Задать вопрос
tyomitch
@tyomitch

Как организовать «общую на офис» двухфакторную аутентикацию в Google Account?

Имеется организация, использующая Gmail for business для рабочей переписки. У каждого сотрудника есть google-аккаунт name.surname@company.com, с которым они могут заходить в общие почтовые ящики типа sales@company.com, purchase@company.com и т.п.

Чтобы уменьшить риск утечки конфиденциальных данных, хозяин организации хочет, чтобы его сотрудники не могли заходить в рабочую почту, когда физически находятся вне офиса. Идеальным решением была бы двухфакторная аутентикация с использованием некоего устройства, зафиксированого в офисе -- например, генератора одноразовых паролей в виде большущего дисплея на стене.

Что-то подобное можно было бы соорудить на основе Google Authenticator; но увы, один authenticator можно привязать только к одному google-аккаунту, а отображая на дисплее двадцать кодов, по одному для каждого сотрудника, мы их всех только запутаем.

По похожей причине не подойдёт FIDO U2F Security Key -- один токен можно привязать только к одному аккаунту, сотрудники в разные дни сидят за разными компьютерами, а если им разрешить переставлять токен из одного компьютера в другой, то они его и домой точно так же заберут.

Может, кто-нибудь уже реализовывал что-то подобное?
  • Вопрос задан
  • 284 просмотра
Подписаться 2 Средний Комментировать
Решения вопроса 1
К сожалению, ваша задача не решается только аутентификацией, т.к. сотрудник может "унести" наружу уже авторизованную сессию (например, скопировать куки или просто залогиниться на телефоне или создать сборщик в другой ящик, или подключиться в почтовой программе с OAuth-аутентификацией).
Вам необходима система, которая будет сама логинить пользователя в эккаунт, создавать ему сессию в GMail и передавать ее в браузер, например через плагин в браузере, который будет получать уже готовые сессионные куки и проставлять их в браузере, может быть это можно организовать через синхронизацию профиля в браузере. Но кроме этого, необходимо терминировать эту сессию когда пользователь уходит домой (например когда он логаутится или через какой-то период неактивности).
В рамках такой системы вы можете для каждого эккаунта GMail хранить пароль + TOTP-ключ, а уже для доступа к ней делать какую-то дополнительную свою единую аутентификацию + авторизацию (каким пользователям к каким эккаунтам разрешен доступ).
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы