对于今天的许多员工来说,工作场所不再是固定的地点。
它可以是一间办公室,一间客厅,一辆通勤火车,一次跨大西洋的航班,或者介于两者之间的某个地方。如果有合适的技术,员工可以在任何地方工作。
一个成功的在任何地方工作Model提供了方便、安全的访问数据、应用程序和员工工作所需的系统,无论他们位于何处或使用何种设备。
访问(员工连接到什么)和身份验证(当他们连接时如何证明员工身份)必须是用户友好的、提高生产力的、经济高效的,最重要的是安全的。
对于采用“随时随地工作”策略的企业,联邦身份验证提供了一种安全、灵活的方式来减少IT开销并提高员工的工作效率。
使用联邦身份验证,单个数字身份可以解锁员工对不同服务的访问,并且无需额外密码即可对其进行身份验证。
什么是联合身份验证?
和大多数人一样,你可能需要管理几十个、甚至数百个密码。基于表单的身份验证,即输入用户名和密码进行访问,是数字服务授予用户访问权限的一种廉价、简单和熟悉的方式。
不幸的是,对于IT管理员和员工来说,密码也是一个麻烦。它们很难创建,很容易忘记,并构成重大的安全风险。密码管理不善导致80%的数据泄露.
密码提示还扰乱了员工的工作流程,占用了他们从事增值活动的时间。简单地说,传统密码是一种非常低效、脱节且不安全的连接员工与工作资源的方式。
联邦身份验证重新定义了用户身份和对数字服务的访问。用户拥有一个由身份提供者(IdP)管理的数据点构建的单一数字身份。身份提供者在使用单一数字身份时与其他应用程序和服务建立信任关系。
员工可以访问不同域中的信息,而不必每次都登录。这不仅消除了重复登录和密码的需要,而且还改变了员工和IT团队与数字帐户交互和管理访问的方式。联邦身份验证进一步减少工作场所自带物品的风险.
通过联邦身份验证,可以集中管理用户访问和身份验证。所有用户身份都在一个称为用户目录的数据库中管理。这使IT能够洞察和查看员工身份。
例如,IT决定创建员工身份所需的数据点,以获得最大的安全性和准确性。然后,联邦身份验证建立在用户目录中可用的信息之上,并将该身份与每个员工的数字活动联系起来。
此外,IT管理员还可以对用户访问数据的内容、位置和时间设置策略和控制。当员工加入团队或跳槽时,他们可以立即授予或撤销员工访问权限。一个集中管理的身份可以解锁对数据、应用程序和员工每天使用的资源的访问。
所有这些额外的安全层并不会增加员工的负担。联邦身份验证通过消除登录提示和密码简化了用户登录。
一组凭据足以建立用户的身份。对于员工来说,联邦身份验证意味着更少的麻烦和更快的访问。
联邦标识的组件
联邦身份验证有助于建立不同技术提供者之间的关系,支持自动识别和用户访问。
员工访问新的服务提供商时,不再需要输入单独的用户名和密码。联邦身份验证在幕后工作,以确定用户是谁以及他们应该访问哪些内容。
标识提供者(IdP)建立用户的标识并连接到服务提供者(SP)。安全协议安全断言标记语言(SAML)然后对用户进行身份验证。
身份提供商
身份提供者(IdP)是一种创建、维护和管理身份信息的技术系统。换句话说,身份提供者建立用户的身份以及组成这些身份的详细信息。
这些详细信息包括员工的姓名、电子邮件地址、位置、设备或浏览器类型,甚至是指纹数据等生物特征信息。
一些流行的身份提供者是:
- 谷歌
- 脸谱网
- 苹果
- 微软的活动目录联合服务(ADFS)。
通常,IT团队集中管理其网络上的用户身份,包括使用身份提供者的每个员工、承包商、供应商或客户端。
理想情况下,IT应该始终知道谁需要访问不同的服务,并确保只有这些用户拥有访问权限。但这种集中控制和管理只有在云目录服务作为标识提供程序或连接到第三方标识提供程序。
策略和安全控制允许IT跨身份提供者标准化用户访问过程。这意味着控制哪些用户可以访问特定的应用程序或服务,并根据时间、位置、资历、部门或其他相关数据点阻止访问,通过一个集中的仪表板,并提供易于配置的选项。
有了标识提供程序,IT就可以使用联邦身份管理连接他们公司的身份提供者和他们的员工使用的服务提供者。
什么是服务提供者?
服务提供商是指工作场所中使用的任何外部应用程序、软件或网站,它们依赖于身份提供者来识别和验证用户。
身份提供者不使用服务提供者创建帐户,而是在后端将员工身份与服务提供者链接起来。一旦激活,用户就可以“携带”他们的身份从一个服务到另一个服务,而无需重复登录。
当用户希望访问外部服务时,服务提供者将标识和访问与标识提供者“匹配”。如果一切正常,IdP将通过SAML对用户进行身份验证。
SAML
安全断言标记语言(SAML)是一种开放的联合标准,允许身份提供者代表服务提供者跨域对用户进行身份验证。
非营利技术联盟OASIS开发了SAML。它已经存在了近20年,是一种被广泛采用的安全认证标准。
实质上,SAML在身份提供者和服务提供者之间安全地传输身份信息。服务提供者依赖于身份提供者来验证用户的身份并完成身份验证过程。
一旦“检查”完成,服务提供者就为用户加载帐户。服务提供者相信身份提供者知道用户是谁以及他们可以访问什么。SAML促进了两个实体之间的信任关系。
联邦身份验证如何工作?
