本文來自微信公眾號“安全牛”。
在當今的數(shù)字時代,組織依賴各種應用軟件和系統(tǒng)開展業(yè)務運營。然而,想要實現(xiàn)跨多個系統(tǒng)的用戶身份管理和訪問控制是一項非常復雜又具挑戰(zhàn)性的工作。而身份聯(lián)合(identity federation)技術則為增強所有應用系統(tǒng)的身份管理和驗證提供了一種新的解決思路。
什么是身份聯(lián)合?
身份聯(lián)合是一種創(chuàng)新的身份安全管理機制,可以讓不同的身份管理系統(tǒng)以安全、快捷、標準化的方式共享身份驗證和授權信息,只需要使用一個統(tǒng)一憑據(jù)就能訪問多個應用軟件或系統(tǒng),而不必再登錄每一個系統(tǒng)分別進行核驗。這不僅改善了用戶體驗,還可以減輕跨多個系統(tǒng)驗證用戶身份和訪問時的管理負擔。
身份聯(lián)合允許在不同的身份管理系統(tǒng)之間共享身份驗證和授權數(shù)據(jù),其技術核心是建立一個集中管理和存儲用戶身份信息(包括身份驗證憑據(jù))的中央身份提供者(IdP),負責統(tǒng)一頒發(fā)安全令牌,其中包含有用戶身份和權限方面的信息,這些信息也可用于訪問其他應用軟件或系統(tǒng)。
在身份聯(lián)合場景下,中央身份提供者(IdP)會統(tǒng)一管理和存儲用戶的身份信息,包括其身份驗證憑據(jù)。當用戶試圖訪問聯(lián)合的應用軟件或系統(tǒng)時,IdP驗證用戶的身份,并頒發(fā)安全令牌,其中含有用戶及權限方面的信息。然后用戶將此令牌出示給應用軟件或系統(tǒng),以獲得訪問權限。
企業(yè)應用身份聯(lián)合技術的終極目標,就是要在不同的系統(tǒng)之間建立信任關系。這可以通過使用標準協(xié)議來實現(xiàn),并統(tǒng)一定義如何在不同的系統(tǒng)之間交換信息。實現(xiàn)這個過程包括以下幾個步驟:
當用戶試圖訪問聯(lián)合的應用軟件或系統(tǒng),系統(tǒng)會將用戶重定向到IdP進行身份驗證;
IdP驗證用戶的身份,并頒發(fā)含有用戶身份和權限方面信息的安全令牌;
用戶向不同的應用軟件或系統(tǒng)出示安全令牌,并獲得訪問權。
身份聯(lián)合可以使用多種標準來實現(xiàn),比如安全聲明標記語言(SAML)、OpenID Connect和OAuth。SAML是使用最廣泛的身份聯(lián)合標準之一,它為組織在不同系統(tǒng)之間交換身份驗證和授權數(shù)據(jù)提供了一種框架。OpenID Connect和OAuth則是建立在SAML之上的新標準,提供了用戶配置文件信息和委托授權等額外功能。
身份聯(lián)合的價值
身份聯(lián)合是一種有效的方法,可以簡化跨多個系統(tǒng)的訪問管理,同時加強安全、提高工作效率。在企業(yè)數(shù)字化轉型發(fā)展和遠程辦公盛行的大趨勢下,組織將依賴越來越多的應用軟件和云計算服務來開展日常業(yè)務,而身份聯(lián)合將是一項關鍵性的支撐保障能力:
01
簡化用戶訪問管理
有了身份聯(lián)合,用戶無需為不同的應用軟件系統(tǒng)分別設置用戶登錄憑據(jù),這可以顯著減少員工工作中的密碼疲勞以及與密碼管理相關的技術支持工作。
02
加強安全性
身份聯(lián)合實現(xiàn)了對應用訪問的集中控制和管理,將進一步加強安全性。因為這意味著當用戶離開組織或角色發(fā)生變化時,管理員可以迅速撤銷其對所有關鍵業(yè)務和數(shù)據(jù)的訪問權限。
03
提高工作效率
身份聯(lián)合簡化了員工進入業(yè)務系統(tǒng)時的身份驗證過程,這可以大大減少用戶在登錄不同應用軟件和系統(tǒng)所花費的時間,從而將多余的運維保障人員轉而支撐其他關鍵任務。
04
降低管理開銷
身份聯(lián)合可以降低跨多個系統(tǒng)管理用戶訪問的管理難度,這可以大大優(yōu)化IT團隊的資源分配,從而將跟多的運維保障人員轉而支撐其他關鍵任務。
需要特別說明的是,身份聯(lián)合尤其適合那些應用多云環(huán)境的企業(yè)組織,因為每項云服務都會有一套相對應的身份管理系統(tǒng),這將會使組織難以對各項服務進行統(tǒng)一化的用戶身份管理和訪問控制。而通過身份聯(lián)合技術,可以使組織輕松跨多項云服務使用單一身份管理系統(tǒng),從而簡化管理和增強安全性。
身份聯(lián)合的關鍵因素
企業(yè)組織在實現(xiàn)身份聯(lián)合時,需要認真規(guī)劃,并在面對不同的系統(tǒng)和利益相關者時做好統(tǒng)籌協(xié)調。企業(yè)必須確保它們想要聯(lián)合的系統(tǒng)都能夠支持相同的身份管理標準和協(xié)議,還必須在IdP和各個系統(tǒng)之間建立信任關系,以確保身份驗證和授權數(shù)據(jù)的安全交換。最后,組織必須建立適當?shù)陌踩芾砗捅O(jiān)控措施,以檢測和防止未經(jīng)授權的訪問。
01
兼容性
組織必須確保自己的應用軟件和系統(tǒng)與計劃使用的身份聯(lián)合協(xié)議兼容。這可能需要升級或配置系統(tǒng)以支持相應協(xié)議。
02
信任關系
在不同的系統(tǒng)之間建立信任關系需要認真地規(guī)劃和實施。組織必須確保信任關系是安全的,并且對敏感信息的訪問已得到適當?shù)目刂啤?/p>
03
統(tǒng)一治理
身份聯(lián)合需要一套穩(wěn)健的治理框架,以確保訪問管理策略在所有應用軟件和系統(tǒng)當中保持一致性。這包括監(jiān)視和審計訪問活動,以識別和消除任何安全威脅。