本文来自微信公众号“安全牛”。
在当今的数字时代,组织依赖各种应用软件和系统开展业务运营。然而,想要实现跨多个系统的用户身份管理和访问控制是一项非常复杂又具挑战性的工作。而身份联合(identity federation)技术则为增强所有应用系统的身份管理和验证提供了一种新的解决思路。
什么是身份联合?
身份联合是一种创新的身份安全管理机制,可以让不同的身份管理系统以安全、快捷、标准化的方式共享身份验证和授权信息,只需要使用一个统一凭据就能访问多个应用软件或系统,而不必再登录每一个系统分别进行核验。这不仅改善了用户体验,还可以减轻跨多个系统验证用户身份和访问时的管理负担。
身份联合允许在不同的身份管理系统之间共享身份验证和授权数据,其技术核心是建立一个集中管理和存储用户身份信息(包括身份验证凭据)的中央身份提供者(IdP),负责统一颁发安全令牌,其中包含有用户身份和权限方面的信息,这些信息也可用于访问其他应用软件或系统。
在身份联合场景下,中央身份提供者(IdP)会统一管理和存储用户的身份信息,包括其身份验证凭据。当用户试图访问联合的应用软件或系统时,IdP验证用户的身份,并颁发安全令牌,其中含有用户及权限方面的信息。然后用户将此令牌出示给应用软件或系统,以获得访问权限。
企业应用身份联合技术的终极目标,就是要在不同的系统之间建立信任关系。这可以通过使用标准协议来实现,并统一定义如何在不同的系统之间交换信息。实现这个过程包括以下几个步骤:
当用户试图访问联合的应用软件或系统,系统会将用户重定向到IdP进行身份验证;
IdP验证用户的身份,并颁发含有用户身份和权限方面信息的安全令牌;
用户向不同的应用软件或系统出示安全令牌,并获得访问权。
身份联合可以使用多种标准来实现,比如安全声明标记语言(SAML)、OpenID Connect和OAuth。SAML是使用最广泛的身份联合标准之一,它为组织在不同系统之间交换身份验证和授权数据提供了一种框架。OpenID Connect和OAuth则是建立在SAML之上的新标准,提供了用户配置文件信息和委托授权等额外功能。
身份联合的价值
身份联合是一种有效的方法,可以简化跨多个系统的访问管理,同时加强安全、提高工作效率。在企业数字化转型发展和远程办公盛行的大趋势下,组织将依赖越来越多的应用软件和云计算服务来开展日常业务,而身份联合将是一项关键性的支撑保障能力:
01
简化用户访问管理
有了身份联合,用户无需为不同的应用软件系统分别设置用户登录凭据,这可以显著减少员工工作中的密码疲劳以及与密码管理相关的技术支持工作。
02
加强安全性
身份联合实现了对应用访问的集中控制和管理,将进一步加强安全性。因为这意味着当用户离开组织或角色发生变化时,管理员可以迅速撤销其对所有关键业务和数据的访问权限。
03
提高工作效率
身份联合简化了员工进入业务系统时的身份验证过程,这可以大大减少用户在登录不同应用软件和系统所花费的时间,从而将多余的运维保障人员转而支撑其他关键任务。
04
降低管理开销
身份联合可以降低跨多个系统管理用户访问的管理难度,这可以大大优化IT团队的资源分配,从而将跟多的运维保障人员转而支撑其他关键任务。
需要特别说明的是,身份联合尤其适合那些应用多云环境的企业组织,因为每项云服务都会有一套相对应的身份管理系统,这将会使组织难以对各项服务进行统一化的用户身份管理和访问控制。而通过身份联合技术,可以使组织轻松跨多项云服务使用单一身份管理系统,从而简化管理和增强安全性。
身份联合的关键因素
企业组织在实现身份联合时,需要认真规划,并在面对不同的系统和利益相关者时做好统筹协调。企业必须确保它们想要联合的系统都能够支持相同的身份管理标准和协议,还必须在IdP和各个系统之间建立信任关系,以确保身份验证和授权数据的安全交换。最后,组织必须建立适当的安全管理和监控措施,以检测和防止未经授权的访问。
01
兼容性
组织必须确保自己的应用软件和系统与计划使用的身份联合协议兼容。这可能需要升级或配置系统以支持相应协议。
02
信任关系
在不同的系统之间建立信任关系需要认真地规划和实施。组织必须确保信任关系是安全的,并且对敏感信息的访问已得到适当的控制。
03
统一治理
身份联合需要一套稳健的治理框架,以确保访问管理策略在所有应用软件和系统当中保持一致性。这包括监视和审计访问活动,以识别和消除任何安全威胁。