SAML允许员工使用一组凭据访问不同的域。它将登录过程简化为初始登录(到标识提供程序),以便后续登录(到服务提供程序)是自动的。
这个过程是这样的:
- 用户登录到他们的身份提供者(例如,谷歌)。
- 用户向支持身份联合的外部服务提供者发起登录。
- 服务提供者向其身份提供者请求用户身份验证。
- 标识提供者检查来自服务提供者的数据点以验证用户。
- 标识提供者将用户授权给服务提供者(SAML)。
- 用户现在可以访问应用程序或服务。
这些步骤几乎是即时的,不需要任何用户输入。如果用户还没有与标识提供程序的活动会话,IdP将提示他们使用联邦身份验证凭据登录。联邦身份验证使整个过程无缝对接。
联合身份验证vs. SSO
联邦身份验证听起来很像单点登录(SSO),其中一组凭据无需密码即可解锁对多个服务的访问。但是,联合身份验证和SSO在身份管理方面有很大不同。
联邦身份验证和SSO在促进随时工作的办公室模型中的员工访问方面发挥着不同的作用。公司可以同时利用这两种技术来最大限度地提高员工效率和IT管理。
理解SSO
与联邦身份验证非常类似,SSO根据用户的身份和权限,通过一组登录凭据向授权用户授予对服务的访问权。此外,SSO提供者允许用户同时访问多个web应用程序。
一种可视化SSO的方法是登录Gmail,然后在新选项卡中同时打开YouTube、谷歌Drive和谷歌Photos,而无需再次登录。
您实际上是在幕后使用与初始登录相同的凭据重新进行身份验证。你的身份在所有应用程序中保持不变。SSO是跨多个服务进行登录会话的一种方式。
使用相同的凭证访问所有帐户似乎存在安全风险。如果你在每次登录时重复使用用户名和密码,就会出现这种情况。但是,SSO使用SAML之类的安全协议安全地对用户进行身份验证。这种方法在开发使用SSO的身份和访问管理策略.
当员工使用单一密码访问所有web应用程序时,SAML会识别凭据来完成登录。这实际上是一种安全性提升,因为SAML比短、简单、重用和容易猜到的密码要安全得多。
理解联邦身份验证和SSO之间的区别
联合身份验证和SSO究竟有什么不同?
联邦身份验证和SSO都使用SAML等安全协议对用户进行身份验证。与联邦身份验证一样,SSO减少了员工对一个登录事件的访问,在此之后,他们立即连接到其他服务,而无需进一步的登录提示。
访问范围是两者之间的主要区别。SSO允许一个凭证访问组织内的不同系统,而联邦身份验证提供对多个系统的单一访问。
换句话说,SSO授权到一个组织中的各个系统的单点登录。联邦身份验证允许访问不同公司中的不同应用程序。
组织还可以使用联合身份验证来访问云SSO提供者,并利用两者的好处。例如,如果公司使用Microsoft ADFS作为联邦身份提供者,用户可以使用他们的ADFS凭证向云SSO服务提供者进行身份验证。
一旦登录到云SSO提供商,用户就可以启动并立即访问任何web应用程序,而无需额外的登录。联邦身份验证服务将用户的身份管理到其SSO服务提供者,SSO服务提供者为用户访问所有其他云服务提供便利。
联邦身份验证的用例和好处
任何简化工作场所用户访问的努力都需要最大化数据安全尽量减少摩擦。当员工打开电脑或其他设备时,他们希望立即连接到所需的数据/应用程序/服务。
同样,IT管理员希望为工作场所提供快速方便的访问,但标准化和控制是至关重要的。这就是为什么联邦身份验证对用户和管理员都有好处。
用户的联合身份验证
使用联邦身份验证,用户可以从自动化和速度中获益。
用户可以共享对系统和资源的访问,而无需额外的凭证。因此,员工花在创建和输入凭证上的时间更少,从而减少了整个工作日的挫败感。
此外,员工也很少会受到登录提示的干扰,这意味着他们可以更快地获取完成任务所需的信息。这样可以改善沟通,提高工作效率。
员工也可以确信,他们遵循公司批准的安全协议,而不会陷入复杂的规则和繁琐的安全检查。联邦身份验证提供了更高效、更流畅的用户访问,而不会牺牲安全性。
管理员的联邦身份验证
联邦身份验证消除了管理员的冗余数据和系统,降低了IT支持成本,并增强了功能信息安全.
当IT在中央用户目录中管理用户身份时,它可以使用策略和控制来标准化整个组织的安全性。
例如,IT可以对所有用户应用相同的访问和认证策略。它还可以根据用户的角色、部门、位置、设备和其他粒度细节定制策略。
联邦身份验证通过将不同的系统捆绑在一起并在这些系统中为用户提供统一的身份来巩固访问管理。这有助于IT开发和维护一个中央存储库,作为员工访问的“真相来源”。
消除密码还可以减少IT团队的工作量。配置和重置用户帐户是其工作负载的重要部分。由于需要创建和管理的密码更少,联邦身份验证可以为更高价值的项目释放IT资源。
更少的密码也意味着更少的攻击面和更低的泄露风险。传统密码构成了严重的安全威胁;相对来说,它们很容易被偷、猜或破解。联邦身份验证通过使用SAML等安全协议替换密码来帮助IT消除弱点。
安心无忧
联邦身份验证为用户、IT团队和组织提供了许多好处。它帮助组织协调访问的便利性和安全性。实现联邦身份验证可能需要时间和资源投资,但从长远来看,组织可以通过自动化身份管理节省时间和金钱。
为联邦身份管理构建坚实的基础,使IT团队能够满足不断变化的工作场所的需求,并降低泄露风险。了解更多关于在数据被破坏。
