ทางเลือกอื่นๆ ในการทำ Single Sign On สำหรับ G Suite

สำหรับองค์กรที่มีการใช้งาน application มากกว่า 1 ระบบ หากผู้ใช้จำเป็นต้องจดจำ username และ password สำหรับแต่ละระบบ อาจจะเป็นภาระในฝั่งผู้ใช้งาน หากผู้ใช้ต้องจำ username และ password จำนวนมากจนไม่สามารถจดจำได้ มักจะมีพฤติกรรมในการบันทึก username และ password ลงกระดาษ หรือไฟล์ที่ไม่มีการเข้ารหัส ทำให้มีความเสี่ยงด้านความปลอดภัยของระบบ

ภาพจาก: smartertechnologies

ในมุมของผู้ดูแลระบบเองนั้น การที่ต้องบริหารจัดการ Identity ของหลายๆ ระบบ ก็เป็นภาระเช่นกัน เช่น หากมีพนักงานใหม่เข้ามาทำงาน ผู้ดูแลระบบต้องไล่สร้าง user ในระบบต่างๆ ให้ครบถ้วน เพื่อให้ user สามารถเข้าใช้งานระบบต่างๆ ได้ ในทางกลับกัน หากพนักงานออกจากบริษัท ก็เป็นหน้าที่ของผู้ดูแลระบบที่ต้องเก็บกวาดบัญชีผู้ใช้งานคนนั้นในแต่ละระบบให้เรียบร้อย หากหลงเหลือบัญชีไว้ในระบบใดระบบหนึ่ง ก็เป็นความเสี่ยงด้วยเช่นกัน

แนวคิดของ Single Sing On จึงเกิดขึ้นมาเพื่อแก้ไขปัญหาเหล่านี้ โดยอำนวยความสะดวก ให้ผู้ใช้งาน สามารถใช้ Identity เพียงชุดเดียว ก็สามารถเข้าถึงระบบต่างๆ ในองค์กรได้ ตามแต่จะจัดสรรไว้ เมื่อไม่ต้องจำ password เยอะ ผู้ใช้จะสามารถสร้าง password ที่แข็งแรงขึ้นมา และจดจำไปใช้งานได้ โดยไม่ต้องจดใส่กระดาษหรือไฟล์เอกสาร ส่งผลให้บัญชีผู้ใช้นั้นปลอดภัยมากยิ่งขึ้นไปด้วย ส่วนในมุมของผู้ดูแลระบบ การสร้าง ลบ หรือ reset password ที่จุดเดียว ก็จะมีผลกับระบบทั้งหมดด้วยเช่นกัน เป็นการลดภาระทั้งในมุมของผู้ใช้งาน และผู้ดูแลระบบในคราวเดียว

ภาพจาก: kissflow

สำหรับองค์กรที่ใช้งาน G Suite อยู่นั้น มีแนวทางที่ใกล้เคียงกับ Single Sign On นั่นก็คือ Single Password โดยเราจะออกแบบให้ระบบต่างๆ ในองค์กร ให้ใช้งาน username และ password เดียวกันทั้งระบบ โดยส่วนประกอบสำคัญก็จะมี AD , G Suite และ G Suite Password Sync

หากต้องการทำระบบ Single Password เราจำเป็นต้องวางแนวทางของ application ที่ใช้งานทั้งหมดในองค์กร ให้มีวิธีการยืนยันตัวตนผู้ใช้งาน ออกเป็น 2 ประเภทคือ

  1. application ที่ยืนยันตัวตนด้วย LDAP ซึ่งมักจะเป็น application ที่เขียนและใช้งานภายในองค์กร
  2. application ที่ยืนยันตัวตนด้วย OAuth หรือ SAML
โดยแอพพลิเคชั่นประเภทแรก จะยืนยันตัวตนผู้ใช้งานด้วย AD เช่น ระบบ WiFi ภายในองค์กร หรือ application ที่พัฒนาขึ้นมาภายใน ซึ่ง application กลุ่มนี้ก็จะใช้ username/password ชุดเดียวกับ AD

สำหรับ application กลุ่มที่ 2 เช่น web app ที่พัฒนาขึ้นมาใหม่ หรือ SaaS ตัวอื่นๆ ก็ให้มายืนยันตัวตนด้วย G Suite ดังนั้น application กลุ่มนี้ก็จะใช้ username/password ชุดเดียวกับ G Suite

ส่วนประกอบสำคัญตัวสุดท้าย คือ G Suite Password Sync ที่จะคอย update password จาก AD ไปยัง G Suite ให้ตรงกันเสมอ เป็นสะพานเชื่อมระหว่าง Identity platform ทั้ง 2 ตัว และทำให้ application จากทั้ง 2 กลุ่ม ใช้ username/password ชุดเดียวกันได้


หากเราวางกรอบในการพัฒนาหรือการจัดหา application ไว้ โดยพยายามให้ application ทั้งหมด สามารถใช้งานยืนยันตัวตนจาก Identity platform ที่เรามีอยู่ได้ (application จะต้องยืนยันตัวตนผู้ใช้งานด้วย AD หรือด้วย G Suite ได้) ก็จะช่วยให้การจัดการ Identity ขององค์กร เรียบง่ายและบริหารจัดการได้สะดวกมากยิ่งขึ้น

หากองค์กรของคุณ ใช้งาน G Suite อยู่ และต้องการทำ Single password จาก AD สามารถติดต่อได้ที่ tangerine ครับ

