什么是联合身份验证? 它如何提高安全性

已发表: 2022-01-20

对于今天的许多员工来说,工作场所不再是一个固定的位置。

它可以是办公室、客厅、通勤火车、跨大西洋航班或介于两者之间的某个地方。 如果员工拥有合适的技术,他们可以在任何地方工作。

成功的“随处工作”模式可让员工轻松、安全地访问员工完成工作所需的数据、应用程序和系统,无论他们身在何处或使用何种设备。

访问(员工连接到什么)和身份验证(员工连接时如何证明其身份)必须是用户友好的、提高生产力的、具有成本效益的,最重要的是,安全。

对于采用“随时随地工作”策略的企业,联合身份验证提供了一种安全、灵活的方式来减少 IT 开销并提高员工的工作效率。

通过联合身份验证,单个数字身份可以解锁员工对不同服务的访问权限,并在无需额外密码的情况下对其进行身份验证。

什么是联合身份验证?

像大多数人一样,您可能需要管理数十个(甚至数百个)密码。 基于表单的身份验证(您可以在其中输入用户名和密码进行访问)是数字服务授予用户访问权限的一种廉价、简单且熟悉的方式。

不幸的是,密码对于 IT 管理员和员工来说也是一种麻烦。 它们很难创建,容易忘记,并且会带来重大的安全风险。 管理不善的密码会导致 80% 的数据泄露。

密码提示还会扰乱员工的工作流程,并占用增值活动的时间。 简而言之,传统密码是一种将员工与工作资源联系起来的非常低效、脱节和不安全的方式。

联合身份验证重新定义了用户身份和对数字服务的访问。 用户拥有由身份提供者 (IdP) 管理的数据点构建的单一数字身份。 身份提供者在使用单一数字身份时与其他应用程序和服务建立信任。

然后,员工无需每次登录即可访问不同域中的信息。 这不仅消除了重复登录和密码的需要,而且改变了员工和 IT 团队与数字账户交互和管理访问的方式。 联合身份验证进一步降低了工作场所 BYOD 的风险。

通过联合身份验证,集中管理用户访问和身份验证。 所有用户身份都在一个称为用户目录的数据库中进行管理。 这使 IT 能够洞察和了解员工身份。

例如,IT 决定创建员工身份所需的数据点,以实现最大的安全性和准确性。 然后,联合身份验证建立在用户目录中可用的信息之上,并将该身份与每个员工的数字活动联系起来。

此外,IT 管理员可以设置策略并控制用户可以访问数据的内容、地点和时间。 当员工加入团队或离开其他工作时,他们可以立即授予或撤销员工访问权限。 集中管理的身份可以解锁对员工每天使用的数据、应用程序和资源的访问权限。

所有这些额外的安全层都不会增加员工的负担。 联合身份验证通过消除登录提示和密码来简化用户登录。

一组凭据足以建立用户的身份。 对于员工而言,联合身份验证意味着更少的麻烦和更快的访问。

联合身份的组成部分

联合身份验证有助于在不同技术提供商之间建立关系,实现自动识别和用户访问。

员工在访问新的服务提供商时不再需要输入单独的用户名和密码。 联合身份验证在幕后工作,以确定用户是谁以及他们应该有权访问什么。

身份提供者 (IdP) 建立用户的身份并连接到服务提供者 (SP)。 然后,安全协议、安全断言标记语言 (SAML) 对用户进行身份验证。

身份提供者

身份提供者 (IdP)是一种创建、维护和管理身份信息的技术系统。 换句话说,身份提供者建立用户的身份以及构成这些身份的详细信息。

这些详细信息可以包括员工的姓名、电子邮件地址、位置、设备或浏览器类型,甚至是指纹数据等生物特征信息。

一些流行的身份提供者是:

