Пропустить до основного содержимого

А расскажите о минусах использования SSO в рамках компании. Вижу только один минус - сервис авторизации прилег и не войдешь во все остальные сервисы. В остальном только плюсы как и со стороны пользователя, так и со стороны администратора и безопасника.

Из плюсов: следить только за одним сервисом по безопасности, настраивать только один сервис на выдачу и контроль прав, легкость управления пользователями, контроль за входами, прозрачный вход во все сервисы куда разрешено.

Эта запись была отредактирована (3 дней назад)

ru поделился этим.

в ответ на sattellite

D:\side\
D:\side\

не со всеми сервисами может нормально работать. Довелось поработать под Okta, их интеграция входа в гугл (Workspace) настолько феерически всратая, что работала через браузерное расширение, а поскольку некоторые службы гугла требовали именно пароль именно от гуглоаккаунта, и вход по OAuth не умели, в качестве костыля на них ставили такой же пароль, как в системе SSO. А когда приходила пора сменить пароль, случались развлечения, т. к. обновление пароля в гугле происходило через расширение у клиента, а до этого момента в гугле всё ещё старый пароль.

tl;dr: несколько ограничивает выбор сервисов

Ещё в зависимости от используемого протокола авторизации доступ может быть мгновенно не отозвать. (Если используется оффлайн-проверяемый JWT по предварительно загруженным JWK, но они обычно живут недолго, минут 15.)

Эта запись была отредактирована (3 дней назад)
в ответ на D:\side\

D:\side\
D:\side\

а, да, и среди всяких SaaS'ов и других коммерческих провайдеров сложилось обыкновение требовать за SSO доплату, иногда откровенно неприличную и/или непубличную (энтерпрайзный план через продаванов): sso.tax/

Что в сущности продолжает пункт "ограничивает выбор сервисов", внося поправку "или делает уже выбранные дороже".

The SSO Wall of Shame

A list of vendors that treat single sign-on as a luxury feature, not a core security requirement.
The SSO Wall of Shame
Эта запись была отредактирована (3 дней назад)
в ответ на D:\side\

sattellite
sattellite
@dside вот это интересный пунктик. Но если бизнес не против платить, то и не проблема.
@D:\side\
в ответ на sattellite

sattellite
sattellite
Вот это дичь с накрутками. Страшный список. Из интересного мне там ничего не оказалось.
в ответ на sattellite

Alexey Skobkin
Alexey Skobkin
Во внешних продуктах местами могут быть проблемы с качеством интеграции SSO.
А так у нас, например, используется селфхощенный SSO, который в целом вменяемо работает. Но в одном внешнием сервисе были проблемы из-за чего туда до сих пор по обычным учёткам ходят.
в ответ на sattellite

ХаББыватель
ХаББыватель
Внедрял SSO. А потом заказчик захотел разлогин одновременно на всех сервисах, и это был просто мегалютейший костыль.
в ответ на sattellite

fgntfg :verified:
fgntfg :verified:
у нас везде ссо, минусов я, как пользователь, не вижу. На случай отвала жопы - можно сделать кнопку: войти используя логин и пароль
в ответ на sattellite

Ostap Bender
Ostap Bender

во-первых, ценник. Во-вторых, местами встречается ну очень кривая интеграция. В-третьих, ценник. В-четвёртых, единая точка отказа. В-пятых, ценник.

И да, я про ценник не забыл упомянуть же?