在當(dāng)前的辦公環(huán)境及工作模式下����,尤其是BYOD的盛行,你可能很容易接受一個(gè)新說(shuō)法�����,即企業(yè)無(wú)法再依靠傳統(tǒng)的防火墻對(duì)企業(yè)IT架構(gòu)進(jìn)行控制了。
當(dāng)然���,很多情況下企業(yè)的傳統(tǒng)防火墻還是會(huì)繼續(xù)正常工作����,但是會(huì)出現(xiàn)越來(lái)越多例外的IT應(yīng)用超越防火墻的控制范圍�����。另外����,隨著軟件即服務(wù)(SaaS)的應(yīng)用��,企業(yè)的很多軟件本身就存在于于企業(yè)防火墻之外���。
當(dāng)代的黑客越來(lái)越多的將目光聚焦到了企業(yè)的IT架構(gòu)上���,并且經(jīng)常會(huì)裝扮成合法用戶(hù)訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)。而企業(yè)所要做的就是將真正的合法用戶(hù)和黑客偽裝成的用戶(hù)區(qū)分開(kāi)����。
要對(duì)遠(yuǎn)程用戶(hù)提供與企業(yè)內(nèi)部用戶(hù)一樣的功能�,同時(shí)還要將偽裝成合法遠(yuǎn)程用戶(hù)的黑客拒之門(mén)外��,就需要企業(yè)將身份認(rèn)證系統(tǒng)從傳統(tǒng)的防火墻內(nèi)部直接擴(kuò)展到遠(yuǎn)程用戶(hù)的接入設(shè)備上��。也就是說(shuō)�����,身份驗(yàn)證的范圍大幅度擴(kuò)展了��。
采用這一理念的技術(shù)��,即單點(diǎn)登錄(single sign-on�,SSO)并不是什么新技術(shù),它一直以多種方式出現(xiàn)在我們周?chē)?/p>
傳統(tǒng)的身份和接入管理服務(wù)供應(yīng)商�����,如著名的CA, Oracle 以及 IBM等����,都在多年前就已經(jīng)擁有了自己的SSO系統(tǒng)。當(dāng)時(shí)這種系統(tǒng)的最主要用途是幫助用戶(hù)避免記憶多個(gè)用戶(hù)名和密碼,因?yàn)橐坏┯脩?hù)給自己設(shè)定的用戶(hù)名和密碼過(guò)多�,他們就會(huì)將這些用戶(hù)名和密碼記錄在紙上而不是腦子里,反而增加了安全風(fēng)險(xiǎn)�。
但這些傳統(tǒng)廠(chǎng)商正在面對(duì)來(lái)自新的競(jìng)爭(zhēng)對(duì)手的挑戰(zhàn)。這些新的競(jìng)爭(zhēng)對(duì)手們所設(shè)計(jì)的SSO能夠支持如今越來(lái)越普遍的遠(yuǎn)程用戶(hù)登錄�,以及使用用戶(hù)自己的電子設(shè)備的登錄行為,還能夠支持被越來(lái)越多企業(yè)選擇的SaaS�。
這些新興的廠(chǎng)商包括 Ping Identity, Okta, Symplified 以及SaaSID,而更令人刮目相看的是Imprivata公司���,它已經(jīng)占領(lǐng)了北美醫(yī)療系統(tǒng)SSO市場(chǎng)的大部分領(lǐng)土����。
連接合法用戶(hù)和資源的橋梁
各個(gè)廠(chǎng)商開(kāi)發(fā)單點(diǎn)登錄系統(tǒng)的目的就是為了建立一個(gè)安全的身份認(rèn)證平臺(tái)�,不論用戶(hù)身處何地�,某個(gè)企業(yè)的IT架構(gòu)都能夠延伸到用戶(hù)所在的位置。實(shí)際上���,SSO系統(tǒng)在扮演一個(gè)身份橋梁的作用�,它將合法的用戶(hù)與該用戶(hù)所需訪(fǎng)問(wèn)的資源安全的連接起來(lái)��。
這些單點(diǎn)登錄系統(tǒng)的功能遠(yuǎn)不止這一點(diǎn)���,在某些情況下��,它的附加價(jià)值要遠(yuǎn)大于作為身份橋梁的價(jià)值�。事實(shí)上,有時(shí)候SSO甚至不需要知道用戶(hù)的身份信息就可以提供用戶(hù)所需的內(nèi)容了����。
比如,某個(gè)網(wǎng)絡(luò)用戶(hù)打算去旅游�����,于是他開(kāi)始在旅行社網(wǎng)站上瀏覽���。在考慮預(yù)定旅游服務(wù)前����,他可能只想了解旅游的機(jī)票費(fèi)用�����,目的地的租車(chē)費(fèi)用和酒店費(fèi)用等信息���。SSO系統(tǒng)可以提供一個(gè)聯(lián)合登錄方式供用戶(hù)詢(xún)價(jià)��,在用戶(hù)決定訂購(gòu)旅行服務(wù)后再提供更多的信息�����。
