Stránka 1 z 1

Definice SSO v zadávací dokumentaci

Napsal: pon 17. čer 2024, 09:49
od dark_stuff
Našel by se nějaký právník s IT zaměřením, nebo nějaký zkušený obchodník? Nemůžeme se shodnout se zákazníkem, zda splňujeme jeden bod v zadávací dokumentaci.
Řešení obsahuje Single sign on (SSO) přihlášení s využitím autentizačních údajů operačního systému. Řešení obsahuje funkcionalitu napojení na systém LDAP a ověření autentizačních údajů.
Naše aplikace při spuštění vyplní uživatelské jméno uživatele přihlášeného ve Windows (čímž dle mého splňujeme část "přihlášení s využitím autentizačních údajů operačního systému") a po vyplnění hesla uživatelem ověřujeme údaje v AD (část "napojení na systém LDAP a ověření autentizačních údajů").
Zákazník po nás požaduje zapracovat úpravu, aby uživatel nemusel vyplňovat ani heslo, a aplikace se přihlásila automaticky. Podle mě to jednak není specifikováno v zadávačce, a jednak by to šlo proti bezpečnostním standardům (v aplikaci se schvalují a odesílají objednávky o velkých objemech, pracuje se s fakturami, smlouvami, prostě knédl citlivých údajů).

Re: Definice SSO v zadávací dokumentaci

Napsal: pon 17. čer 2024, 10:13
od satik
Kdybych tohle implementoval, tak bych to z popisu chápal i s tím heslem, jelikož tam je autentizačních údajů - je to tam explicitně v množném čísle.

Ohledně bezpečnosti bych to asi řešil tak, že bych zákazníka na to upozornil (v ideálním, případně to mít někde písemně) a když by na tom trval, tak naimplementoval.

Re: Definice SSO v zadávací dokumentaci

Napsal: pon 17. čer 2024, 10:20
od dark_stuff
Otázkou není, jak to chápat, nebo jak si to vyložit. Otázkou je, jestli naše řešení splňuje zadání. My nejsme teoreticky proti zapracování úpravy, když si chtějí dělat bezpečnostní díry, je to jejich rybíz. Jde o to, jestli si mají úpravu zaplatit, nebo jestli je to vada, kterou je potřeba na základě ZD odstranit.

Re: Definice SSO v zadávací dokumentaci

Napsal: pon 17. čer 2024, 10:25
od satik
Podle mě to zadání nesplňuje - viz můj minulej koment.

Ale nejsem ani právník ani obchodník.

Re: Definice SSO v zadávací dokumentaci

Napsal: pon 17. čer 2024, 11:15
od Natural
Normálně to je přesně tak jak to chtějí. Údaje jsou "množné" jako jméno a heslo, takže autorizovat přístup má pouze ldap na základě přihlášení do os bez čehokoli dalšího. Takže rozhodně vada.

Re: Definice SSO v zadávací dokumentaci

Napsal: pon 1. črc 2024, 09:01
od MrHackCZ
Ja si teda SSO predstavuju stejne jako zakaznik. Minimalne tak ho pouzivam. Mam nekolik sluzeb, ktere maji auth backend LDAP. Zaroven na X sluzbach mam zapnute SSO a kdyz se prihlasim na jedne sluzbe a prepnu na druhou, jsem v ni automaticky prihlaseny.

Re: Definice SSO v zadávací dokumentaci

Napsal: pon 1. črc 2024, 09:10
od dark_stuff
Být to na mně, tak je to podle zákazníka. Bohužel obchod je obchod :lol: . Doufal jsem, že se někdo vytasí s jasnou definicí, ale i tak všem díky.