这本由供应商编写的技术入门读物由Network World编辑,以消除产品促销,但读者应该注意,它可能足球竞猜app软件会支持提交者的方法。
企业正在保护更多的用户,这些用户通过更多的设备从更多的地方访问更多的应用程序,所有这些多样性正在将当前的身份和访问管理(IAM)扩展到从未设计过的地方。与此同时,考虑到今天过时和过于复杂的遗留身份系统,安全性从来没有像现在这样重要或难以确保。我称之为“n平方问题”,在这个问题中,我们试图与太多的源建立太多的硬编码连接,每个源都有自己的协议和需求。
这种n对n的问题推动了联邦标准的快速采用,如安全断言标记语言(SAML)、OAuth和OpenID connect——这对于希望实现web和云应用程序单点登录(SSO)的大型企业来说是个好消息。然而,正如许多公司发现的那样,部署联合不仅仅需要购买联合安全组件。要使此解决方案可操作,通常需要某种程度的标识数据集成。
图1:在所有这些不同的数据存储和应用程序之间建立自定义连接是非常昂贵的
让我们分析一个关键组件的实际部署-身份提供者(国内流离失所者),您需要实现SSO来联合web或云应用程序。联邦标准只提供了一个层,用于将来自应用程序(如Salesforce等SaaS应用程序)的身份验证请求传送到身份提供者。在接收到身份验证请求时,IdP需要执行身份验证操作—这就是事情变得棘手的地方。
在理想情况下,IdP应该能够调用单个身份源。但在现实生活中,我们有一个分散的身份基础结构,其中身份和属性分散在不同的数据存储中,包括Active Directory域和森林、轻量级目录访问协议(Lightweight Directory Access Protocol, LDAP)目录、数据库和api,如下图所示。
IdP层的设计目的不是寻找跨不同数据竖井的用户,也不是找出协议差异和用户重叠(尽管有一些产品就是这样做的).它需要一个统一的身份视图,从而可以对用户进行身份验证,并发出适当的令牌,将这些用户连接到安全边界之外的web或基于云的应用程序。
图2:当联合组织访问时,通常需要身份集成,以提供符合应用程序消费需求的IdP内聚身份视图
为了联合对外部应用程序的访问,IdP依赖于单一的“规范化”身份来源——对于大多数大型组织来说,从不同的分布式体系结构中获得这样一个用户的全局视图并不是一件容易的任务。您需要的是某种类型的集成层,它也可以联合您的标识源。这个集成层——实际上是所有身份存储的智能中心——为您的IdP提供正确的信息,以支持SSO和安全访问整个应用程序组合,从企业到web、云,甚至移动或社交。
图3:使用联合标识中心简化联合部署
与联合中心集成和编排标识
为什么要为中心使用联合架构,而不是更简单的身份数据集中存储库?因为集中化是让我们陷入麻烦的首要原因之一,加剧了当今典型身份基础设施的碎片化。大多数大型组织都有复杂的身份系统,这是有原因的,所以与其试图在所有的多样性之上强加一个独特的集中式系统,不如考虑对所有资源的智能集成,从而使您对系统有一个合理的看法。
从本质上讲,我们需要“全球管理,本地行动”,创建一个具有尊重外围的逻辑中心的智能中心。通过集成跨数据竖井的身份和属性,联邦身份中心维护一个跨所有企业系统动态管理的全局用户列表,然后映射该数据,以满足每个消费应用程序的独特期望。
有了这样一个中心,您的IdP可以根据一个合理的、通用的身份视图进行身份验证,而每个用户存储对其自己的数据保持自主权。当然,任何更改都需要自动同步,尽可能接近实时,这样你就不会授权访问刚刚被解雇的心怀不满的员工,也不会在头衔变更时阻止高管访问。通过跟踪所有用户及其关联的身份信息(包括多个或重叠的用户名),该中心可以为所有应用程序实现快速、准确的身份验证和授权。
让我们更深入地挖掘联邦身份中心的基本功能:
步骤1:列出当前数据源并提取和统一元数据
创建标识中心的过程从当前数据源的清单开始。较大的组织通常跨一组存储库存储标识和属性,每个存储库使用不同的协议和数据模型。智能联邦身份识别系统可以连接这些不同的系统,从每个源提取元数据以创建公共对象模型。
图4:通过管理当前数据源的清单,从每个数据源提取元数据,并创建集中标识层,创建标识中心
步骤2:聚合和关联标识以构建惟一引用列表
一旦提取了现有模式,您就可以看到每个数据源如何定义标识,并确定聚合和关联标识数据的最佳方法,以便构建一个引用列表,其中每个用户只表示一次。使用模式信息和关于任何重叠属性值的知识,您可以创建为每个用户创建唯一全局配置文件所需的相关规则。
图5:对于每个身份重叠的用户,hub应该能够从原始身份源提取所有属性,并将它们包含在一个丰富的全局配置文件中,以进行身份验证和授权
步骤3:加入身份以创建全局配置文件
不同的应用程序需要用户身份的不同方面。身份联合使您能够将这些方面连接到一个全局配置文件中,IdP可以很容易地访问该配置文件,并将其打包到用于消费应用程序的安全令牌中。凭证保存在原始数据源中,身份相关性确保具有类似名称的用户不会被授予不适当的访问权限。
图6:对于每个身份重叠的用户,hub应该能够从原始身份源提取所有属性,并将它们包含在一个丰富的全局配置文件中,以进行身份验证和授权
第四步:合理化团队
中心还应该能够利用和重新映射现有的组。在这种情况下,IdP只需要搜索集线器来检查组成员身份,以便将其打包到令牌中供使用应用程序使用。如果您现有的组已经足够执行您的策略,那么您不需要重新做任何工作—联邦标识中心将简单地虚拟化您现有的组,并且转换和区别名(Distinguished Name, DN)重新映射将自动发生。
图7:不必跨三个来源搜索—比如,两个AD domain和Sun directory—来查找组和成员,应用程序只需要针对中心搜索以检查组成员,加快登录和访问速度
步骤5:缓存结果视图以提高速度和可伸缩性
集线器还可以根据您的部署需求和环境提供持久缓存选项的选择,因此条目、查询或建模视图可以实时或定时缓存,以获得更高的性能和可用性。物化层次视图的持久性意味着查询性能将不再受到跨多个数据源的复杂连接和搜索的限制。
图8:在异构环境中获得更好安全性和性能的最佳实践是虚拟化底层数据源和缓存,以获得高速和可用性
联邦身份中心:未来的灵活基础设施
联邦身份中心可以简化您的身份基础设施,同时尊重现有的投资,使您更容易满足IdP并实现联邦的承诺。但它也提供了灵活的基础设施和体系结构模式,超越了联邦的直接挑战,支持许多其他用例,如web访问管理的身份验证,高安全数据或应用程序的细粒度授权,完整的客户配置文件,更快的应用程序部署,甚至更容易的并购整合。构建中心可以解决当前的联邦挑战,同时使您能够处理未来出现的任何新挑战,因此可以考虑使用现代联邦身份中心来转换多样化的分布式遗留身份系统。
Radiant Logic的RadiantOne联邦身份服务具有高级虚拟化引擎和“大数据”驱动的目录存储,两者都经过微调,可以为您的企业提供所有用户的全局和上下文视图,可扩展到数亿查询和用户。想了解更多关于Radiant Logic和RadiantOne的信息,请访问www.radiantlogic.com。