Definice SSO v zadávací dokumentaci

Problematika virů a antivirů, zabezpečení PC - firewall, spyware, atd.
Odpovědět
dark_stuff
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. bře 2006
Bydliště: Bruntál / Olomouc

Definice SSO v zadávací dokumentaci

Příspěvek od dark_stuff »

Našel by se nějaký právník s IT zaměřením, nebo nějaký zkušený obchodník? Nemůžeme se shodnout se zákazníkem, zda splňujeme jeden bod v zadávací dokumentaci.
Řešení obsahuje Single sign on (SSO) přihlášení s využitím autentizačních údajů operačního systému. Řešení obsahuje funkcionalitu napojení na systém LDAP a ověření autentizačních údajů.
Naše aplikace při spuštění vyplní uživatelské jméno uživatele přihlášeného ve Windows (čímž dle mého splňujeme část "přihlášení s využitím autentizačních údajů operačního systému") a po vyplnění hesla uživatelem ověřujeme údaje v AD (část "napojení na systém LDAP a ověření autentizačních údajů").
Zákazník po nás požaduje zapracovat úpravu, aby uživatel nemusel vyplňovat ani heslo, a aplikace se přihlásila automaticky. Podle mě to jednak není specifikováno v zadávačce, a jednak by to šlo proti bezpečnostním standardům (v aplikaci se schvalují a odesílají objednávky o velkých objemech, pracuje se s fakturami, smlouvami, prostě knédl citlivých údajů).
Lidi jsou různí. Víc nesmím říct.
Černá karta je rasistická!
Nahoru
satik
Začátečník
Začátečník
Uživatelský avatar
Registrován: 03. črc 2015
Bydliště: Jilemnice
Kontaktovat uživatele:
Kontaktovat uživatele satik

Re: Definice SSO v zadávací dokumentaci

Příspěvek od satik »

Kdybych tohle implementoval, tak bych to z popisu chápal i s tím heslem, jelikož tam je autentizačních údajů - je to tam explicitně v množném čísle.

Ohledně bezpečnosti bych to asi řešil tak, že bych zákazníka na to upozornil (v ideálním, případně to mít někde písemně) a když by na tom trval, tak naimplementoval.
GPU MSI RTX 4090 Suprim X CPU AMD Ryzen 9 7950x3D MB ASUS Crosshair HERO, RAM G.Skill Tridentz 64GB @6000MHz CL30
case Fractal Define Torrent PSU Seasonic Prime TX 1600W, M2 SSD Seagate Firecuda 530 2+4TB
monitory Samsung Odyssey G9 Neo + 2x AOC AG271QG periferie Razer Deathadder, Ducky Shine7, Steelseries QcK+, Beyerdynamic MMX 300 VR Valve Index
Nahoru
dark_stuff
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. bře 2006
Bydliště: Bruntál / Olomouc

Re: Definice SSO v zadávací dokumentaci

Příspěvek od dark_stuff »

Otázkou není, jak to chápat, nebo jak si to vyložit. Otázkou je, jestli naše řešení splňuje zadání. My nejsme teoreticky proti zapracování úpravy, když si chtějí dělat bezpečnostní díry, je to jejich rybíz. Jde o to, jestli si mají úpravu zaplatit, nebo jestli je to vada, kterou je potřeba na základě ZD odstranit.
Lidi jsou různí. Víc nesmím říct.
Černá karta je rasistická!
Nahoru
satik
Začátečník
Začátečník
Uživatelský avatar
Registrován: 03. črc 2015
Bydliště: Jilemnice
Kontaktovat uživatele:
Kontaktovat uživatele satik

Re: Definice SSO v zadávací dokumentaci

Příspěvek od satik »

Podle mě to zadání nesplňuje - viz můj minulej koment.

Ale nejsem ani právník ani obchodník.
GPU MSI RTX 4090 Suprim X CPU AMD Ryzen 9 7950x3D MB ASUS Crosshair HERO, RAM G.Skill Tridentz 64GB @6000MHz CL30
case Fractal Define Torrent PSU Seasonic Prime TX 1600W, M2 SSD Seagate Firecuda 530 2+4TB
monitory Samsung Odyssey G9 Neo + 2x AOC AG271QG periferie Razer Deathadder, Ducky Shine7, Steelseries QcK+, Beyerdynamic MMX 300 VR Valve Index
Nahoru
Natural
Středně pokročilý
Středně pokročilý
Registrován: 21. srp 2010
Bydliště: Diváky
Kontaktovat uživatele:
Kontaktovat uživatele Natural

Re: Definice SSO v zadávací dokumentaci

Příspěvek od Natural »

Normálně to je přesně tak jak to chtějí. Údaje jsou "množné" jako jméno a heslo, takže autorizovat přístup má pouze ldap na základě přihlášení do os bez čehokoli dalšího. Takže rozhodně vada.
Nahoru
MrHackCZ
Začátečník
Začátečník
Uživatelský avatar
Registrován: 06. led 2012
Bydliště: Praha / Karlovy Vary
Kontaktovat uživatele:
Kontaktovat uživatele MrHackCZ

Re: Definice SSO v zadávací dokumentaci

Příspěvek od MrHackCZ »

Ja si teda SSO predstavuju stejne jako zakaznik. Minimalne tak ho pouzivam. Mam nekolik sluzeb, ktere maji auth backend LDAP. Zaroven na X sluzbach mam zapnute SSO a kdyz se prihlasim na jedne sluzbe a prepnu na druhou, jsem v ni automaticky prihlaseny.
Nahoru
dark_stuff
Začátečník
Začátečník
Uživatelský avatar
Registrován: 23. bře 2006
Bydliště: Bruntál / Olomouc

Re: Definice SSO v zadávací dokumentaci

Příspěvek od dark_stuff »

Být to na mně, tak je to podle zákazníka. Bohužel obchod je obchod :lol: . Doufal jsem, že se někdo vytasí s jasnou definicí, ale i tak všem díky.
Lidi jsou různí. Víc nesmím říct.
Černá karta je rasistická!
Nahoru
Odpovědět

Zpět na „Viry, antiviry a bezpečnost“