In questo documento vengono descritte le specifiche tecniche di KanbanBOX per quanto riguarda la sicurezza.
Regole del firewall per autorizzare l’accesso a KanbanBOX
I seguenti domini devono essere autorizzati nel firewall aziendale per consentire l’utilizzo di KanbanBOX agli utenti:
- *.kanbanbox.com (dove * significa tutti i sottodomini)
L'infrastruttura KanbanBOX serve l'applicazione tramite un set di indirizzi statici, al quale però possono essere aggiunti indirizzi nel tempo senza preavviso, a seconda del carico di lavoro nella rete e dello sviluppo del Servizio; è quindi importante se possibile autorizzare il dominio *.kanbanbox.com, non solo gli indirizzi IP associati.
Opzionalmente, il team KanbanBOX può fornire un link al quale è pubblicata la lista sempre aggiornata di indirizzi IP statici, se il firewall aziendale non dovesse essere in grado di gestire regole basate su domini DNS.
Sicurezza degli accessi
Tipologie di utenti
Un utente può essere definito come:
- Account personale, quando corrisponde ad un singolo utente
- Postazione condivisa, quando viene utilizzato da più persone in una postazione condivisa in magazzino, produzione, etc.
Credenziali di accesso degli Utenti
L’accesso degli utenti alle interfacce grafiche di KanbanBOX è protetto dalla combinazione email/password.
L’esecuzione di chiamate API è consentito aggiungendo a ogni chiamata la chiave API. La chiave API è univocamente associata a un utente, e può essere modificata o revocata in ogni momento.
Password e chiavi API sono da considerarsi segrete e di conseguenza devono essere custodite in modo opportuno.
Multi-Factor Authentication
Per ciascun utente è possibile attivare la multi-factor authentication (MFA), per un livello aggiuntivo di sicurezza.
Log degli accessi
Ogni accesso autorizzato, così come ogni tentativo di accesso fallito, è registrato nel log degli accessi, disponibile in consultazione per tutti gli utenti admin all’interno dell’interfaccia web.
Filtrare l’accesso in base all’IP
Su richiesta, il Cliente può specificare il set di indirizzi IP dei gateway aziendali da cui gli utenti sono autorizzati a connettersi a KanbanBOX.
Il filtro sugli indirizzi IP può essere abilitato in base alla tipologia di utente (account personale, postazione condivisa).
Accesso federato e Single-Sign-On (SSO)
Opzionalmente, il team KanbanBOX può fornire accesso Single-Sign-On collegandosi al software aziendale di Identity Management con tecnologia SAML 2.0.
L'accesso tramite SSO può essere forzato in base alla tipologia di utente (account personale, postazione condivisa).
L'accesso tramite SSO è permesso anche da APP Android/iOS.
Filtrare l'accesso in base all'ambiente
A ciascun utente può essere autorizzato l'accesso all'ambiente di produzione e di test, o al solo ambiente di test.
Gestione dei permessi basata su ruoli
Il set di funzionalità accessibili da ciascun utente è determinato dal ruolo assegnatoli. Il sistema prevede quattro ruoli:
- admin
- plan
- prod
- read
Al seguente link è presente l'elenco delle autorizzazioni previste per ruolo: Elenco autorizzazioni suddivise per ruolo.
Integrazione con Identity Management System
Su richiesta, è possibile automatizzare la gestione degli utenti in KanbanBOX tramite l'integrazione con un sistema esterno di Identity Management.
Sicurezza della comunicazione
Tutte le comunicazioni tra gli utenti e i server KanbanBOX usano il protocollo HTTPS e sono criptate con tecnologia SSL/TLS.
Sicurezza dell'integrazione verso sistemi Esterni
I flussi di integrazione da KanbanBOX verso sistemi esterni prevedono nella maggior parte dei casi che KanbanBOX si colleghi a tali sistemi per l'invio messaggi, a seguito di un evento avvenuto in KanbanBOX.
I webhook sono la metodologia utilizzata da KanbanBOX per l'invio di questi messaggi. Al seguente link la documentazione completa: Webhook.
Protocolli utilizzati per la comunicazione
KanbanBOX può comunicare con sistemi esterni tramite protocollo HTTPS, chiamando servizi di tipo Rest o SOAP, oppure tramite protocolli di scambio file (SFTP, FTPS).
Con protocollo HTTPS, KanbanBOX può autenticarsi tramite:
- HTTP Basic Authentication
- API key authentication
- Oauth2 Client Credentials authentication flow
Con SFTP/FTPS, KanbanBOX può autenticarsi tramite:
- username e password
- chiave pubblica fornita dal cliente
Gli ambienti di test e di produzione di KBB possono essere configurati per utilizzare endpoint e credenziali diverse.
Filtrare l'accesso in base agli indirizzi IP
Per comunicare con servizi esterni KanbanBOX utilizza un set statico di IP, di conseguenza il sistema esterno può filtrare le richieste in ingresso autorizzando solo quelle provenienti dagli IP KanbanBOX.
Il team KanbanBOX può fornire un link al quale è pubblicata la lista sempre aggiornata di indirizzi IP statici.
Commenti
0 commenti
Accedi per aggiungere un commento.