Es decir, ¿es posible con una herramienta de inicio de sesión único para que el empleado "Joe Smith" tenga acceso a la aplicación "SocialMedia App1" para que haga este trabajo? Pero cuando Joe abandona la empresa, ¿puedo tener plena confianza de que no tiene la contraseña y no es necesario cambiarla?
En general, cuando un usuario se marcha, nunca puede tener plena confianza en que no tiene contraseñas u otra información confidencial guardada. Como resultado, su proceso de contratación externa debe tener controles para todas las contingencias.
Hay varios sistemas (por ejemplo, el propietario de OneLogin) que le permiten integrar un servicio de gestión de identidad corporativa (por ejemplo, Active Directory) con inicio de sesión en sitios de redes sociales / otras aplicaciones web. Sin embargo, esto funciona de manera similar a LastPass en que almacena una contraseña generada aleatoriamente en una bóveda; y esta contraseña puede ser interceptada.
El problema es que siempre es técnicamente posible, si el usuario es un administrador de la computadora y tiene acceso a algunos expertos técnicos, para obtener la contraseña.
Hay formas de mitigar esto: por ejemplo, habilitar las notificaciones de inicio de sesión en Facebook y la autenticación de dos factores. Solo configure un teléfono no rooteado con el token 2FA correcto. Aún así, el usuario puede tomar medidas para migrar el token 2FA a otro dispositivo, por lo que no puede estar 100% seguro de que este sistema funcionará.
Al final, la mejor práctica siempre será restablecer las contraseñas de todas y todas las cuentas a las que el ex empleado tuvo acceso. Si la aplicación está integrada directamente con un servicio de directorio, puede estar seguro de que cuando se deshabilita la cuenta del directorio, se le niega el acceso (por ejemplo, Google+ usando OAuth), pero si hay inicios de sesión separados en sitios externos, siempre habrá que cambiarlos. Incluso si está 99% seguro de que no tienen la contraseña o de que no van a iniciar sesión, la excepción del 1% es sin duda la motivación suficiente para bloquear las cosas.
Si tiene un proceso de administración de usuarios correcto (que incluye la revocación del acceso a una base de datos de autenticación centralizada al momento de la licencia), usar un SSO para su "SocialMedia App1" que está vinculado a ese mecanismo de autenticación centralizado garantizará que no lo hará. capaz de conectarse a ese servicio una vez que su cuenta está deshabilitada.
También puede autenticar directamente "SocialMedia App1" contra este servicio (aunque supongo que no está bajo su control y ofrece SSO)
La gestión de las identidades compartidas (como la cuenta de empresa en Facebook, Twitter) normalmente estaría en el ámbito de Procesos de administración de identidad privilegiada . Debido a la naturaleza compartida de esta identidad, el proceso regular de administración de usuarios no es aplicable y se deben considerar procesos / escenarios adicionales.
Los procesos de administración de identidad con privilegios tienen controles y balances adicionales para garantizar que nadie, además de la persona que trabaja en el sistema, conozca la contraseña correspondiente. Por lo general, esto implica que la persona autorizada "compruebe" la contraseña, realice el trabajo que necesita hacer y luego "registre" la contraseña.
Si esto parece una exageración desde el punto de vista de sus requisitos, sugeriría que
Una opción es usar LastPass con carpetas compartidas. Creo que esta característica requiere una licencia de empresa.
Digamos que usted, como administrador, crea la carpeta compartida y la comparte con Joe Smith, luego en la configuración, puede elegir ocultar las contraseñas de la carpeta compartida a Joe.
LastPass tiene complementos de navegador para todos los navegadores principales, por lo que cuando Joe abre "SocialMedia App1", el nombre de usuario y la contraseña se completan automáticamente para Joe (el complemento de LastPass también puede iniciar sesión automáticamente si la configuración es correcta). En todo el proceso Joe nunca ve la contraseña.
(Esta es solo una forma de hacerlo)
Lea otras preguntas en las etiquetas password-management