caxap писал(а):Имеется несколько видов пользователей
- типа я руководитель (клинический случай не лечиться, берется только фактами на испуг)
- пользователи, пришедшие со стороны (Типа там где-то работал пароль не меняют а в Вашей шарашке надо)
Когда я еще админил в институте, был в моей практике замечательный случай: поставили зам. главбуха новый компьютер и там, из-за того, что машину добавили в домен DSfW, ей пришлось вводить пароль. Она была вне себя от негодования: "Что это ты тут за фигню учинил?! НеудобнА жЫ!"
Я ее, в общем, послушал, а потом спросил: "МарьВанна, а вот ты, когда на работу уходишь, дверь закрываешь?"
Она: "Дурак штоле?! Канешна!"
Я: "Слушай, вот представь: пришла ты с работы, в обеих руках - сумки с продуктами и прочим, а тебе надо ключ найти, потом им как-то в скважину попасть - причем желательно пакеты на пол не ставить, бо грязный. В итоге - вот зачем это все? Представляешь, как удобно: ушла, дверь нараспашку, нет суеты с тем, чтобы ее закрывать. Пришла, дверь нараспашку - красота, не надо с ключом возиться!"
Она: "Не, ну ты совсем дурак! Как жы я дверь-то в хату не закрою?! У мене ж там фсио!!!!"
Я: "А тут у тебя что?! Ты - зам. главбуха! У тебя - доступ ко ВСЕЙ бухгалтерии конторы!"
В общем, сослал я ее тогда лесом, посоветовал сходить ректору на меня нажаловаться. Не пошла
Я это к чему? А к тому, что пользователей - много, а админ - он один. Потому надо сделать так, чтобы все же пользователи слушали админа чаще, чем он - их. Ну а вот этих вот, которые "мне неудобно" я никогда не слушал. Обычно я им предлагал отключить их от сети и наслаждаться автономным плаванием. При этом предупреждал, что всякие сотовые модемы если найду - будет больно.
caxap писал(а):- пользователи, пришедшие со стороны продвинутые (Типа там где-то работал пароль меняю и не надо ещё где-то менять)
Последние беспокоят особенно, по факту правы.
В чем, если не секрет? Постоянный ввод пароля - это в плюс безопасности, пользователи оказываются в состоянии запоминать пароли сложнее "12345". Плюс: SSO - "вишенка на торте", это не основной функционал приложения. Это - дополнительный бонус, удобство. Ну и пароль в файлере, как я говорил, надо вводить 1 раз после его смены. Тут, по моему, скорее повод повыступать, чем реальное неудобство. Ну и, опять же, когда мне начинали рассказывать "а вот у нас в суходрищенске...", я всегда спрашивал: достаточно ли хорошо собеседник понимает, что он - не в суходрищенске? Надо ли ему напоминать, что тут - тут все по другому?
caxap писал(а):И послушав вебинар по NetIQ Advanced Authentication предположил, что приобретая продукт
- можно внутри конторы сделать SSO к Filr
- а в мобильном приложении двух факторную авторизацию.
Понял, что не правильно понял!
Совершенно верно. AAF - он не про то, это, как раз, 2FA. Надобен SSO? Покупаем Keyshield либо ждем, когда разработка предложит иное решение. При этом, повторяю, серьезность проблемы, на мой вкус, очень серьезно раздута сверх всяких мыслимых пределов. Не настолько оно все серьезно, не настолько там все плохо.