身份与访问管理3

  • A+
所属分类:安全闲碎

3. 集成身份服务


联合身份管理和SSO

  • 随着基于云的应用程序的爆发式增长,用户访问互联网资源渐渐开始需要SSO解决方案。

  • 联合身份管理是多个组织加入一个联盟或一个组,通过一个方法共享彼此的身份。每个组织的用户在各自的组织登录一次且在他们的凭证和联合身份相匹配后,他们就可以使用这个联合身份来访问这一组中任何其他组织的资源。

  • 联合身份系统常常使用安全断言标记语言(SAML)或服务配置标记语言(SPML)。


SAML和SPML

  • 安全声明标记语言安全声明标记语言(SAML),是一种基于XML的语言普遍用于联合组织之间交换认证和授权(AA)信息,常为浏览器访问提供单点登录(SSO)功能。通常具有三种角色:委托人(主体),身份验证(第三方)、服务(客体)。

  • 服务配置标记语言服务配置标记语言(SPML)是基于XML的新框架,但是出于联合身份单点登录目的,专门设计用于用户信息交换。SPML基于目录服务标记语言(DSML),而DSML 能够以XML 格式显示基于轻量级目录访问协议(LDAP)的目录服务信息。


证书管理系统

  • 当单点登录不可用时,证书管理系统为用户的凭证保存提供存储空间。用户可以为需要一套不同凭证的网站和网络资源存储凭证。证书管理系统确保这些凭证已加密,从而防止未经授权的访问。

  • 例如,Windows 系统包含证书管理器工具。用户将他们的凭证输入证书管理器,必要时,操作系统检索用户的凭证,并自动提交。在网站上应用时,用户输入URL、用户名和密码。当用户之后访问网站时,证书管理器会自动识别URL并提供凭证。


管理会话

无论使用何种认证系统,重要的是管理会话,以防止未经授权的访问。

这包括与应用程序在普通电脑(如台式电脑)上的会话或网络会话。


整合身份服务

  • 身份服务为识别和认证提供了额外工具。其中一些工具是为那些基于云的应用程序具体设计的,而其他的工具是第三方身份服务,为组织内部使用而设计。

  • 身份即服务或身份和访问即服务IDaaS),是一个第三方服务,提供身份和访问管理。IDaaS 为云有效提供单点登录,并在内部客户访问那些基于云的软件即服务(SaaS)应用程序时特别有用。谷歌公司的箴言“一个谷歌账户登录所有谷歌产品”就是这一技术的体现。用户只需登录他们的谷歌账户一次,就可以访问谷歌多个基于云的应用程序,不必再次进行登录。


云整合身份服务


  • Office365结合安装的应用程序和Saas应用程序来提供办公应用程序。用户的全套办公应用系统都安装在他们的用户系统中,还可以使用One driver 连接到云存储。这就使用户可以在多个设备上编辑并共享文件。当人们在家使用Office365时,微软提供IDAAS,使得用户通过云在One driver 上对访问他们的数据进行认证。

  • 当雇员在企业内使用Ofce365时,管理员可以与第三方服务集成网络。例如,Centrify 提供与微软活动目录集成的第三方IDaaS服务。一旦配置完成,用户登录到域名,然后不必再次登录就可以访问Ofce365云资源。

身份与访问管理3

AAA协议

  • 提供认证、授权和可问责性的协议叫作AAA协议。它们提供集中式访问控制,并且附带虚拟专用网(VPN)和其他类型的网络访问服务器的远程访问系统。它们可以保护内部局域网认证系统和其他服务器免受远程攻击。当使用一个单独的系统进行远程访问时,对系统的成功攻击只会影响远程访问用户。换句话说,攻击者不会有内部账户的访问权限。

  • 它们确保用户用有效的凭据来进行身份认证,并根据已证实的身份来认证用户已被授权连接到远程访问服务器。此外,追踪元素可以跟踪用户的网络资源使用情况,并达到计费目的。

  • 一些常见的AAA协议有 RADIUS、TACACS+以及Diameter


RADIUS

  • 远程认证拨号用户服务器(RADIUS)主要用于远程连接的身份认证(集中访问控制)。当组织有不止一台网络访问服务器(或远程访问服务器时,RADIUS通常会被用到。用户可以连接到任何一台网络访问服务器,服务器会将用户的凭据传送给RADIUS 服务器来认证用户的身份和权限,并对其进行追踪。在这种情况下,网络访问服务器就相当于RADIUS 客户端,RADIUS则作为身份认证服务器。RADIUS服务器还为多个远程访问服务器提供AAA服务。

  • Radius使用UDP协议,UDP特点只加密交换密码协议,不加密整个会话。

  • 较老的协议,存在的问题:容易被重放攻击,缺乏完整性保护。


 TACACS+

终端访问控制访问控制系统

  • 它将认证、授权以及可问责性分为独立的流程,并可以在三台独立的服务器上进行托管。其他版本则是将其中的两个或三个流程合并为个流程。

  • TACACS+可以加密所有的认证信息,而不仅仅像RADIUS一样只是加密密码。且支持协议更多。

身份与访问管理3

Diameter 

  • 它支持多种协议,包括传统IP、移动IP和IP语音(VolP)。因为支持许多附加的命令,在支持漫游服务的情况下特别受欢迎,例如无线设备和智能手机。

  • 虽然Diameter是RADIUS的升级版本,但其并不兼容RADIUS。

  • Diameter 支持IPSec 和TLS加密。

身份与访问管理3


本文始发于微信公众号(网络安全等保测评):身份与访问管理3

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: