просто у вас стек основной на .Net или на Java? Судя по вашим ответам — .Net. Так?

спасибо за ваши комментарии, взял на заметку.
Про стек применяемых технологий напишу позже отдельную статью и скорее всего не одну.
На сервер-сайде есть всё — Perl, Java, C# и даже PHP :)
Каждому инструментарию отведена своя собственная узкая ниша.
Монополизм в любом своём проявлении — абсолютное зло. Кроме google существует и Яндекс. Кроме hotmail есть mail.ru/
И это хорошо для всех нас.

Onelogin орентирован на американский бизнес.
Поэтому в нём нет и скорее всего не будет сервисов наших.
Американцы не будут связыватся с положениями наших регуляторов, например об обработке ПДн, их трансграничной передаче.
Мы же планируем получить сертификат ФСТЭК.

Так же мы планируем обеспечить глубокую интеграцию с сервисами, не затрагивая сами-по-себе сервисы:
— получение данных из приложений,
— оповещения о событиях,
— гибкие правила управления пользователями и доступами,
— возможность запрета/разрешения определенных функций в приложениях

«Больше товаров хороших и разных!» (с)
OpenID — всего лишь один из многих протоколов аутентификации. С его помощью можно решить лишь одну из проблем в корпоративном использовании SAAS.
К сожалению, OpenID и OAuth1 на сегодняшний день рядом специалистов по информационной безопасности признаны cсамыми уязвимыми из доступных публичных протоколв…
Потому на сегодня интерес представляют транспорты OAuth2 (хотя и про него есть информация о подверженности CSRF-уязвимости) и SAML2 (хотя с этой технологией есть различного рода иные проблемы, как впрочем и определенные уязвимости, зависящие от средств реализации)
Извините, а где же хаб «Я пиарюсь»?
в изначальной версии поста и не предполагалось PR.
PS со ссылкой появился только после обсуждений.
Тогда прошу меня извинить :)
PingFederate или PingIdentity в помощь…
Да, достойная компания.
У Ping Identity много решений, хороших и разных, но достаточно сложных для малого и среднего бизнеса, на который ориентируемся мы.
Из их решений для малого и среднего бизнеса скорее подойдет PingOne, но что если вам нужно будет хоть немного расширить функционал? Надо покупать дополнительный продукт.
И этот опять же компания с решением для американского рынка, они никогда не будут подстраиваться под нюансы государственного регуляторования IT и бизнеса в нашей стране.
Кстати, на Западе относительно давно пришли к потребности в IAMaaS. Теперь и мы стали продвигать эти идеи в массы.
В отличии от «пинга» мы предполагаем выпустить модульный продукт, как конструктор, где в основной версии есть все «кубики».
Потребителю остается выбрать требуемые, не прибегая к сложным настройкам и покупке нескольких продуктов.
Как я писал выше — есть google.com, а есть и yandex.ru
Всем менеджерам выдал пластиковые карты с записанными уникальными паролями + считыватель USB. Раз в месяц меняю карты.
Sign up to leave a comment.

Articles