mg游戏-mg游戏大厅

mg游戏-mg游戏大厅

跳到内容

什么是联邦身份验证? 如何提高安全性

2022年1月20日

联合身份验证

对于今天的许多员工来说,工作场所不再是一个固定的地点.

它可以是一个办公室, 一个起居室, 一个通勤列车, 跨大西洋航班, 或者两者之间. 如果有合适的技术,员工可以在任何地方工作.

一个成功的 在任何地方工作 模型提供了简单和安全的数据访问, 应用程序, 系统员工需要做好他们的工作, 无论他们的位置或设备.

访问(员工连接到什么)和身份验证(在他们连接时如何验证员工身份)必须是用户友好的, 提高生产率, 有成本效益的, 最重要的是, 安全. 

适用于支持“随时随地工作”政策的企业, 联合身份验证提供了一个安全的, 以灵活的方式减少IT开销,提高员工生产力.

与联合身份验证, 一个单一的数字身份就可以解锁员工对不同服务的访问,并且无需额外的密码就可以对其进行身份验证. 

什么是联邦身份验证?

和大多数人一样,您可能有几十个(如果不是几百个的话)密码需要管理. 基于表单的认证, 在哪里输入用户名和密码访问, 是一种廉价的, 容易, 数字服务授予用户访问权限的方式也很熟悉. 

不幸的是,对于IT管理员和员工来说,密码也是一个麻烦. 它们很难创建,很容易忘记,并构成重大的安全风险. 管理不善的密码导致 80%的数据泄露.

密码提示还会打乱员工的工作流程,占用增值活动的时间. 简单地说, 传统的密码效率非常低, 脱节的, 也是连接员工和工作mg游戏大厅的不安全方式.

联邦身份验证将重新定义用户身份和对数字服务的访问. 用户拥有一个数字身份,该身份由身份提供者(IdP)管理的数据点构建。. 身份提供者在使用单个数字身份时与其他应用程序和服务建立信任. 

员工可以访问不同域中的信息,而不必每次都登录. 这不仅消除了重复登录和密码的需要,还改变了员工和IT团队与数字账户互动和管理访问的方式. 联邦身份验证进一步减少了 工作场所自带食物的风险.

通过联合身份验证,可以集中管理用户访问和身份验证. 所有用户身份都在一个称为用户目录的数据库中管理. 这使IT部门能够洞察和了解员工身份. 

例如, IT决定创建员工身份所需的数据点,以获得最大的安全性和准确性. 然后,联邦身份验证以用户目录中可用的信息为基础,并将该身份与每个员工的数字活动绑定在一起.

除了, IT管理员可以设置策略和控制内容, 在哪里, 以及用户何时可以访问数据. 当员工加入团队或跳槽时,他们可以在接到通知后立即授予或撤销员工访问权限. 统一管理的身份可以解锁员工每天使用的数据、应用程序和mg游戏大厅.

所有这些额外的安全层不会增加员工的负担. 联合身份验证消除了登录提示和密码,从而简化了用户登录.

一组凭据就足以建立用户的身份. 对于员工来说,联合身份验证意味着更少的麻烦和更快的访问.

联邦恒等式的组成部分

联邦身份验证有助于建立不同技术提供者之间的关系, 启用自动识别和用户访问功能.

员工在访问新的服务提供商时,不再需要输入单独的用户名和密码. 联邦身份验证在幕后工作,以确定用户是谁以及他们应该访问哪些内容. 

身份提供者(IdP)建立用户的身份,并连接到服务提供者(SP).  然后使用安全协议,即安全断言标记语言(security Assertion Markup Language, SAML)对用户进行身份验证.

身份提供商 

身份提供商(IdP) 是创建、维护和管理身份信息的技术系统吗. 换句话说, 身份提供者建立用户的身份以及组成这些身份的详细信息. 

这些细节可以包括员工的姓名, 电子邮件地址, 位置, 设备或浏览器类型, 甚至像指纹数据这样的生物特征信息. 

一些流行的身份提供者包括:

  • 谷歌
  • 脸谱网
  • 苹果
  • 微软的活动目录联合服务(ADFS).