  • 谷歌
  • Facebook
  • 苹果
  • Microsoft 的 Active Directory 联合服务 (ADFS)。

通常,IT 团队集中管理其网络上的用户身份,包括使用身份提供者的每位员工、承包商、供应商或客户。

理想情况下,IT 应该始终知道谁需要访问不同的服务,并确保只有这些用户可以访问。 但这种中央控制和管理只有在云目录服务到位并用作身份提供者或连接到第三方身份提供者时才有可能。

策略和安全控制允许 IT 标准化整个身份提供者的用户访问程序。 这意味着控制哪些用户可以访问特定的应用程序或服务,并根据时间、位置、资历、部门或其他相关数据点从具有易于配置选项的集中式仪表板中阻止访问。

有了身份提供者,IT 可以使用联合身份管理来连接公司的身份提供者和员工使用的服务提供者。

什么是服务提供者?

服务提供商是指在工作场所使用的任何外部应用程序、软件或网站,它们依赖于身份提供商来识别和验证用户。

身份提供者不是在服务提供商处创建帐户,而是将员工身份与后端的服务提供商联系起来。 一旦激活,用户就可以在服务之间“携带”他们的身份,而无需重复登录。

当用户想要访问外部服务时,服务提供者将身份“匹配”并与身份提供者进行访问。 如果一切顺利,IdP 通过 SAML 对用户进行身份验证。

SAML

安全断言标记语言 (SAML) 是一种开放的联合标准,它允许身份提供者代表服务提供者跨域对用户进行身份验证。

非营利性技术联盟 OASIS 开发了 SAML。 它已经存在了将近二十年,是一种被广泛采用的安全认证标准。

本质上,SAML 在身份提供者和服务提供者之间安全地传输身份信息。 服务提供者依靠身份提供者来验证用户的身份并完成认证过程。

一旦“检查”完成,服务提供商就会为用户加载帐户。 服务提供者信任身份提供者知道用户是谁以及他们可以访问什么。 SAML 促进了两个实体之间的这种信任关系。

联合身份验证如何工作?

SAML 允许员工使用一组凭据访问不同的域。 它将登录过程简化为初始登录(对身份提供者),以便后续登录(对服务提供者)是自动的。

以下是此过程的工作原理:

  • 用户登录到他们的身份提供者(例如,谷歌)。
  • 用户向支持身份联合的外部服务提供商发起登录。
  • 服务提供者向其身份提供者请求用户身份验证。
  • 身份提供者检查来自服务提供者的数据点以验证用户。
  • 身份提供者授权用户使用服务提供者 (SAML)。
  • 用户现在可以访问应用程序或服务。

这些步骤几乎是即时的,不需要任何用户输入。 如果用户尚未与身份提供者建立活动会话,IdP 会提示他们使用联合身份验证凭据登录。 联合身份验证使整个过程无缝。

联合身份验证与 SSO

联合身份验证听起来很像单点登录 (SSO),其中一组凭据无需密码即可解锁对多个服务的访问。 但是,联合身份验证和 SSO 在身份管理方面存在显着差异。

联合身份验证和 SSO 在促进员工在任何地方工作的办公室模式中访问方面发挥着不同的作用。 公司可以同时利用这两种技术来最大限度地提高员工效率和 IT 管理员管理。

了解 SSO

与联合身份验证非常相似,SSO 授予授权用户使用一组基于用户身份和权限的登录凭据访问服务。 此外,SSO 提供商允许用户同时访问多个 Web 应用程序。

一种可视化 SSO 的方法是登录 Gmail,然后在新标签页中同时打开 YouTube、Google Drive 和 Google Photos,而无需再次登录。

您实际上是在幕后使用与初始登录相同的凭据重新进行身份验证。 您的身份在所有应用程序中保持不变。 SSO 是一种跨多个服务进行登录会话的方式。

使用相同的凭据访问您的所有帐户似乎存在安全风险。 如果您在每次登录时都重复使用用户名和密码,那就是这样。 但是,SSO 使用像 SAML 这样的安全协议来安全地验证用户身份。 这在使用 SSO 开发身份和访问管理策略时效果最佳。

当员工使用单一密码访问其所有 Web 应用程序时,SAML 会识别凭据以完成登录。 这实际上是一种安全性提升,因为 SAML 比简短、简单、可重复使用且易于猜测的密码安全得多。

了解联合身份验证和 SSO 之间的区别

联合身份验证和 SSO 究竟有何不同?

