在當前的辦公環(huán)境及工作模式下,尤其是BYOD的盛行����,你可能很容易接受一個新說法,即企業(yè)無法再依靠傳統(tǒng)的防火墻對企業(yè)IT架構(gòu)進行控制了��。
當然�,很多情況下企業(yè)的傳統(tǒng)防火墻還是會繼續(xù)正常工作�,但是會出現(xiàn)越來越多例外的IT應(yīng)用超越防火墻的控制范圍。另外�����,隨著軟件即服務(wù)(SaaS)的應(yīng)用�����,企業(yè)的很多軟件本身就存在于于企業(yè)防火墻之外�����。
當代的黑客越來越多的將目光聚焦到了企業(yè)的IT架構(gòu)上����,并且經(jīng)常會裝扮成合法用戶訪問企業(yè)網(wǎng)絡(luò)。而企業(yè)所要做的就是將真正的合法用戶和黑客偽裝成的用戶區(qū)分開。
要對遠程用戶提供與企業(yè)內(nèi)部用戶一樣的功能��,同時還要將偽裝成合法遠程用戶的黑客拒之門外�,就需要企業(yè)將身份認證系統(tǒng)從傳統(tǒng)的防火墻內(nèi)部直接擴展到遠程用戶的接入設(shè)備上。也就是說�����,身份驗證的范圍大幅度擴展了����。
采用這一理念的技術(shù),即單點登錄(single sign-on��,SSO)并不是什么新技術(shù)��,它一直以多種方式出現(xiàn)在我們周圍����。
傳統(tǒng)的身份和接入管理服務(wù)供應(yīng)商,如著名的CA, Oracle 以及 IBM等�,都在多年前就已經(jīng)擁有了自己的SSO系統(tǒng)。當時這種系統(tǒng)的最主要用途是幫助用戶避免記憶多個用戶名和密碼�����,因為一旦用戶給自己設(shè)定的用戶名和密碼過多,他們就會將這些用戶名和密碼記錄在紙上而不是腦子里����,反而增加了安全風(fēng)險。
但這些傳統(tǒng)廠商正在面對來自新的競爭對手的挑戰(zhàn)�����。這些新的競爭對手們所設(shè)計的SSO能夠支持如今越來越普遍的遠程用戶登錄���,以及使用用戶自己的電子設(shè)備的登錄行為,還能夠支持被越來越多企業(yè)選擇的SaaS���。
這些新興的廠商包括 Ping Identity, Okta, Symplified 以及SaaSID����,而更令人刮目相看的是Imprivata公司����,它已經(jīng)占領(lǐng)了北美醫(yī)療系統(tǒng)SSO市場的大部分領(lǐng)土。
連接合法用戶和資源的橋梁
各個廠商開發(fā)單點登錄系統(tǒng)的目的就是為了建立一個安全的身份認證平臺��,不論用戶身處何地��,某個企業(yè)的IT架構(gòu)都能夠延伸到用戶所在的位置。實際上�,SSO系統(tǒng)在扮演一個身份橋梁的作用,它將合法的用戶與該用戶所需訪問的資源安全的連接起來���。
這些單點登錄系統(tǒng)的功能遠不止這一點�,在某些情況下�����,它的附加價值要遠大于作為身份橋梁的價值��。事實上���,有時候SSO甚至不需要知道用戶的身份信息就可以提供用戶所需的內(nèi)容了�����。
比如����,某個網(wǎng)絡(luò)用戶打算去旅游���,于是他開始在旅行社網(wǎng)站上瀏覽���。在考慮預(yù)定旅游服務(wù)前���,他可能只想了解旅游的機票費用,目的地的租車費用和酒店費用等信息�����。SSO系統(tǒng)可以提供一個聯(lián)合登錄方式供用戶詢價���,在用戶決定訂購旅行服務(wù)后再提供更多的信息�。
在這個過程中當然會需要用戶的身份信息�����。而出于某些原因����,用戶完全可以自己編造一個身份信息�,比如隨便寫個用戶名。但是最終這個身份信息會與用戶的真實郵箱地址以及真實的支付信息相關(guān)聯(lián)���。
開放更多資源
在這種情況下���, SSO系統(tǒng)如果與其它服務(wù)相關(guān)聯(lián)�����,就會開始建立和改進新用戶的身份驗證過程����。當新用戶的身份信息被建立�,系統(tǒng)就會提供更多的信息給用戶,比如通過訂單系統(tǒng)查看用戶以前跟旅行社訂購的旅游服務(wù)記錄����。
其它的交易類型,尤其是B2B的交易�,需要從已有的系統(tǒng)中獲取身份信息。比如要獲取某個企業(yè)的員工身份信息�����,需要從企業(yè)內(nèi)部的某個花名冊中取得���,一般來說微軟的活動目錄就是這樣的一個花名冊��。
不過��,當要開放企業(yè)的應(yīng)用給兄弟企業(yè)或外部的業(yè)務(wù)用戶��,最有價值的身份信息是來自外部的��,比如兄弟企業(yè)自己的內(nèi)部名冊或成員數(shù)據(jù)庫��。
對于消費和商業(yè)用戶來說��,社交網(wǎng)站比如Facebook和 LinkedIn在某些情況下都是不錯的身份信息獲取渠道���。
一系列的趨勢都意味著SSO系統(tǒng)越來越需要通過更多的資源獲取身份信息���,從而對用戶身份進行確認。要讓這個過程變得盡可能簡單�, SSO系統(tǒng)以及身份信息來源就必須實現(xiàn)標準化。
身份和接入管理標準
為了支持SSO系統(tǒng)���,一系列身份和接入管理標準被制定出來,包括用于存儲身份的輕量級目錄訪問協(xié)議(LDAP),以及用于分享這些內(nèi)容的安全聲明標記語言(SAML) ��。對于這些標準的理解以及廠商對于該標準的支持�����,是評估廠商SSO系統(tǒng)是否合格的一個重要因素。
合格的SSO系統(tǒng)有能力從更廣泛的渠道獲取身份信息并將其與多種應(yīng)用鏈接����,使得業(yè)務(wù)過程以及供應(yīng)鏈變得更加綜合和高效。
比如����,汽車零售商可以連接到汽車廠商的訂單系統(tǒng),法官可以連接到法院管理系統(tǒng)以及執(zhí)法部門��,都是SSO系統(tǒng)的例子���。另外�����, SSO系統(tǒng)還可以傳遞部分管理策略���,比如某個特定用戶可以訪問什么樣的資源,為不同的角色設(shè)定模板����,簡化用戶的服務(wù)開通手續(xù)等。
最重要的是���,當SSO系統(tǒng)與某個客戶的連接關(guān)系斷開后��,SSO系統(tǒng)能夠確保該用戶訪問所有資源的權(quán)限都已經(jīng)被移除了��。
將用戶訪問企業(yè)IT應(yīng)用和資源的范圍從企業(yè)防火墻內(nèi)擴展到用戶的接入設(shè)備�,會為企業(yè)帶來更多的實惠,但這企業(yè)一定要重視這個過程中的用戶接入���、用戶行為監(jiān)視����、控制用戶和斷開用戶連接等功能�����。而SSO系統(tǒng)正是幫助企業(yè)實現(xiàn)這一系列功能的有效途徑����。