通常, IT团队集中管理他们网络上的用户身份, 包括每一个员工, 承包商, 供应商, 或者使用标识提供程序的客户机.

在理想的情况下, IT部门应该始终知道谁需要访问不同的服务,并确保只有这些用户有访问权限. 但这种集中控制和管理只有在一个 云计算目录服务 是作为身份提供者使用,还是连接到第三方身份提供者. 

策略和安全控制允许IT对跨身份提供者的用户访问过程进行标准化. 这意味着要控制哪些用户可以访问特定的应用或服务,并根据时间限制访问, 位置, 资历, 部门, 或者其他相关的数据点, 从一个集中的仪表盘与易于配置的选项.

有了标识提供者,IT就可以使用 联合身份管理 连接公司的身份提供者和员工使用的服务提供者. 

什么是服务提供者?

 

服务提供商指的是任何外部应用程序, 软件, 或者在工作场所使用的网站,它依赖于身份提供者来识别和认证用户. 

而不是通过服务提供者创建帐户, 标识提供程序将员工标识与后端上的服务提供程序链接起来. 一旦激活,用户可以“携带”他们的身份从一个服务到另一个服务,而不需要重复登录. 

当用户需要访问外部服务时, 服务提供者与标识提供者“匹配”标识和访问. 如果一切都签出,则IdP通过SAML对用户进行身份验证. 

SAML 

安全断言标记语言(Security Assertion Markup Language, SAML)是一种开放联邦标准,允许身份提供者代表服务提供者跨域对用户进行身份验证.

非营利性技术联盟OASIS开发了SAML. 它已经存在了将近20年,是一种被广泛采用的安全认证标准.

本质上, SAML在标识提供者和服务提供者之间安全地传输标识信息. 服务提供者依赖身份提供者来验证用户的身份并完成身份验证过程.

一旦“检查”完成,服务提供者就为用户加载帐户. 服务提供者相信身份提供者知道用户是谁以及他们可以访问什么. SAML促进了两个实体之间的信任关系.

联邦身份验证是如何工作的?

SAML允许员工用一组凭据访问不同的域. 它将登录过程简化为首次登录(到标识提供者),以便后续登录(到服务提供者)是自动的.

以下是这个过程的工作原理:

  • 用户登录到他们的身份提供者(例如,谷歌).
  • 用户向支持身份联合的外部服务提供商发起登录. 
  • 服务提供者向其身份提供者请求用户身份验证.
  • 身份提供者检查来自服务提供者的数据点以验证用户.
  • 身份提供者将用户授权给服务提供者(SAML).
  • 用户现在可以访问应用程序或服务.

这些步骤几乎是即时的,不需要任何用户输入. 如果用户还没有与标识提供者进行活动会话, IdP会提示他们使用他们的联邦身份验证凭证登录. 联邦身份验证使得整个过程无缝衔接.

联合身份验证和. SSO

联邦身份验证听起来很像 单点登录(SSO)在这里,一组凭据可以解锁对多个服务的访问而无需密码. 但是,联邦身份验证和SSO在身份管理方面有很大的不同. 

联邦身份验证和SSO在便利员工访问工作地点办公模型中扮演不同的角色. 公司可以同时利用这两种技术来最大化员工效率和IT管理.

理解SSO

很像联邦身份验证, SSO根据用户的身份和权限向被授权的用户授予一组登录凭据来访问服务. 此外, SSO提供者 允许用户同时访问多个web应用程序. 

一种可视化SSO的方法是登录到Gmail,然后同时打开YouTube, 谷歌驱动, 和谷歌照片在新的标签没有登录再次.

实际上,您需要使用与初始登录相同的凭据在后台重新验证身份. 你的身份在所有应用程序中保持不变. SSO是一种跨多个服务承载登录会话的方法.

使用相同的凭据访问您的所有帐户似乎存在安全风险. 如果每次登录都重复使用用户名和密码,就会出现这种情况. 但是,SSO使用类似于SAML的安全协议来安全地验证用户. 当开发一个 使用SSO的身份和访问管理策略.

当员工使用一个密码访问他们所有的网络应用程序, SAML识别凭据以完成登录. 这实际上是一个安全提升, 因为SAML比short安全得多, 简单的, 重用, 和容易猜测的密码.

