统一身份认证实现,推广的可能性及优缺点?

Authing
341 阅读6分钟

在这里插入图片描述 在用户名和密码诞生的初期,它被视为安全的盾牌。可在信息指数级增长的今天,一个用户拥有大量账户密码,记不住又难找回。 传统的用户名 / 口令的身份认证方式安全性低、无法满足对身份认证的高可靠性要求的需求,统一身份认证应运而生。

一、What (定义讲解)

统一身份认证是指由一个平台给所有的系统提供身份数据,从而可以使用同一套账号密码,登录所有系统,就像是拿一把钥匙打开所有的门。

作为云端的统一身份认证系统,集成了验证、授权、应用、审计等功能,是用户身份和访问管理平台,需要具备以下四个功能: (1)统一用户管理(Identification)。租户的账号、密码等信息集中存储,统一管理。 (2)身份鉴别(Authentication)。当租户想要登录某个应用系统时,验证他的票据或者身份是否合法。 (3)权限控制(Authorization)。规定允许登录系统的租户具备哪些操作权限。 (4)操作日志登记(Accountability)。记录租户的操作行为,以便事后责任追溯。

这个定义的核心在于“平台”。如果没有一个安全、中立的中央控制台来查看、管理和保护所有用户的访问权限,那么万能钥匙就会变成一张空头支票。想要保护和管理访问权限,中央控制台首先需要进行登录身份的认证。

举个例子,午夜子时,一个蒙面的黑衣人拿着银票要找银行兑付,尽管他说出了口令,银行还可能要求他回答安全问题。这就是多因素认证 MFA (Multi-factor Authentication) 的实践,也是可靠的中央控制台所必备的。

MFA 是一种身份验证方法,用户需要提供两个或两个以上的认证因素才能访问某个资源,如应用程序、在线帐户或 VPN。 兑银的例子其实是一种自适应的多因素认证,也就是基于上下文的认证。如果大白天的,一个衣冠楚楚的公子哥可能就不需要回答那么多。这种方法能针对不同场景灵活调用不同的认证因素, 平衡安全需求和用户体验。

统一身份认证就算有 MFA 技术加持,还是会有不少人担心这组唯一的账密如果被窃取了,岂不是得不偿失。

单点登录能实现一处完成登录进入所有业务系统,其余应用自动处于登录态。也就是说,过程中不需要重复登录,也不传递密码。

单点登录 SSO(Single Sign On) 是指一种思想或服务,用户只需使用一次登录凭据就可以访问其他所有被授予权限的应用。而且说到用户体验,统一身份认证已经满足不了很多企业客户的需求。如何能在验证一次账密之后,方便无缝地访问企业内的其他系统,这一点就需要 “单点登录” 来解决。

二、Where(场景构建)

企业在统一员工身份管理时,面临诸多挑战:

  1. 应用太多,员工账号密码众多,复杂难记,或设置单一,存在安全隐患。
  2. 登录入口众多,没有统一界面,切换频繁,体验差。
  3. 不同应用和员工数据之间割裂,不同设备和操作系统不兼容。
  4. 不同应用、各地分支机构,档案信息不同。

三、How(问题解决) 不管你在开发什么类型的应用 —— 内部员工 IT 系统、toC 账号体系或者是给其他开发者暴露的 API,用户认证都是其中至关重要的一环,Authing 提供了非常多的认证方式给开发者选择、组合,密码策略、登录频繁检测、自定义认证流程等都可以通过管理控制台轻松完成(这些操作基本上也可以通过 Management API 来完成)。

在整个过程中,企业经常面临如下挑战:

员工的入职、调岗、兼职、离职等,需要人工创建、删除账号;对权限、信息进行认证、变更,工作量较大,容易造成漏删、误删。员工账户又涉及正式员工、临时工、经销商、供应链伙伴等多种角色,大量的员工入职、离职的账户管理,对人力、IT 部门是一个极大的挑战。 内部应用系统众多,认证方式千奇百怪,每个系统都建立不同的账号、密码,员工难以都记住。同时,运维人员也难以实现用同一套系统,对所有人员的身份信息和同一人员的多维度字段信息进行集中安全管理。 缺乏统一审计,造成资源浪费和信息泄露隐患。 所以,企业需要构建数字身份「体系」,保障身份互联、数据互通等能力,让业务流转加速,提升企业整体效率。整合数字智能生态,通过整合企业内外部应用,实现数据、身份、业务的闭环,以「身份中台」为底座,通过「零信任」安全架构,加速企业数字化转型进程。

在这里插入图片描述

解决方案:

  1. 身份自动化:用自动化的账号生命周期管理代替手动式账号管理,人员入职-创建账号-选择部门-授权应用-授权角色-停用-离职-归档-删除,实现自动化生命周期管理。
  2. 统一用户管理:统一建立单一身份源,将身份中的属性信息同步至统一目录,向外输出唯一标准数据,便于管理。同时,Authing 统一目录支持对统一人员账户信息进行集中安全的存储和管理。
  3. 统一认证管理:Authing 在一个门户里集成了内外部多套业务系统(例如 C/S 应用、SaaS 应用等), 通过单点登录 SSO,用户只需输入一套账号密码,即可登录所有业务系统,无需在多应用之间频繁切换。
  4. 统一权限管理:Authing 提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务,帮助解决银行业当前身份权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题,打造科学的权限治理体系,整合银行资源,实现用户、应用、设备、服务器、操作系统、API 权限可管、可控和可视。
  5. 统一安全治理:Authing 搭建了风控中台及自适应决策引擎,在人员角色、受保护资源、访问策略、风险控制策略等方面,进行全链路安全审计,提升企业或组织数字化转型过程中的风险控制能力,大规模降低身份相关业务的受损风险。

在这里插入图片描述

另外,Authing 还通过可视化安全审计、多因素登录、密码管理、加密传输与存储,7 x 24 小时的安全应急响应,持续为企业和开发者提供完善安全的用户认证和访问管理服务。 在这里插入图片描述

点击链接、立刻了解 Authing!

avatar
文章
阅读
粉丝
相关推荐
探索 JWT:安全、可扩展的身份验证方案
11k阅读
 · 
24点赞
基于OpenID Connect的统一身份认证方案
736阅读
 · 
1点赞
基于令牌的统一身份认证方案
664阅读
 · 
1点赞
统一身份认证,构建数字时代的安全壁垒——统一身份认证介绍、原理和实现方法
692阅读
 · 
1点赞
统一认证服务内部设计
1.4k阅读
 · 
12点赞