您当前的位置:   首页 > 新闻中心
通过SSO提高网络安全性
发布时间:2020-07-14 19:40:48   阅读次数:

通过SSO提高网络安全性(图1)

单点登录(SSO)是一种用户身份验证服务,它使使用一组凭据的集中式会话能够访问多个应用程序。


它的优点在于其简单性-该服务可确保您在一个指定平台上进行身份验证,并允许您使用多种服务,而不必每次都登录和注销。


消费者可以通过Google、Facebook或Twitter社交网络使用SSO登录——每个平台都提供对一系列第三方服务的访问。


例如,企业可能使用SSO将用户登录到专有Web应用程序(托管在内部服务器上)或云托管的ERP系统。


正确实施SSO可以极大地提高生产力、IT监控、管理和安全控制。


使用单个安全令牌(用户名和密码),可以启用和禁用用户对多个系统、平台、应用程序和其他资源的访问。它还降低了密码丢失,遗忘和安全漏洞的风险。


一种经过深思熟虑和完善的SSO策略可以消除与密码恢复,停机时间相关的成本,减少内部威胁的风险,改善用户体验和身份验证流程,并为组织提供对用户访问的强大控制。


为什么要使用SSO?

SSO的兴起与其他显着且相互联系的趋势相吻合,包括公共云的增长、密码疲劳、新的开发方法、企业移动性以及Web和云原生应用程序。


具体来说,向云应用程序的过渡既是机遇也是障碍。根据最近的一项调查,2017年,公司平均使用17个云应用程序来支持其IT,运营和业务策略。


毫不奇怪,有61%的受访者认为访问和身份管理(IAM)如今比两年前更加困难。


Centrify EMEA首席技术官Barry Scott看到了使用SSO的两个明显原因。“首先是它通过阻止各种用户名和密码的增长来改善用户体验,自从SaaS云应用程序问世以来,这种用户名和密码的增长已令人难以置信。”


他说,第二个原因是更好的安全性。入侵的主要原因是凭据受损-您拥有的用户名和密码越多,密码卫生状况就越差。相同的密码开始在各处使用,并且它们的复杂性通常会降低,从而更容易破坏您的凭据。


Okta安全产品总监Joe Diamond认为云应用程序给IT团队带来了新的挑战。


“ IT部门面临的问题包括创建和管理用户帐户,确保准确的权限(没有冗余权限)以及确保员工离职时用户生命周期正确结束的问题。


戴蒙德说:“孤立的身份解决方案的存在使这种增长变得不可能。”


“当组织使用Office 365、Box和Slack时,并不一定意味着它要为这些服务使用三组用户名和密码。在某种程度上,SSO正在成为想要部署云解决方案的组织的先决条件。”


Diamond还指出,随时随地使用BYOD(将自己的设备用于商业目的)和工作文化的原则有助于SSO的发展。


他解释说:“人们通常是在IT部门无法控制的设备上以及在他们不可见的网络上工作。” “这使身份验证成为关键控制,必须与设备和站点无关,并且必须允许安全措施,例如连续身份验证,多因素身份验证,上下文相关的访问控制,用户行为分析等。”


SSO的好处

SSO的最大优势可能是它提供的可伸缩性。自动化的凭证管理意味着系统管理员不再需要手动担心所有员工都可以访问他们想要的服务。


结果,减少了人为错误,IT员工有更多时间从事更重要的活动。


其他好处包括快速调试云应用程序。如果SSO支持新的开放标准,例如安全性声明标记语言(SAML)2.0,则SSO管理员可以快速使用该应用程序,并将其移交给员工使用。


SSO还可以提高安全性(特别是与双因素身份验证2FA结合使用),提高生产率并减少技术支持的密码支持要求。


Scott认为IT团队和员工都将从中受益:“ SSO的主要优势当然是用户易于使用,这也减少了需要重置密码的支持热线电话数量。由于减少了凭据的风险,因此提高了安全性,但是需要多因素身份验证(MFA)来帮助窃取或猜测密码。”