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

การเรียกใช้งาน Google Apps Script

รูปภาพ
Google Apps Script คือวิธีการเรียกใช้งาน Google Apps อีกรูปแบบหนึ่ง ช่วยให้ผู้ใช้สามารถย้ายงานที่ต้องทำซ้ำๆ หรืองานที่มีรูปแบบตายตัว เปลี่ยนมาเป็นการสั่งงานผ่าน script ที่สามารถทำงานได้โดยอัตโนมัติ สำหรับคนที่ยังไม่รู้จัก Google Apps Script สามารถอ่านเพิ่มเติมได้จากบทความ รู้จักกับ Google Apps Script บทความตอนนี้จะพูดถึงวีธีการเรียกใช้งาน Google Apps Script เนื่องจาก Google Apps Script คือชุดของคำสั่งที่แสดงขั้นตอนการทำงาน ตามที่เราออกแบบและกำหนดไว้ การเขียน Google Apps Script เราจะเรียกกลุ่มของการทำงานว่า function (แบบเดียวกับ method ของภาษา Java) ซึ่งการทำงานของ Google Apps Script จะเกิดจากการสั่ง run function ที่เราระบุไว้ การเรียกใช้งาน Google Apps Script function การเรียกใช้งาน function ใน Google Apps Script สามารถทำได้หลายช่องทาง โดยสามารถจำแนกออกเป็น 3 วิธีการหลักๆ ได้แก่ 1. สั่ง run function ที่ระบุโดยตรง กรณีที่เราต้องการสั่ง run function ที่ต้องการ เราสามารถสั่งงานโดยตรงจากหน้า script editor หรือสั่งงานจากหน้า Script Manager ได้ดังนี้ สำหรับหน้า script editor ให้เลือกชื่อ fun
อ่านเพิ่มเติม

ลดเวลาการเรียก API ใน Apps Script ด้วย fecthAll

รูปภาพ
Apps Script มี function UrlFetchApp.fetch() สำหรับเรียก http request ไปที่ service อื่นๆ ได้ ซึ่งสามารถนำมาใช้เรียก API ภายนอกได้เช่นกัน แต่หากเรามีข้อมูลจำนวนมาก และต้องเรียก UrlFetchApp.fetch() หลายๆ ครั้ง จะทำให้ระบบทำงานช้าและเกินข้อจำกัดของ Apps Script ไป ( document ระบุไว้ว่าได้ 6 นาที) วันนี้ผมจะมาแนะนำวิธีแก้ปัญหาในกรณี้นี้กันคับ account ที่ผมใช้งาน ตกอยู่ในกลุ่มที่มีข้อจำกัด 6 min/execution เมื่อการเรียกทีละ request ไม่ตอบโจทย์ เรื่องเริ่มมาจากผมมีโปรเจกต์ที่มีข้อมูลชื่อโดเมน จำนวนประมาณ 1,400 รายการ ที่ต้องการดึงค่า DNS มาตรวจสอบอะไรบางอย่าง ด้วยการเรียก http request ไปที่ https://dns.google.com/resolve?name=%DOMAIN%  โดยการแทนค่า %DOMAIN% ด้วยโดเมนที่ต้องการ และนำค่าที่ได้จาก API มาทำงานต่อ หลังจากที่เตรียมชื่อโดเมนทั้ง 1,400 รายการลง array เรียบร้อย ก็เริ่ม process ข้อมูลใน array ทุกตัว โดยแต่ละตัวก็จะมีการเรียก UrlFetchApp.fetch() 1 ครั้ง ผลที่ได้ออกมาคือ เริ่มรันตอน 2020-03-17 17:41:48.049  script สามารถทำงานจนถึง record ที่ 1047 ที่เวลา 2020-03-17 17:4
อ่านเพิ่มเติม

ออกแบบระบบให้คุยข้าม module กันได้ ด้วย Pub/Sub

รูปภาพ
เมื่อนานมาแล้ว ผมพัฒนา Apps Script ขึ้นมาตัวหนึ่ง เพื่อดึงข้อมูลจาก Reseller API มาตรวจสอบ หากเข้าเงื่อนไขที่กำหนดไว้ script ก็จะส่งอีเมลแจ้งเตือนไปยังทีมงานที่ดูแลข้อมูลชุดนั้น เมื่อเวลาผ่านไปนานเข้า จำนวนข้อมูลที่ต้องตรวจสอบก็เยอะขึ้น และจำนวนอีเมลที่ต้องส่งแจ้งเตือนออกไปก็มากขึ้นเป็นเงาตามตัว จนถึงขีดจำกัดของ script account ที่ผมใช้รัน script เพื่อดึงข้อมูลจาก Reseller API นั้น เป็น G Suite free editon ซึ่งมีข้อจำกัดในการส่งอีเมลที่ 100 ฉบับต่อวัน ซึ่งในบางวันนั้น จำนวนอีเมลที่ต้องส่งออกก็สูงเกินข้อจำกัดนี้ และการที่ระบบส่งอีเมลไม่ได้ ก็ส่งผลให้ทีมงานที่ทำงานกับอีเมลแจ้งเตือนนี้ ทำงานได้ลำบาก reseller account ที่ใช้ส่งอีเมลแจ้งเตือน มีข้อจำกัดที่ 100 ฉบับต่อวัน ซึ่งไม่พอกับความต้องการ ทางออกที่ก้าวข้ามขีดจำกัดนี้ มีอยู่หลายทาง เช่น การเปลี่ยนวิธีการส่งอีเมล แทนที่จะใช้ email service ของ Apps Script ก็สามารถเปลี่ยนไปใช้ SMTP relay อื่นๆ ได้ แต่ก็จะมีองค์ประกอบที่ต้องดูแลเพิ่มเติมเข้ามา ด้วยความที่บริษัทใช้ G Suite Business อยู่แล้ว และเมื่อดูจาก quota อีเมลก็สามารถส่งได้มา
อ่านเพิ่มเติม