了解联合身份验证和SSO之间的区别

联邦身份验证和SSO到底有什么不同? 

联合身份验证和单点登录都使用类似于SAML的安全协议对用户进行身份验证. 和联邦身份验证一样, SSO减少了员工对一个登录事件的访问, 之后,他们立即连接到其他服务,而不需要进一步的登录提示.

访问范围是两者之间的主要区别. SSO允许一个凭据访问组织中的不同系统, 而联合身份验证提供了对多个系统的单一访问.

换句话说,SSO授权到一个组织中的各种系统的单点登录. 联合身份验证允许访问不同公司中的不同应用程序.

组织还可以使用联合身份验证来访问云SSO提供商,并利用两者的好处. 例如, 如果公司使用Microsoft ADFS作为联邦身份提供者, 用户可以使用他们的ADFS凭证向云SSO服务提供商进行身份验证. 

一旦登录到云SSO提供商, 用户可以启动并立即访问任何web应用程序,而不需要额外的登录. 联合身份验证服务将用户的身份管理到他们的SSO服务提供者, SSO服务提供商方便用户访问所有其他云服务.

联合身份验证的用例和好处

任何在工作场所简化用户访问的努力都需要最大化 数据安全 ,减少摩擦. 当员工启动电脑或其他设备时, 他们想要立即连接到他们需要的数据/应用/服务.

同样的, IT管理员希望为工作场所提供快速、方便的访问, 但是标准化和控制是至关重要的. 这就是为什么联合身份验证对用户和管理员都有好处.

用户联合身份验证

使用联邦身份验证,用户可以从自动化和速度中获益. 

用户可以共享对系统和mg游戏大厅的访问而不需要额外的凭据. 作为一个结果, 员工花在创建和输入凭证上的时间更少, 从而减少整个工作日的沮丧. 

员工也很少受到登录提示的干扰, 这意味着可以更快地获取完成任务所需的信息. 这可以改善沟通,提高工作效率. 

员工也可以相信,他们遵守了公司批准的安全协议,而不会陷入复杂的规则和繁琐的安全检查. 联合身份验证在不牺牲安全性的前提下提供了更高效、更流畅的用户访问.

管理员的联合身份验证

联合身份验证为管理员消除了冗余数据和系统, 降低IT支持成本, 并增加 信息安全

当IT在一个中心用户目录中管理用户身份时, 它可以使用策略和控制来标准化整个组织的安全性.

例如,IT可以对所有用户应用相同的访问和认证策略. 还可以根据用户的角色自定义策略, 部门, 位置, 设备, 以及其他细节. 

联合身份验证通过将不同的系统捆绑在一起,并为用户提供跨这些系统的统一身份,从而巩固了访问管理. 这有助于IT开发和维护一个中央存储库,作为员工访问的“真相来源”. 

消除密码也减少了IT团队的工作量. 设置和重置用户帐户是其工作负载的重要部分. 创建和管理的密码更少, 联合身份验证为高价值项目释放了ITmg游戏大厅.

更少的密码也意味着更少的攻击面和更低的入侵风险. Traditional passwords pose a significant security threat; they're comparatively 容易 to steal, 猜一猜, 或裂纹. 联合身份验证通过使用安全协议(如SAML)替换密码,帮助IT消除弱点. 

轻松地保持安全

联合身份验证为用户、IT团队和组织提供了许多好处. 它帮助组织协调访问的方便性和安全性. 实现联合身份验证需要投入时间和mg游戏大厅, 但从长远来看,通过自动身份管理,企业可以节省时间和金钱. 

为联合身份管理构建坚实的基础,使IT团队能够满足不断变化的工作场所的需求,并减少泄露的风险. 了解更多关于在工作期间要做什么 数据泄露.

身份和访问管理软件
管理身份和访问

使用身份和访问管理软件保护您的组织免受未经授权的访问或误用.

身份和访问管理软件
管理身份和访问

使用身份和访问管理软件保护您的组织免受未经授权的访问或误用.

永远不要错过一个帖子.

订阅mg游戏大厅的网站,让你时刻掌握科技脉搏.

提交此表格,即表示您同意接受G2的营销沟通.