Какие системы Identity Management вы используете? Или возможно есть альтернативные подходы?

Question

[divanikus]

Возникла проблема - нужен способ как-то централизованно управлять какие доступы есть у сотрудников. В минимальной формулировке, хотя бы эти самые доступы видеть. Применяете ли вы какие-либо решения для подобного учета? Если да, то какие?

Почему не подходит LDAP и подобные - с приходом облаков, не все сервисы принадлежат нам, соответственно просто подрубить свой LDAP не везде возможно. С SSO тоже не все так просто, если какой-то сервис его не поддерживает, вся инициатива насмарку. Подрубать внешний SSO провайдер к локальным sshd я думаю тоже тот еще квест.

Вести базу вручную не вариант, потому что всегда есть риск изменений прав мимо ответственного человека, да и сам он может просто об этом забыть.

В общем, подскажите, что можно использовать для решения такой проблемы? Пока что взгляд пал на Apache Syncope, но хочется понять насколько вообще такие хотелки правомерны, не изобретаем ли мы велосипед.

Answer 1

[Dimonchik]

Вы, в общем-то, сами ответили на вопрос - до определенного уровня комбайн поддерживать геморно

у нас подход: все в экосистеме JIRA, а управление внешними сервисами - административно

все сотрудники имеют мылы на доменах проектов (особенно весело тут с внешними подрядчиками, думали им давать на гостевом домене, но в итоге даем тоже на доменах проектов)

соответственно, матрица ролей содержит какому сотруднику где что разрешено, и налажена процедура выдачи и отзыва - соответствующие роли получают уведомления - тикеты, у тикета есть workflow и т.п.

скрипты проверяют это все (где АПИ, где эмуляцией) , но без фанатизма (например, проверит что есть доступ в google analytics, но без уровня прав и т.п.)

Comments

[divanikus]

Т.е. у вас есть центральный элемент куда вы подключили что смогли, а сторонние сервисы - просто скриптами по API проверяете наличие? Без каких-то централизованных систем учета?

[Dimonchik]

да

централизованно ежеквартально проверяются аккаунты в сторонних сервисах и их соответствие действующим сотрудникам

Answer 2

[Ascar]

Мне хватает identity server 4 + asp.net identity system. Работать с базой, ролями и.т.д. соответственно через UserManager, RoleManager

Comments

[divanikus]

По-моему это не совсем то. Это скорее какая-то альтернатива LDAP. Смысл в чем, есть например сторонний сайт ну допустим Airtable.com. Я хочу написать/подключить коннектор и в своей базе видеть кто из моих сотрудников имеет доступ к базам там.

[divanikus]

Sha644, Apache Syncope позволяет просто писать коннекторы (скрипты) к апи чужого сервиса и оттуда выуживать необходимую информацию.

[divanikus]

Sha644, грубо говоря, я не хочу авторизовывать людей через свой сервер, только знать какие акки есть на чужих. Если при этом можно будет немного порулить учетками - тоже неплохо.

[divanikus]

Sha644, Это все замечательно, но список я и сам могу нагуглить. Мне интересен опыт использования или другие варианты решения проблемы.

Answer 3

[dmitry-idm]

Рекомендую смотреть в сторону midpoint. У него функционал богаче и развивается хорошими темпами. В РФ уже есть пара приличных внедрений и поддержка в отличие от syncope.