在當前的辦公環境及工作模式下,尤其是BYOD的盛行,你可能很容易接受一個新說法,即企業無法再依靠傳統的防火墻對企業IT架構進行控制了。
當然,很多情況下企業的傳統防火墻還是會繼續正常工作,但是會出現越來越多例外的IT應用超越防火墻的控制范圍。另外,隨著軟件即服務(SaaS)的應用,企業的很多軟件本身就存在于于企業防火墻之外。
當代的黑客越來越多的將目光聚焦到了企業的IT架構上,并且經常會裝扮成合法用戶訪問企業網絡。而企業所要做的就是將真正的合法用戶和黑客偽裝成的用戶區分開。
要對遠程用戶提供與企業內部用戶一樣的功能,同時還要將偽裝成合法遠程用戶的黑客拒之門外,就需要企業將身份認證系統從傳統的防火墻內部直接擴展到遠程用戶的接入設備上。也就是說,身份驗證的范圍大幅度擴展了。
采用這一理念的技術,即單點登錄(single sign-on,SSO)并不是什么新技術,它一直以多種方式出現在我們周圍。
傳統的身份和接入管理服務供應商,如著名的CA, Oracle 以及 IBM等,都在多年前就已經擁有了自己的SSO系統。當時這種系統的最主要用途是幫助用戶避免記憶多個用戶名和密碼,因為一旦用戶給自己設定的用戶名和密碼過多,他們就會將這些用戶名和密碼記錄在紙上而不是腦子里,反而增加了安全風險。
但這些傳統廠商正在面對來自新的競爭對手的挑戰。這些新的競爭對手們所設計的SSO能夠支持如今越來越普遍的遠程用戶登錄,以及使用用戶自己的電子設備的登錄行為,還能夠支持被越來越多企業選擇的SaaS。
這些新興的廠商包括 Ping Identity, Okta, Symplified 以及SaaSID,而更令人刮目相看的是Imprivata公司,它已經占領了北美醫療系統SSO市場的大部分領土。
連接合法用戶和資源的橋梁
各個廠商開發單點登錄系統的目的就是為了建立一個安全的身份認證平臺,不論用戶身處何地,某個企業的IT架構都能夠延伸到用戶所在的位置。實際上,SSO系統在扮演一個身份橋梁的作用,它將合法的用戶與該用戶所需訪問的資源安全的連接起來。
這些單點登錄系統的功能遠不止這一點,在某些情況下,它的附加價值要遠大于作為身份橋梁的價值。事實上,有時候SSO甚至不需要知道用戶的身份信息就可以提供用戶所需的內容了。
比如,某個網絡用戶打算去旅游,于是他開始在旅行社網站上瀏覽。在考慮預定旅游服務前,他可能只想了解旅游的機票費用,目的地的租車費用和酒店費用等信息。SSO系統可以提供一個聯合登錄方式供用戶詢價,在用戶決定訂購旅行服務后再提供更多的信息。
在這個過程中當然會需要用戶的身份信息。而出于某些原因,用戶完全可以自己編造一個身份信息,比如隨便寫個用戶名。但是最終這個身份信息會與用戶的真實郵箱地址以及真實的支付信息相關聯。
開放更多資源
在這種情況下, SSO系統如果與其它服務相關聯,就會開始建立和改進新用戶的身份驗證過程。當新用戶的身份信息被建立,系統就會提供更多的信息給用戶,比如通過訂單系統查看用戶以前跟旅行社訂購的旅游服務記錄。
其它的交易類型,尤其是B2B的交易,需要從已有的系統中獲取身份信息。比如要獲取某個企業的員工身份信息,需要從企業內部的某個花名冊中取得,一般來說微軟的活動目錄就是這樣的一個花名冊。
不過,當要開放企業的應用給兄弟企業或外部的業務用戶,最有價值的身份信息是來自外部的,比如兄弟企業自己的內部名冊或成員數據庫。
對于消費和商業用戶來說,社交網站比如Facebook和 LinkedIn在某些情況下都是不錯的身份信息獲取渠道。
一系列的趨勢都意味著SSO系統越來越需要通過更多的資源獲取身份信息,從而對用戶身份進行確認。要讓這個過程變得盡可能簡單, SSO系統以及身份信息來源就必須實現標準化。
身份和接入管理標準
為了支持SSO系統,一系列身份和接入管理標準被制定出來,包括用于存儲身份的輕量級目錄訪問協議(LDAP),以及用于分享這些內容的安全聲明標記語言(SAML) 。對于這些標準的理解以及廠商對于該標準的支持,是評估廠商SSO系統是否合格的一個重要因素。
合格的SSO系統有能力從更廣泛的渠道獲取身份信息并將其與多種應用鏈接,使得業務過程以及供應鏈變得更加綜合和高效。
比如,汽車零售商可以連接到汽車廠商的訂單系統,法官可以連接到法院管理系統以及執法部門,都是SSO系統的例子。另外, SSO系統還可以傳遞部分管理策略,比如某個特定用戶可以訪問什么樣的資源,為不同的角色設定模板,簡化用戶的服務開通手續等。
最重要的是,當SSO系統與某個客戶的連接關系斷開后,SSO系統能夠確保該用戶訪問所有資源的權限都已經被移除了。
將用戶訪問企業IT應用和資源的范圍從企業防火墻內擴展到用戶的接入設備,會為企業帶來更多的實惠,但這企業一定要重視這個過程中的用戶接入、用戶行為監視、控制用戶和斷開用戶連接等功能。而SSO系統正是幫助企業實現這一系列功能的有效途徑。
