Progetto integrazione completa e distacco da LDAP
Obiettivo
Implementare un sistema di Single Sign-On (SSO) centralizzato basato su Authentik, con autenticazione a due fattori (2FA) tramite app su smartphone (es. Google Authenticator, Microsoft Authenticator, ecc.), integrato con tutti i principali servizi aziendali.
Componenti principali
-
Authentik (IdP - Identity Provider)
- Gestione utenti
- Autenticazione centralizzata
- 2FA obbligatoria
- Policy di accesso
-
Servizi aziendali (SP - Service Provider)
- Integrati via OIDC / SAML / Proxy Auth
- Delegano autenticazione ad Authentik
Posizionamento in rete
Authentik è stato deployato in una VM dedicata in una VLAN protetta.
è espoosto tramite caddy con certificato SSL/TLS.
Comunica solamente in HTTPS e solamente con gli URI definiti.
Servizi integrabili
in questo momento sono servizi dove gestiamo gli account manualmente
- SAP
- Jira
- VPN (Netbird)
- Wiki
- Gitlab
- OSTicket (tutti)
- Netbox
- Semaphore Ansible
- Ollama
- Zabbix
- InfluxDB
- Grafana (tutti)
- Password Manager
- Uptime Kuma
- OpenBao
- OpenCloud
- Wazuh
- CrowdSec
- Zero Trust
- Wordpress
- Umami
- Nextcloud
Servizi integrabili ma richiedono acquisto di una licenza
- Netbox
- Semaphore
- n8n
Servizi integrabili ma richiedono svliuppo
Sono i servizi che so per certo avere la possibilità di un'integrazione con OIDC. Potrenzialmente tutte le app web che abbiamo fatto
- GISFO
- 3Eye
- DEPA
Attività da svolgere
🔌 Disaccoppiamento LDAP
- Rimozione dipendenza LDAP
- Verifica accessi attuali
👤 Creazione utenti
- Creazione account in Authentik
- Definizione gruppi/ruoli
- Policy accesso
🔗 Integrazione servizi
Per ogni servizio:
- Configurazione OIDC / SAML / Proxy
- Test login SSO
- Mapping ruoli/permessi
🔐 Configurazione 2FA
- Abilitazione obbligatoria
- Supporto app mobile (TOTP)
- Test onboarding utente
📢 Comunicazione agli utenti
- Invio PDF guida (formazione minima)
- Spiegazione:
- Cos’è SSO
- Come usare 2FA
- Come accedere ai servizi
PRO
- gestione unificata e sicura di tanti account
- HR potrebbe disabilitare in autonomia gli account senza dover passare per noi
- gestione semplifacata per i PM per invitare risorse ad accedere ad asset aziendali
- vista la situazione geopolitica siamo un po' più resilienti
- nel caso in cui succedesse un nuovo incidente tipo minio siamo estremamente flessibili
- sicurezza incrementata rispetto a solizuine attuale (1 SPOF contro 4 di cui 2 gravi)
- si eviterebbero in toto problematiche alla "microsoft non permette più le notifiche da app terze in teams"
- per passare un servizio da test a produzione sarebbe sufficiente aumentare la visibilità ai gruppi interessati
Contro
- avremmo due database utenti da tenere allinetati (ci si potrebbe aiutare con uno script)
- rischio errore nell'allineare i due DB utenti
- doppia superfice per esfiltrare indirizzi email