Přihlašování do administrace pouze přes Google rubrika: Návrh

5 Vojta Svoboda
položil/-a 22.1.2019

Připravuji pro klienta administrační rozhranní webové aplikace a firma používá G Suite, tj. všichni zaměstnanci mají firemní Gmail s adresou jmeno@klientova-firma.cz. Chtěl bych udělat přihlášení do administrace POUZE přes Google přihlášení, abych vůbec nemusel ukládat hesla, dělat 2FA, dělat obnovu hesla atd. Každý s firemním e-mailem @klientova-firma.cz se tedy bude moct přihlásit, není nutné rozlišovat role atd. Když se mu zruší Gmail, zruší se i přístup do administrace.

Má to nějaké nevýhody?

Co mě napadá:
a) když vypadne Google, tak se nebude možno přihlásit (což je problém)
b) když uživatel zapomene heslo do Google, nepřihlásí se ani do aplikace (což je přijatelné riziko, jeho blbost)

odkaz
6 Žížala
odpověděl/-a 24.1.2019

Stejně budete nejspíše dělat nějaký systém oprávnění, který budete muset provázat s uživateli, tady nic neušetříte.
Budete muset mít možnost uživatele deaktivovat. Také nic neušetříte. Mazat uživatele asi nebudete moc, aby jste neporušil DB integritu.
Takže vyměníte část správy uživatelů za napojení na google s rizikem bodu A. A i když google výpadky moc nemívá, občas se přihodí.
Je pravda, že část práce ušetříte, ale s rizikem. Jde jenom o to, jak je toto riziko pro klienta snesitelné....

Osobně bych do toho nešel. Ale já obecně nemám rád firemní data na jiných, než vlastních serverech.

Komentáře

  • rmaslo : Naprostý souhlas. Ještě bych přidal to, že někdy je potřeba vytvořit nějakého systémového uživatele, který provede nějakou akci. Typicky třeba, cron v noci rozešle nějaké maily nebo načte kurzy měn, atd... A pak se hodí, aby se mohl přihlásit nějak "zjednodušeně" (třeba přes jméno a heslo v URL), takže i to přihlašování se často hodí mít pod kontrolou. 25.1.2019
  • Vojta Svoboda : Možná jsem to špatně specifikoval, ale firemní data všechna zůstávají na vlastním severu (jediné co se Google dozví je e-mail uživatele a čas přihlášení). Pořád budu mít v DB tabulku admins, ve které bude seznam administrátorů. Akorát nebudu mít sloupec password, vymažu přihlašovací formulář, změnu hesla, obnovu hesla, 2FA atd. Jediná restrikce bude, že se bude možno přihlásit pouze přes Google Account. Tím se buď aktualizuje atribut last_login, nebo vytvoří nový záznam. Systém oprávnění tedy realizovatelný je tak jako tak. Deaktivace uživatele bude přímo přes G Suite rozhranní. Uživatele ze systému mazat nebudu (přesně kvůli integritě). 25.1.2019
  • mkoula : My třeba v práci měníme mail, jelikož docházelo k nějaké fůzi a pak zase k rozdělení a pár lidí prošlo 3 firmami a je vcelku blbost, aby měli 3 účty, v adminu se jen změní u uživatele e-mail a je hotovo... 25.1.2019

Pro zobrazení všech 3 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.

Aktuální otázky v rubrice Návrh

Otázky uživatele Vojta Svoboda