社交网络的信息安全(11)

以目前的技术而言,企业云提供商无法主动做到使用可重复使用的数字组合做成密钥环,来符合用户使用需要。通常都是在注册之初,让用户在其计算机下载可产生数字组合的软件组件,或者当用户准备登录前,将凭证码通过短信发送到用户的移动设备,后者自然需要集中式身份管理所需的相关内容。

联盟化、集中式身份验证( Centralised Authentication )及单一登录

在"身份识别及存取管理"主题的最后,我们将尝试纠正常见的有关单一登录的错误观念。所谓单一登录,意指用户每次登录系统之后,在该使用期间皆可使用所有系统功能,而不会要求用户重复执行每一系统的登录。下列情况并不属于单一登录:

( 1 )同一登录使用期间,用户仍须针对每一项云服务,输入其身份验证数据。 如果采用集中化验证系统也是这样的情况,每项云服务都会提示集中化验证系统,再次进行验证的动作。 这种要求重复登录的状况,都不是单一登录。

(2 )用户管理在服务系统之间已经同步化,但仍然要求用户重复输入身份识别资料,才能使用系统服务,这种情况甚至不算集中式的验证系统。

单一登录( Single Sign-On ,SSO)

如果由云服务商提供单一登录功能,成为其整合性云服务的一环,则验证中心的单一登录作业流程必须和所有服务系统予以整合,才能符合单一登录的需求。此一整合通常系将个人密码管理器组件( Access MangerComponent) 传递到相关应用系统来达成。

开放式身份认证服务商整合( Open Identity Provider Integration )

另一个达成单一登录的方法,为使用集中化的公共云身份来验证服务商的服务。云服务(也可包含本地部署服务)可利用 Facebook、Google、雅虎等公共系统所存储的身份数据完成身份验证程序。只是上述身份验证的整合方式,至今仍无法确保安全无虞,并且能与企业的系统兼容。但若使用企业内部的 LDAP 解决方案来提供识别码,就可以在云架构下提供与企业兼容的使用者身份 (ID )验证服务。

无论企业使用的是外包或自行处理的集中化访问控制服务(将验证功能外包处理或由企业内部执行) ,或是通过企业私有云架构,或运用企业内部的验证中心机制,都得选择其中一种方式,以具备单一登录的能力,让服务达到高度的可用性。使用期间,用户若只须执行一次登录验证,则访问控制就必须包括此数据,并在应用程序要求时提供此用户数据,如此便不会要求用户重复登录。

无论是以用户令牌,还是以适当的接口,应用系统都需要整合单一登录的功能,才可提供跨系统的单一登录。

联合( Federation )

身份验证及授权系统让现今的云服务变得更加完备。安全存取服务是所有云用户对云服务商的期待。 但除了单一登录外,距离可以透明化地使用员工资料的目标,还有很长的路要走。在这样的目标下, "目录服务联合( Directory Services Federation) "乃是一个神奇的字眼。

一般而言,联合需要做到开放性的存取企业目录(至少在对外的连接上) ,意即企业需要高度信赖云服务商的开放性目录存取。

只要有适当的服务做安全访问控制,将存取服务限制在专用的、具特定目的的连接上,便能降低用户数据受损的可能性。目前还需再尝试一段时间,才能决定谁才是最后的赢家,是方便重复使用,谨慎管理的企业数据;还是安全至上,却牺牲了企业云服务用户的使用便利性,让我们拭目以待。

读书导航