联合身份验证和 SSO 都使用 SAML 等安全协议对用户进行身份验证。 与联合身份验证一样,SSO 减少了员工对一个登录事件的访问,之后他们立即连接到其他服务,而无需进一步的登录提示。

访问范围是两者之间的主要区别。 SSO 允许单一凭证访问组织内的不同系统,而联合身份验证提供对多个系统的单一访问。

换言之,SSO 授权单点登录到一个组织中的各种系统。 联合身份验证允许访问不同公司的不同应用程序。

组织还可以使用联合身份验证来访问云 SSO 提供商并利用两者的优势。 例如,如果公司使用 Microsoft ADFS 作为联合身份提供商,用户可以使用其 ADFS 凭据向云 SSO 服务提供商进行身份验证。

登录云 SSO 提供商后,用户无需额外登录即可启动并立即访问任何 Web 应用程序。 联合身份验证服务管理用户对其 SSO 服务提供商的身份,而 SSO 服务提供商促进用户访问所有其他云服务。

联合身份验证的用例和好处

任何在工作场所简化用户访问的努力都需要最大限度地提高数据安全性并最大限度地减少摩擦。 当员工启动他们的计算机或其他设备时,他们希望立即连接到他们需要的数据/应用程序/服务。

同样,IT 管理员希望为工作场所提供快速便捷的访问,但标准化和控制至关重要。 这就是联合身份验证对用户和管理员都有利的原因。

用户联合身份验证

通过联合身份验证,用户可以从自动化和速度中受益。

用户无需额外凭据即可共享对系统和资源的访问。 因此,员工在创建和输入凭据上花费的时间更少,从而减少了整个工作日的挫败感。

员工也减少了因登录提示而受到的干扰,这意味着可以更快地访问完成任务所需的信息。 这改善了沟通并提高了生产力。

员工还可以确信他们遵循公司批准的安全协议,而不会陷入复杂的规则和繁琐的安全检查中。 联合身份验证在不牺牲安全性的情况下提供更高效、更顺畅的用户访问。

管理员联合身份验证

联合身份验证消除了管理员的冗余数据和系统,降低了 IT 支持成本,并提高了信息安全性。

当 IT 在中央用户目录中管理用户身份时,它可以使用策略和控制来标准化整个组织的安全性。

例如,IT 可以对所有用户应用相同的访问和身份验证策略。 它还可以根据用户的角色、部门、位置、设备和其他详细信息自定义策略。

联合身份验证通过将不同的系统捆绑在一起并为用户提供跨这些系统的统一身份来整合访问管理。 这有助于 IT 开发和维护一个中央存储库,作为员工访问的“真实来源”。

消除密码还可以减少 IT 团队的工作量。 配置和重置用户帐户是其工作量的重要部分。 由于创建和管理的密码更少,联合身份验证可以为更高价值的项目释放 IT 资源。

更少的密码也意味着减少的攻击面和更低的违规风险。 传统密码构成重大安全威胁; 它们相对容易被窃取、猜测或破解。 联合身份验证通过使用 SAML 等安全协议替换密码来帮助 IT 消除弱点。

轻松保持安全

联合身份验证为用户、IT 团队和组织提供了许多好处。 它可以帮助组织协调访问的便利性和安全性。 实施联合身份验证可能是一项时间和资源投资,但从长远来看,组织可以通过自动化身份管理节省时间和金钱。

为联合身份管理打下坚实的基础使 IT 团队能够满足不断变化的工作场所的需求并降低违规风险。 详细了解在数据泄露期间该怎么做。