什麼是聯合身份驗證? 它如何提高安全性

已發表: 2022-01-20

對於今天的許多員工來說,工作場所不再是一個固定的位置。

它可以是辦公室、客廳、通勤火車、跨大西洋航班或介於兩者之間的某個地方。 如果員工擁有合適的技術,他們可以在任何地方工作。

成功的“隨處工作”模式可讓員工輕鬆、安全地訪問員工完成工作所需的數據、應用程序和系統,無論他們身在何處或使用何種設備。

訪問(員工連接到什麼)和身份驗證(員工連接時如何證明其身份)必須是用戶友好的、提高生產力的、具有成本效益的,最重要的是,安全。

對於採用“隨時隨地工作”策略的企業,聯合身份驗證提供了一種安全、靈活的方式來減少 IT 開銷並提高員工的工作效率。

通過聯合身份驗證,單個數字身份可以解鎖員工對不同服務的訪問權限,並在無需額外密碼的情況下對其進行身份驗證。

什麼是聯合身份驗證?

像大多數人一樣,您可能需要管理數十個(甚至數百個)密碼。 基於表單的身份驗證(您可以在其中輸入用戶名和密碼進行訪問)是數字服務授予用戶訪問權限的一種廉價、簡單且熟悉的方式。

不幸的是,密碼對於 IT 管理員和員工來說也是一種麻煩。 它們很難創建,容易忘記,並且會帶來重大的安全風險。 管理不善的密碼會導致 80% 的數據洩露。

密碼提示還會擾亂員工的工作流程,並佔用增值活動的時間。 簡而言之,傳統密碼是一種將員工與工作資源聯繫起來的非常低效、脫節和不安全的方式。

聯合身份驗證重新定義了用戶身份和對數字服務的訪問。 用戶擁有由身份提供者 (IdP) 管理的數據點構建的單一數字身份。 身份提供者在使用單一數字身份時與其他應用程序和服務建立信任。

然後,員工無需每次登錄即可訪問不同域中的信息。 這不僅消除了重複登錄和密碼的需要,而且改變了員工和 IT 團隊與數字賬戶交互和管理訪問的方式。 聯合身份驗證進一步降低了工作場所 BYOD 的風險。

通過聯合身份驗證,集中管理用戶訪問和身份驗證。 所有用戶身份都在一個稱為用戶目錄的數據庫中進行管理。 這使 IT 能夠洞察和了解員工身份。

例如,IT 決定創建員工身份所需的數據點,以實現最大的安全性和準確性。 然後,聯合身份驗證建立在用戶目錄中可用的信息之上,並將該身份與每個員工的數字活動聯繫起來。

此外,IT 管理員可以設置策略並控制用戶可以訪問數據的內容、地點和時間。 當員工加入團隊或離開其他工作時,他們可以立即授予或撤銷員工訪問權限。 集中管理的身份可以解鎖對員工每天​​使用的數據、應用程序和資源的訪問權限。

所有這些額外的安全層都不會增加員工的負擔。 聯合身份驗證通過消除登錄提示和密碼來簡化用戶登錄。

一組憑據足以建立用戶的身份。 對於員工而言,聯合身份驗證意味著更少的麻煩和更快的訪問。

聯合身份的組成部分

聯合身份驗證有助於在不同技術提供商之間建立關係,實現自動識別和用戶訪問。

員工在訪問新的服務提供商時不再需要輸入單獨的用戶名和密碼。 聯合身份驗證在幕後工作,以確定用戶是誰以及他們應該有權訪問什麼。

身份提供者 (IdP) 建立用戶的身份並連接到服務提供者 (SP)。 然後,安全協議、安全斷言標記語言 (SAML) 對用戶進行身份驗證。

身份提供者

身份提供者 (IdP)是一種創建、維護和管理身份信息的技術系統。 換句話說,身份提供者建立用戶的身份以及構成這些身份的詳細信息。

這些詳細信息可以包括員工的姓名、電子郵件地址、位置、設備或瀏覽器類型,甚至是指紋數據等生物特徵信息。

一些流行的身份提供者是:

  • 谷歌
  • Facebook
  • 蘋果
  • Microsoft 的 Active Directory 聯合服務 (ADFS)。

通常,IT 團隊集中管理其網絡上的用戶身份,包括使用身份提供者的每位員工、承包商、供應商或客戶。

理想情況下,IT 應該始終知道誰需要訪問不同的服務,並確保只有這些用戶可以訪問。 但這種中央控制和管理只有在雲目錄服務到位並用作身份提供者或連接到第三方身份提供者時才有可能。

策略和安全控制允許 IT 標準化整個身份提供者的用戶訪問程序。 這意味著控制哪些用戶可以訪問特定的應用程序或服務,並根據時間、位置、資歷、部門或其他相關數據點從具有易於配置選項的集中式儀表板中阻止訪問。

有了身份提供者,IT 可以使用聯合身份管理來連接公司的身份提供者和員工使用的服務提供者。

什麼是服務提供者?

服務提供商是指在工作場所使用的任何外部應用程序、軟件或網站,它們依賴於身份提供商來識別和驗證用戶。

身份提供者不是在服務提供商處創建帳戶,而是將員工身份與後端的服務提供商聯繫起來。 一旦激活,用戶就可以在服務之間“攜帶”他們的身份,而無需重複登錄。

當用戶想要訪問外部服務時,服務提供者將身份“匹配”並與身份提供者進行訪問。 如果一切順利,IdP 通過 SAML 對用戶進行身份驗證。

SAML

安全斷言標記語言 (SAML) 是一種開放的聯合標準,它允許身份提供者代表服務提供者跨域對用戶進行身份驗證。

非營利性技術聯盟 OASIS 開發了 SAML。 它已經存在了將近二十年,是一種被廣泛採用的安全認證標準。

本質上,SAML 在身份提供者和服務提供者之間安全地傳輸身份信息。 服務提供者依靠身份提供者來驗證用戶的身份並完成認證過程。

一旦“檢查”完成,服務提供商就會為用戶加載帳戶。 服務提供者信任身份提供者知道用戶是誰以及他們可以訪問什麼。 SAML 促進了兩個實體之間的這種信任關係。

聯合身份驗證如何工作?

SAML 允許員工使用一組憑據訪問不同的域。 它將登錄過程簡化為初始登錄(對身份提供者),以便後續登錄(對服務提供者)是自動的。

以下是此過程的工作原理:

  • 用戶登錄到他們的身份提供者(例如,谷歌)。
  • 用戶向支持身份聯合的外部服務提供商發起登錄。
  • 服務提供者向其身份提供者請求用戶身份驗證。
  • 身份提供者檢查來自服務提供者的數據點以驗證用戶。
  • 身份提供者授權用戶使用服務提供者 (SAML)。
  • 用戶現在可以訪問應用程序或服務。

這些步驟幾乎是即時的,不需要任何用戶輸入。 如果用戶尚未與身份提供者建立活動會話,IdP 會提示他們使用聯合身份驗證憑據登錄。 聯合身份驗證使整個過程無縫。

聯合身份驗證與 SSO

聯合身份驗證聽起來很像單點登錄 (SSO),其中一組憑據無需密碼即可解鎖對多個服務的訪問。 但是,聯合身份驗證和 SSO 在身份管理方面存在顯著差異。

聯合身份驗證和 SSO 在促進員工在任何地方工作的辦公室模式中訪問方面發揮著不同的作用。 公司可以同時利用這兩種技術來最大限度地提高員工效率和 IT 管理員管理。

了解 SSO

與聯合身份驗證非常相似,SSO 授予授權用戶使用一組基於用戶身份和權限的登錄憑據訪問服務。 此外,SSO 提供商允許用戶同時訪問多個 Web 應用程序。

一種可視化 SSO 的方法是登錄 Gmail,然後在新標籤頁中同時打開 YouTube、Google Drive 和 Google Photos,而無需再次登錄。

您實際上是在幕後使用與初始登錄相同的憑據重新進行身份驗證。 您的身份在所有應用程序中保持不變。 SSO 是一種跨多個服務進行登錄會話的方式。

使用相同的憑據訪問您的所有帳戶似乎存在安全風險。 如果您在每次登錄時都重複使用用戶名和密碼,那就是這樣。 但是,SSO 使用像 SAML 這樣的安全協議來安全地驗證用戶身份。 這在使用 SSO 開發身份和訪問管理策略時效果最佳。

當員工使用單一密碼訪問其所有 Web 應用程序時,SAML 會識別憑據以完成登錄。 這實際上是一種安全性提升,因為 SAML 比簡短、簡單、可重複使用且易於猜測的密碼安全得多。

了解聯合身份驗證和 SSO 之間的區別

聯合身份驗證和 SSO 究竟有何不同?

聯合身份驗證和 SSO 都使用 SAML 等安全協議對用戶進行身份驗證。 與聯合身份驗證一樣,SSO 減少了員工對一個登錄事件的訪問,之後他們立即連接到其他服務,而無需進一步的登錄提示。

訪問範圍是兩者之間的主要區別。 SSO 允許單一憑證訪問組織內的不同系統,而聯合身份驗證提供對多個系統的單一訪問。

換言之,SSO 授權單點登錄到一個組織中的各種系統。 聯合身份驗證允許訪問不同公司的不同應用程序。

組織還可以使用聯合身份驗證來訪問云 SSO 提供商並利用兩者的優勢。 例如,如果公司使用 Microsoft ADFS 作為聯合身份提供商,用戶可以使用其 ADFS 憑據向雲 SSO 服務提供商進行身份驗證。

登錄雲 SSO 提供商後,用戶無需額外登錄即可啟動並立即訪問任何 Web 應用程序。 聯合身份驗證服務管理用戶對其 SSO 服務提供商的身份,而 SSO 服務提供商促進用戶訪問所有其他雲服務。

聯合身份驗證的用例和好處

任何在工作場所簡化用戶訪問的努力都需要最大限度地提高數據安全性並最大限度地減少摩擦。 當員工啟動他們的計算機或其他設備時,他們希望立即連接到他們需要的數據/應用程序/服務。

同樣,IT 管理員希望為工作場所提供快速便捷的訪問,但標準化和控制至關重要。 這就是聯合身份驗證對用戶和管理員都有利的原因。

用戶聯合身份驗證

通過聯合身份驗證,用戶可以從自動化和速度中受益。

用戶無需額外憑據即可共享對系統和資源的訪問。 因此,員工在創建和輸入憑據上花費的時間更少,從而減少了整個工作日的挫敗感。

員工也減少了因登錄提示而受到的干擾,這意味著可以更快地訪問完成任務所需的信息。 這改善了溝通並提高了生產力。

員工還可以確信他們遵循公司批准的安全協議,而不會陷入複雜的規則和繁瑣的安全檢查中。 聯合身份驗證在不犧牲安全性的情況下提供更高效、更順暢的用戶訪問。

管理員聯合身份驗證

聯合身份驗證消除了管理員的冗餘數據和系統,降低了 IT 支持成本,並提高了信息安全性。

當 IT 在中央用戶目錄中管理用戶身份時,它可以使用策略和控制來標準化整個組織的安全性。

例如,IT 可以對所有用戶應用相同的訪問和身份驗證策略。 它還可以根據用戶的角色、部門、位置、設備和其他詳細信息自定義策略。

聯合身份驗證通過將不同的系統捆綁在一起並為用戶提供跨這些系統的統一身份來整合訪問管理。 這有助於 IT 開發和維護一個中央存儲庫,作為員工訪問的“真實來源”。

消除密碼還可以減少 IT 團隊的工作量。 配置和重置用戶帳戶是其工作量的重要部分。 由於創建和管理的密碼更少,聯合身份驗證可以為更高價值的項目釋放 IT 資源。

更少的密碼也意味著減少的攻擊面和更低的違規風險。 傳統密碼構成重大安全威脅; 它們相對容易被竊取、猜測或破解。 聯合身份驗證通過使用 SAML 等安全協議替換密碼來幫助 IT 消除弱點。

輕鬆保持安全

聯合身份驗證為用戶、IT 團隊和組織提供了許多好處。 它可以幫助組織協調訪問的便利性和安全性。 實施聯合身份驗證可能是一項時間和資源投資,但從長遠來看,組織可以通過自動化身份管理節省時間和金錢。

為聯合身份管理打下堅實的基礎使 IT 團隊能夠滿足不斷變化的工作場所的需求並降低違規風險。 詳細了解在數據洩露期間該怎麼做。