此外,Scott补充说,他们的客户发现SSO使将用户添加到SaaS(软件即服务)应用程序变得更快,更容易。


“由于IT人员可以更轻松地提供访问权限,因此影子IT在组织中增长的可能性较小。良好的SSO或身份即服务解决方案使用户在请求访问新应用程序时更容易批准批准过程。”


金雅拓(现Thales)身份和访问管理副总裁Francois Lasnier补充说,过去,通过VPN提供远程网络访问,这意味着内部基础结构中的应用程序的SSO为Windows生态系统服务。


但是随着云的引入,情况已经改变。据他说,SSO可以“通过控制IT团队和让员工感到舒适来缓解压力。成功的SSO实施使IT团队可以定义谁可以在何时何地访问哪些应用程序。它提供了灵活性,使组织可以让员工在办公室时访问所有应用程序,而在远程工作时只能访问少数应用程序。”


据他介绍,SSO还可以确保公司的运营安全,同时允许员工舒适地工作。结合SSO风险管理机制,可以提高访问安全性并降低入侵风险。


Okta公司的Diamond公司为客户提供了一个例子:20世纪福克斯公司需要寻找一种方法来改善其创作过程,并向数千名员工,供应商和合作伙伴分配产品,同时保护价值数百万美元的知识产权(IP)。


Diamond表示,凭借其身份管理平台,Fox能够为22,000名员工和数百个业务合作伙伴部署解决方案,并为在不同位置和设施类型中工作的团队提供便捷的访问权限。此外,IT部门还概述了谁在登录,并使内部和外部团队更容易配置用户。


SSO实施

在技术套件通常会威胁公共云和内部基础架构的IAM环境中,组织应如何实施SSO?Scott建议组织使用以下过程:

  1. 定义一个应用程序列表,并确定谁将受到影响。

  2. 如果您的应用程序不支持SSO,请考虑它们是否对您有帮助。向SSO询问您的供应商。

  3. 确定用户身份的主要来源(通常是Microsoft Active Directory,但可以是LDAP,Google Directory或其他名称)。

  4. 定义SSO解决方案所需的应用程序和策略。

  5. 确定谁需要访问哪些应用程序。

  6. 最好基于分组而不是单个定义来授予对应用程序的访问权限。这应该允许现有的组管理过程在将来定义对应用程序的访问。

  7. 在项目计划和变更控制允许的范围内添加应用程序。


金雅拓公司的Lasnier补充说:“组织需要重新考虑其当前的身份验证方案。对于某些人来说,这可能意味着要使用几种不同的方案,通常取决于部门或使用目的。”


但是,如果公司正在部署的解决方案不能支持所有正在使用的应用程序,或者实现成本太高,那么所有这些都不重要。


更换使用的解决方案可能会非常昂贵,因此公司需要找到一种将它们组合到单个管理解决方案中并实现可伸缩性以进行安全的云迁移的方法。


但是Diamond也要求在较旧的应用程序中保持谨慎。“关键是确保灵活性而不失妥协。对于许多人来说,Active Directory将仍然是数据源,但请不要误解:到处都有旧的应用程序。您还需要支持RADIUS和LDAP的能力,例如,解决大多数企业将要使用的重要用例。”


可能的问题

但是,假设SSO是一种奇迹疗法,那将是一个错误。SSO实施中存在问题的领域包括成本、控制、标准化(SAML与OAuth)和漏洞。


例如,今年早些时候,一个公开的SAML身份验证错误使攻击者可以像攻击者一样登录到服务器或服务。据研究人员称,OAuth中的其他漏洞可能导致攻击者能够登录受害者的移动应用程序帐户并获得控制。


Scott还看到兼容性问题-某些应用程序不支持SSO。“用户必须要求其应用程序供应商通过SAML、Kerberos等来支持SSO的本机功能,并且不强制使用人们需要注意的其他用户名和密码。” MFA和SSO也必须共同努力。


但是他确信SSO的前途一片光明。斯科特说:“使用零信任安全方法将产生部署SSO的额外需求,以便用户可以在任何地方和任何设备上工作。”


“我们将看到其他供应商将如何在其产品中增加SSO支持,以及由于可能会遇到单点登录泄漏而使MFA的使用量增加。”



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609