針對(duì)眾多在傳統(tǒng)防火墻之外的工作人員和客戶，公司正在重新考慮他們使用網(wǎng)絡(luò)的權(quán)限和安全問題。在大多數(shù)情況下，我們?nèi)孕枰阑饓Φ谋Ｗo(hù)。但隨著企業(yè)的IT應(yīng)用程序越來越多，通過防火墻設(shè)置的合法訪問已經(jīng)超出了其本身的設(shè)定數(shù)量，并且防火墻的很多漏洞也給企業(yè)管理員帶來了不少的麻煩。此外，軟件即服務(wù)(SaaS)也已經(jīng)逐漸興起，許多企業(yè)都選擇使用了SaaS，其應(yīng)用程序本身也是設(shè)定在防火墻之外的。

當(dāng)今，黑客活動(dòng)往往聚焦于企業(yè)的IT基礎(chǔ)設(shè)施，他們通常會(huì)把自己偽裝成合法用戶，所以，如何在合法用戶中甄別出黑客已成為當(dāng)務(wù)之急。

不但要支持內(nèi)部以及遠(yuǎn)程用戶的訪問，還需將黑客和網(wǎng)絡(luò)犯罪拒之門外;所以邊界的授權(quán)訪問遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)防火墻用戶設(shè)備的接入訪問。因此身份認(rèn)證的相關(guān)概念就顯得尤為重要了。

單點(diǎn)登錄(SSO)技術(shù)雖不是一個(gè)新技術(shù)，但在許多地方都大顯奇能。

例如CA、Oracle和IBM這類傳統(tǒng)廠商的身份和訪問管理產(chǎn)品中SSO系統(tǒng)已存在多年。這些產(chǎn)品的主要用途一直是為用戶記錄以及節(jié)省多個(gè)用戶名和密碼。大量賬戶和密碼的使用會(huì)讓人被迫將其寫下來，這將是個(gè)潛在的安全隱患。

由于IT設(shè)備的日新月異以及競(jìng)爭(zhēng)對(duì)手的增多，這些廠商所設(shè)計(jì)的SSO系統(tǒng)已經(jīng)可以用于遠(yuǎn)程用戶的私人設(shè)備，而且為了迎合SaaS的應(yīng)用趨勢(shì)，SSO系統(tǒng)也與其相兼容，為廣大用戶帶來了便利。

將合法用戶與資源相關(guān)聯(lián)

此系統(tǒng)的目標(biāo)是建立一個(gè)安全身份認(rèn)證體系，其邊界為指定的商業(yè)IT活動(dòng)。將合法用戶以及他們所需的資源掛鉤，而SSO系統(tǒng)的作用則是身份橋接。

然而，這些系統(tǒng)還可以做更多的事情。在某些情況下，這些額外的功能除了能夠驗(yàn)證身份還可以獲取更多關(guān)于訪問應(yīng)用程序和數(shù)據(jù)源的相關(guān)信息——特別是那些與客戶有關(guān)的信息。事實(shí)上，有了SSO系統(tǒng)不需要知道用戶的身份，其價(jià)值則體現(xiàn)在第一次登陸時(shí)的安全驗(yàn)證。

我們可以來想象一下，一個(gè)好奇的游客正在瀏覽某個(gè)旅行社的網(wǎng)站。他們可能只是想在這個(gè)網(wǎng)站上得到一些關(guān)于航班、汽車租憑和酒店報(bào)價(jià)等相關(guān)信息，然后再考慮其旅行計(jì)劃。SSO系統(tǒng)能夠提供這些綜合性訪問所需要的資源，并獲得相關(guān)報(bào)價(jià)，當(dāng)潛在的客戶決定預(yù)訂東西的時(shí)候還可以添加更多的細(xì)節(jié)。

當(dāng)然，想要執(zhí)行該階段的操作需要建立一個(gè)可信的身份。此時(shí)消費(fèi)者需要在此系統(tǒng)中進(jìn)行身份驗(yàn)證并取個(gè)用戶名，但這種身份需要與真實(shí)的電子郵件地址相關(guān)聯(lián)并且需要一個(gè)有效的付款方式。

開放更多的資源

在這一點(diǎn)上，SSO系統(tǒng)結(jié)合其它服務(wù)開始建立新客戶的身份認(rèn)證并對(duì)其提高了服務(wù)質(zhì)量。一旦通過了安全認(rèn)證，此身份可以打開更多的資源——例如在訂票系統(tǒng)中查看客戶的交易記錄等。

對(duì)于其它交易，特別是企業(yè)與企業(yè)之間的電子商務(wù)，這種商業(yè)模式依賴于收購現(xiàn)有系統(tǒng)的身份信息。對(duì)于特定企業(yè)的員工身份認(rèn)證信息一般來自于內(nèi)部的某些目錄，例如最常用的微軟活動(dòng)目錄。

然而，當(dāng)談到開放應(yīng)用程序伙伴和其他外部業(yè)務(wù)用戶時(shí)，外部的身份信息來源可能是最為有價(jià)值的，例如合作伙伴的內(nèi)部目錄或是專業(yè)機(jī)構(gòu)的會(huì)員數(shù)據(jù)庫等。

對(duì)于消費(fèi)者和商業(yè)用戶，在某些情況下像Facebook 和LinkedIn的這類社交網(wǎng)站正在成為公認(rèn)的身份信息來源。

這一趨勢(shì)意味著SSO系統(tǒng)需要對(duì)越來越多的身份來源進(jìn)行用戶驗(yàn)證。為了使這個(gè)過程盡可能的簡(jiǎn)單，SSO系統(tǒng)本身的身份來源也需要進(jìn)一步的規(guī)范。

身份驗(yàn)證和訪問管理標(biāo)準(zhǔn)

為了支持這類需求，身份驗(yàn)證和訪問管理也相應(yīng)出臺(tái)了許多標(biāo)準(zhǔn)，包括輕量目錄訪問協(xié)議LDAP用于存儲(chǔ)身份信息，SAML安全斷言標(biāo)記語言用于傳輸用戶身份證明。了解這些驗(yàn)收標(biāo)準(zhǔn)，不管是對(duì)哪家供應(yīng)商所提供的SSO系統(tǒng)，這些標(biāo)準(zhǔn)都是一個(gè)重要的參考。

由于訪問用戶的身份來源非常廣泛，SSO系統(tǒng)需要支持這些用戶連接到多個(gè)應(yīng)用程序，使業(yè)務(wù)流程和與之相關(guān)的供應(yīng)鏈更加一體化，從而提高其工作效率。

目前這種應(yīng)用已經(jīng)被廣泛使用，汽車經(jīng)銷商與制造商所相關(guān)聯(lián)的訂貨系統(tǒng);律師與法官管理系統(tǒng)和執(zhí)法機(jī)構(gòu)的相關(guān)鏈接等都是非常好的案例。SSO系統(tǒng)也可以自定義策略，給特定的用戶以及特定的資源為不同的角色制定模板，從而簡(jiǎn)化了用戶的配置。

也許更重要的是，當(dāng)與指定客戶端的合作關(guān)系終結(jié)時(shí)，需要及時(shí)取消他們從SSO系統(tǒng)對(duì)資源訪問的權(quán)限，確保能夠切斷其行程。

SSO系統(tǒng)所帶來的好處遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)防火墻的工作方式，針對(duì)IT應(yīng)用程序來說則具備了更大的擴(kuò)展性，用戶所訪問的資源也更加豐富。但監(jiān)控、授權(quán)和訪問控制則是最為必要的手段。SSO則可以有效實(shí)現(xiàn)這一目標(biāo)。