Настраивал сегодня Lastpass для сотрудников. Тестирую Enterprise версию. Стоит она не очень дорого, но сэкономит нервов и времени немало. К тому же, это очень удобная в повседневной работе штука!
Расскажу кратко что она умеет, а позже, наверно, напишу подробный пост по настройке.
Итак, ЛП позволяет:
- Хранить общую корп. базу паролей в защищенном виде.
- Быстро авторизовываться на всех сайтах с сохраненными паролями.
- Удобно передавать пароли коллегам или подчинённым.
- Создавать общие папки с паролями. Например, «Отдел Закупок».
- Доступ к общим папкам можно предоставлять для определённых ролей пользователей, например «Закупщик».
- Очевидно, закупщиков у вас может быть несколько. Доступы каждому можно легко дать, присвоив сотруднику роль.
- Автоматически генерировать сложные пароли для новых сервисов, которые не надо запоминать.
- Защищенно хранить данные для заполнения форм на сайтах, в том числе форм оплаты с данными кредитки (вот с этим надо внимательно!).
- Настроить корп. политики по сложности паролей, доступам с разных IP и мобильных устройств.
Самое приятное в корп. версии для меня вот что. При изменении пароля к какому-то сервису, я (админ) просто меняю пароль в общей папке. Всё. Никому ничего не нужно сообщать, пересылать, запоминать. Никакой паники на следующее утро: «Аааа, Стас, у меня в ХХХ не заходит!»
Еще одно преимущество. Сотрудникам можно даже не открывать сам пароль, который ты им даёшь в пользование. ЛП сам может заполнять формы нужными паролями. Сотруднику только нужно выбрать аккаунт, если к одному сайту в ЛП есть несколько доступов.
Про SAML
Некоторое сегодня время ушло на то, чтобы потестировать SAML. Это технология, позволяющая пользователям Google Apps входить в свои аккаунты вообще минуя форму логина. Работает это так. Пользователь впервые пробует зайти на страницу вашей корпоративной почты. Адрес должен быть примерно такой: https://mail.google.com/a/yourcompany.com
Если этот человек уже авторизован в ЛП через приложение к Chrome, ЛП за него заполняет данные для входа в почту и сразу переадресовывает во входящие. Если же ЛП не находит такого пользователя в Google Apps, он спросит имя и фамилию пользователя и создаст для него аккаунт. В Google Apps! Клёво ведь!
Мне пока SAML не подходит, так как у нас сотрудники пользуются несколькими почтами каждый. А с SAML зайти в чужой аккаунт в Апсах не получается.
Некоторые первичные настройки
Для своего админского аккаунта включил двуфакторную авторизацию с помощью приложения Google Authenticator. Так безопасней.
Для всей компании включил политику запрета доступа с мобильных, пока админ, т.е. я не разрешу.
Пока еще не разобрался со всеми политиками. Там есть в чём покопаться. Например, права суперадмина позволяют ему восстанавливать мастер-пароль других сотрудников. В персональной версии если забыл мастер-пароль, всё — данные не восстановишь.
Разделение личных и корпоративных аккаунтов
В ЛП здорово реализована работа с двумя аккаунтами сразу. Я еще не тестировал данный функционал, но они обещают удобную работу с личными данными внутри корп. аккаунта. При этом у админа, конечно, нет доступа к паролям из личного аккаунта. Когда тебя увольняют, ты просто остаешься со своими личными паролями.
Резюме. Похоже что сервис стоит своих денег.
ЛП может помочь компаниям упорядочить хранение паролей сотрудников, повысить безопасность и экономить время на создание/передачу/изменение паролей. А то пароли на стикерах в офисе — это как-то совсем не комильфо.