在当前的办公环境及工作模式下,尤其是BYOD的盛行,你可能很容易接受一个新说法,即企业无法再依靠传统的防火墙对企业IT架构进行控制了。
当然,很多情况下企业的传统防火墙还是会继续正常工作,但是会出现越来越多例外的IT应用超越防火墙的控制范围。另外,随着软件即服务(SaaS)的应用,企业的很多软件本身就存在于于企业防火墙之外。
当代的黑客越来越多的将目光聚焦到了企业的IT架构上,并且经常会装扮成合法用户访问企业网络。而企业所要做的就是将真正的合法用户和黑客伪装成的用户区分开。
要对远程用户提供与企业内部用户一样的功能,同时还要将伪装成合法远程用户的黑客拒之门外,就需要企业将身份认证系统从传统的防火墙内部直接扩展到远程用户的接入设备上。也就是说,身份验证的范围大幅度扩展了。
采用这一理念的技术,即单点登录(single sign-on,SSO)并不是什么新技术,它一直以多种方式出现在我们周围。
传统的身份和接入管理服务供应商,如著名的CA, Oracle 以及 IBM等,都在多年前就已经拥有了自己的SSO系统。当时这种系统的最主要用途是帮助用户避免记忆多个用户名和密码,因为一旦用户给自己设定的用户名和密码过多,他们就会将这些用户名和密码记录在纸上而不是脑子里,反而增加了安全风险。
但这些传统厂商正在面对来自新的竞争对手的挑战。这些新的竞争对手们所设计的SSO能够支持如今越来越普遍的远程用户登录,以及使用用户自己的电子设备的登录行为,还能够支持被越来越多企业选择的SaaS。
这些新兴的厂商包括 Ping Identity, Okta, Symplified 以及SaaSID,而更令人刮目相看的是Imprivata公司,它已经占领了北美医疗系统SSO市场的大部分领土。
连接合法用户和资源的桥梁
各个厂商开发单点登录系统的目的就是为了建立一个安全的身份认证平台,不论用户身处何地,某个企业的IT架构都能够延伸到用户所在的位置。实际上,SSO系统在扮演一个身份桥梁的作用,它将合法的用户与该用户所需访问的资源安全的连接起来。
这些单点登录系统的功能远不止这一点,在某些情况下,它的附加价值要远大于作为身份桥梁的价值。事实上,有时候SSO甚至不需要知道用户的身份信息就可以提供用户所需的内容了。
比如,某个网络用户打算去旅游,于是他开始在旅行社网站上浏览。在考虑预定旅游服务前,他可能只想了解旅游的机票费用,目的地的租车费用和酒店费用等信息。SSO系统可以提供一个联合登录方式供用户询价,在用户决定订购旅行服务后再提供更多的信息。
在这个过程中当然会需要用户的身份信息。而出于某些原因,用户完全可以自己编造一个身份信息,比如随便写个用户名。但是最终这个身份信息会与用户的真实邮箱地址以及真实的支付信息相关联。
开放更多资源
在这种情况下, SSO系统如果与其它服务相关联,就会开始建立和改进新用户的身份验证过程。当新用户的身份信息被建立,系统就会提供更多的信息给用户,比如通过订单系统查看用户以前跟旅行社订购的旅游服务记录。
其它的交易类型,尤其是B2B的交易,需要从已有的系统中获取身份信息。比如要获取某个企业的员工身份信息,需要从企业内部的某个花名册中取得,一般来说微软的活动目录就是这样的一个花名册。
不过,当要开放企业的应用给兄弟企业或外部的业务用户,最有价值的身份信息是来自外部的,比如兄弟企业自己的内部名册或成员数据库。
对于消费和商业用户来说,社交网站比如Facebook和 LinkedIn在某些情况下都是不错的身份信息获取渠道。
一系列的趋势都意味着SSO系统越来越需要通过更多的资源获取身份信息,从而对用户身份进行确认。要让这个过程变得尽可能简单, SSO系统以及身份信息来源就必须实现标准化。
身份和接入管理标准
为了支持SSO系统,一系列身份和接入管理标准被制定出来,包括用于存储身份的轻量级目录访问协议(LDAP),以及用于分享这些内容的安全声明标记语言(SAML) 。对于这些标准的理解以及厂商对于该标准的支持,是评估厂商SSO系统是否合格的一个重要因素。
合格的SSO系统有能力从更广泛的渠道获取身份信息并将其与多种应用链接,使得业务过程以及供应链变得更加综合和高效。
比如,汽车零售商可以连接到汽车厂商的订单系统,法官可以连接到法院管理系统以及执法部门,都是SSO系统的例子。另外, SSO系统还可以传递部分管理策略,比如某个特定用户可以访问什么样的资源,为不同的角色设定模板,简化用户的服务开通手续等。
最重要的是,当SSO系统与某个客户的连接关系断开后,SSO系统能够确保该用户访问所有资源的权限都已经被移除了。
将用户访问企业IT应用和资源的范围从企业防火墙内扩展到用户的接入设备,会为企业带来更多的实惠,但这企业一定要重视这个过程中的用户接入、用户行为监视、控制用户和断开用户连接等功能。而SSO系统正是帮助企业实现这一系列功能的有效途径。