Skip to main content

Progetto integrazione completa e distacco da LDAP

Obiettivo

Implementare un sistema di Single Sign-On (SSO) centralizzato basato su Authentik, con autenticazione a due fattori (2FA) tramite app su smartphone (es. Google Authenticator, Microsoft Authenticator, ecc.), integrato con tutti i principali servizi aziendali.

Componenti principali

  • Authentik (IdP - Identity Provider)

    • Gestione utenti
    • Autenticazione centralizzata
    • 2FA obbligatoria
    • Policy di accesso
  • Servizi aziendali (SP - Service Provider)

    • Integrati via OIDC / SAML / Proxy Auth
    • Delegano autenticazione ad Authentik

Posizionamento in rete

Authentik è stato deployato in una VM dedicata in una VLAN protetta.

è espoosto tramite caddy con certificato SSL/TLS.

Comunica solamente in HTTPS e solamente con gli URI definiti.

Servizi integrabili

in questo momento sono servizi dove gestiamo gli account manualmente

  • SAP
  • Jira
  • VPN (Netbird)
  • Wiki
  • Gitlab
  • OSTicket (tutti)
  • Netbox
  • Semaphore Ansible
  • Ollama
  • Zabbix
  • InfluxDB
  • Grafana (tutti)
  • Uptime Kuma
  • OpenBao
  • OpenCloud
  • Wazuh
  • CrowdSec
  • Zero Trust
  • Wordpress
  • Umami
  • Nextcloud

Servizi integrabili ma richiedono acquisto di una licenza

  • Netbox
  • Semaphore
  • n8n

Servizi integrabili ma richiedono svliuppo

Sono i servizi che so per certo avere la possibilità di un'integrazione con OIDC. Potrenzialmente tutte le app web che abbiamo fatto

  • GISFO
  • 3Eye
  • DEPA

Attività da svolgere

🔌 Disaccoppiamento LDAP

  • Rimozione dipendenza LDAP
  • Verifica accessi attuali

👤 Creazione utenti

  • Creazione account in Authentik
  • Definizione gruppi/ruoli
  • Policy accesso

🔗 Integrazione servizi

Per ogni servizio:

  • Configurazione OIDC / SAML / Proxy
  • Test login SSO
  • Mapping ruoli/permessi

🔐 Configurazione 2FA

  • Abilitazione obbligatoria
  • Supporto app mobile (TOTP)
  • Test onboarding utente

📢 Comunicazione agli utenti

  • Invio PDF guida (formazione minima)
  • Spiegazione:
    • Cos’è SSO
    • Come usare 2FA
    • Come accedere ai servizi

PRO

  • gestione unificata e sicura di tanti account
  • HR potrebbe disabilitare in autonomia gli account senza dover passare per noi
  • gestione semplifacata per i PM per invitare risorse ad accedere ad asset aziendali
  • vista la situazione geopolitica siamo un po' più resilienti
  • nel caso in cui succedesse un nuovo incidente tipo minio siamo estremamente flessibili
  • sicurezza incrementata rispetto a solizuine attuale (1 SPOF contro 4 di cui 2 gravi)
  • si eviterebbero in toto problematiche alla "microsoft non permette più le notifiche da app terze in teams"
  • per passare un servizio da test a produzione sarebbe sufficiente aumentare la visibilità ai gruppi interessati

Contro

  • avremmo due database utenti da tenere allinetati (ci si potrebbe aiutare con uno script)
  • rischio errore nell'allineare i due DB utenti
  • doppia superfice per esfiltrare indirizzi email