Muchos proveedores de SSO en la nube ahora ofrecen "SSO basado en contraseña" (por ejemplo, enlace ), donde, incluso si el SaaS en el que desea iniciar sesión no es compatible con SAML o similar, aún puede hacer SSO, porque el servicio de SSO analizará el HTML, almacenará su contraseña y lo registrará en la aplicación SaaS de terceros.
Microsoft está anunciando esto. Y, por ejemplo, si realiza una búsqueda en Google de "Gusto SSO", verá muchos otros que lo anuncian. (Elegí a Gusto, porque no tienen SAML, y puedes ver en todos los servicios de SSO que afirman que lo admiten que es una plantilla autogenerada ...).
Ahora, para mí esta es una gran vulnerabilidad: la razón principal por la que queremos el SSO es que cuando abordamos a alguien, lo hagamos en un solo lugar, y cuando salgan, solo tengamos que revocar una contraseña: no docenas. De lo contrario, está obligado a olvidar que también tienen la contraseña para randomsaas.com ...
Pero, eso solo funciona si la contraseña no pasa por su navegador . Si se trata de un SSO basado en contraseña, y la aplicación de SSO simplemente está autotipando su inicio de sesión , el inicio de sesión pasa por su navegador y, por lo tanto, pueden rastrearlo y almacenarlo. Por lo tanto, incluso si revoca el SSO de los usuarios, todavía pueden tener almacenada la contraseña.
¿Hay alguna solución para esto?