在這個(gè)過(guò)程中當(dāng)然會(huì)需要用戶(hù)的身份信息�。而出于某些原因,用戶(hù)完全可以自己編造一個(gè)身份信息���,比如隨便寫(xiě)個(gè)用戶(hù)名�����。但是最終這個(gè)身份信息會(huì)與用戶(hù)的真實(shí)郵箱地址以及真實(shí)的支付信息相關(guān)聯(lián)����。
開(kāi)放更多資源
在這種情況下��, SSO系統(tǒng)如果與其它服務(wù)相關(guān)聯(lián)�����,就會(huì)開(kāi)始建立和改進(jìn)新用戶(hù)的身份驗(yàn)證過(guò)程���。當(dāng)新用戶(hù)的身份信息被建立,系統(tǒng)就會(huì)提供更多的信息給用戶(hù),比如通過(guò)訂單系統(tǒng)查看用戶(hù)以前跟旅行社訂購(gòu)的旅游服務(wù)記錄��。
其它的交易類(lèi)型�,尤其是B2B的交易,需要從已有的系統(tǒng)中獲取身份信息����。比如要獲取某個(gè)企業(yè)的員工身份信息,需要從企業(yè)內(nèi)部的某個(gè)花名冊(cè)中取得��,一般來(lái)說(shuō)微軟的活動(dòng)目錄就是這樣的一個(gè)花名冊(cè)����。
不過(guò),當(dāng)要開(kāi)放企業(yè)的應(yīng)用給兄弟企業(yè)或外部的業(yè)務(wù)用戶(hù)�,最有價(jià)值的身份信息是來(lái)自外部的,比如兄弟企業(yè)自己的內(nèi)部名冊(cè)或成員數(shù)據(jù)庫(kù)�。
對(duì)于消費(fèi)和商業(yè)用戶(hù)來(lái)說(shuō),社交網(wǎng)站比如Facebook和 LinkedIn在某些情況下都是不錯(cuò)的身份信息獲取渠道��。
一系列的趨勢(shì)都意味著SSO系統(tǒng)越來(lái)越需要通過(guò)更多的資源獲取身份信息�,從而對(duì)用戶(hù)身份進(jìn)行確認(rèn)。要讓這個(gè)過(guò)程變得盡可能簡(jiǎn)單�����, SSO系統(tǒng)以及身份信息來(lái)源就必須實(shí)現(xiàn)標(biāo)準(zhǔn)化。
身份和接入管理標(biāo)準(zhǔn)
為了支持SSO系統(tǒng)�,一系列身份和接入管理標(biāo)準(zhǔn)被制定出來(lái),包括用于存儲(chǔ)身份的輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議(LDAP),以及用于分享這些內(nèi)容的安全聲明標(biāo)記語(yǔ)言(SAML) ����。對(duì)于這些標(biāo)準(zhǔn)的理解以及廠(chǎng)商對(duì)于該標(biāo)準(zhǔn)的支持,是評(píng)估廠(chǎng)商SSO系統(tǒng)是否合格的一個(gè)重要因素�����。
合格的SSO系統(tǒng)有能力從更廣泛的渠道獲取身份信息并將其與多種應(yīng)用鏈接�����,使得業(yè)務(wù)過(guò)程以及供應(yīng)鏈變得更加綜合和高效�����。
比如��,汽車(chē)零售商可以連接到汽車(chē)廠(chǎng)商的訂單系統(tǒng)�,法官可以連接到法院管理系統(tǒng)以及執(zhí)法部門(mén),都是SSO系統(tǒng)的例子����。另外, SSO系統(tǒng)還可以傳遞部分管理策略���,比如某個(gè)特定用戶(hù)可以訪(fǎng)問(wèn)什么樣的資源��,為不同的角色設(shè)定模板��,簡(jiǎn)化用戶(hù)的服務(wù)開(kāi)通手續(xù)等�����。
最重要的是���,當(dāng)SSO系統(tǒng)與某個(gè)客戶(hù)的連接關(guān)系斷開(kāi)后,SSO系統(tǒng)能夠確保該用戶(hù)訪(fǎng)問(wèn)所有資源的權(quán)限都已經(jīng)被移除了��。
將用戶(hù)訪(fǎng)問(wèn)企業(yè)IT應(yīng)用和資源的范圍從企業(yè)防火墻內(nèi)擴(kuò)展到用戶(hù)的接入設(shè)備�����,會(huì)為企業(yè)帶來(lái)更多的實(shí)惠���,但這企業(yè)一定要重視這個(gè)過(guò)程中的用戶(hù)接入��、用戶(hù)行為監(jiān)視�����、控制用戶(hù)和斷開(kāi)用戶(hù)連接等功能����。而SSO系統(tǒng)正是幫助企業(yè)實(shí)現(xiàn)這一系列功能的有效途徑。
