Revocar el acceso desde la intranet si un empleado abandona la organización

Navega tus respuestas
3

Una pregunta ha estado en mi mente últimamente. Supongamos que tiene una organización global con intranet que no existe, pero se supone que está desarrollada.

Esta organización tiene oficinas en más de 50 países, y cada oficina funciona básicamente como una pequeña empresa. La intranet se utiliza para compartir números de transacciones entre las diferentes oficinas y compartir otros conocimientos.

Esto significa que las oficinas individuales pueden tener diferentes dominios y servidores de correo electrónico, e incluso pueden operar bajo un nombre de empresa diferente.

Si un empleado deja la empresa, podemos asumir que un líder de país cierra su cuenta de correo electrónico. Supongamos que la comunicación en la organización no es tan buena, por lo que el administrador del sistema de la intranet no está informado de que el empleado ha abandonado la organización ... por lo que el empleado todavía tiene acceso al conocimiento dentro de la intranet.

Mi pregunta es : ¿existe algún método para hacer un seguimiento de si existe un correo electrónico en el lado del servidor? Porque si pudiera verificar que el correo electrónico se ha vuelto inactivo, simplemente podría revocar su acceso cuando intenten iniciar sesión nuevamente con un usuario que se haya registrado con ese correo electrónico.

He estado investigando, pero por lo que puedo ver, solo es posible verificar si un dominio existe o no. Si no es posible verificar esto, ¿cómo se haría esto?

Una solución que se me ocurre es que la intranet envía un correo electrónico, por ejemplo, confirmando semanalmente si el correo electrónico está activo o no. Sin embargo, el empleado podría potencialmente tener acceso por una semana. Otra solución es un código especial diario que se envía a todos los miembros de la organización, pero esto no parece ser el óptimo.

¿Cómo se resuelve un problema como este en la vida real? Todos los comentarios son muy apreciados.

    
pregunta Rasmus 08.04.2016 - 20:52
fuente

1 respuesta

4

Creo que si continúas con esa línea de pensamiento hacia una solución sólida, vas a tener que considerar cosas como "¿qué pasa si el correo electrónico semanal se falsifica?" ... "Tal vez necesito firmar digitalmente esas listas", etc. y terminarás inventando algo muy similar a una Autoridad de Certificación .

Utilice una autoridad de certificación interna

Creo que la forma más sencilla (y económica) de lograr su objetivo es utilizar una VPN con certificados de cliente para otorgar a los empleados acceso a la intranet. Para emitir y administrar los certificados, configure una jerarquía de Autoridades de Certificación ( por ejemplo con openssl ): la raíz será operada por la empresa matriz y cada sucursal local ejecutará una CA emisora para emitir y administrar los certificados de los empleados en esa oficina.

Configure la VPN para utilizar certificados de cliente

Configure los firewalls para que los servidores de la intranet solo acepten conexiones dentro de la red, requiriendo que los usuarios ingresen a la VPN. Configure el servidor VPN para que requiera certificados de clientes que se remontan a la CA raíz operada por la compañía matriz. Debido al funcionamiento de los certificados, cada vez que un usuario intenta iniciar sesión, el servidor VPN verificará con su CA emisora para asegurarse de que su certificado sigue siendo válido, por lo que cada oficina administra su propia base de datos de empleados. Esto significa que los administradores locales en cada oficina pueden agregar (también conocido como "problema") o eliminar (también conocido como "revocar") empleados en su tiempo libre y la VPN aceptará / rechazará automáticamente sus inicios de sesión. Creo que la mayoría de las VPN comerciales y de código abierto son compatibles con el modo de operación certificado por el cliente.

Otra opción: comprar un producto de autenticación COTS

Una opción un poco más compleja (y costosa) es comprar una aplicación web de autenticación basada en certificados que actúe como guardián de su intranet y requiera que los usuarios proporcionen su certificado y una prueba de posesión de clave privada. No mencionaré ningún producto específico porque mi empresa vende uno y no quiero que me acusen de conflicto de intereses.

    
respondido por el Mike Ounsworth 08.04.2016 - 21:20
fuente

Lea otras preguntas en las etiquetas

¿El correo electrónico de phishing de Avast - Los encabezados parecen totalmente legítimos? ¿Una CA está obligada a emitir un certificado para una solicitud legítima comprobada?