iThome

針對使用者的身分驗證,在企業中最常見的做法,便是透過微軟的AD目錄服務整合,然而,隨著SaaS應用程式的運用普及,以及使用者執行的裝置類型更加多元,員工在外部網際網路存取的機會也大幅增加,甚至可能會有外部合作廠商、買家需要執行某些企業應用程式的情形。企業若是繼續單純仰賴AD管理使用者身分,恐怕難以因應上述的變化。

另一方面,企業應用系統識別使用者的方法,大部分都是透過密碼。但使用者可能為了好記,設定過於簡單、容易遭到破解的字串;反之,若是企業強制要求採取較為複雜的密碼政策,在使用者需要存取的應用程式越來越多的情況下,大量的企業應用的身分驗證管理,也成為嚴重的課題。

一般來說,企業想要強化使用者存取應用系統的安全性,通常可能會考慮在公司內部署進階身分驗證機制,或是架設單一入口網站等設施,但自行建置往往需耗費不少時日,在上線之後,企業必須維持系統的軟硬體可用性。若在能不更動企業現有環境的前提下,強化相關防護,會是目前企業迫切需要的做法,而近年來快速崛起的身分驗證雲端服務(Identity as a Service,IDaaS),有機會成為達成上述目標的解決方案。

根據Gartner在2016年6月發表的報告,提供這種SaaS服務的廠商一共有14家之多,雖然這些產品大部分都能直接透過線上刷卡購買的方式取得,但是對於企業來說,能否第一時間取得相關的技術支援也非常重要。為此,我們找到了原廠在臺灣設立辦公室,或是有系統整合廠商代理的產品共4家,分別是CentrifyGemalto SafeNet微軟,以及SailPoint

可協助管理者找出異常存取的事件

以往採取在公司內部建置的做法,往往耗費時日,而且還要面臨許多應用程式能否相容的情況,導致最後不少企業最後選擇以AD為統合身分驗證的主要方式:只要架設Windows Server並啟動相關服務,就能使用。

但面對企業環境的變化,若是仍舊依賴公司內部的AD,就難以統整其他類型的裝置;此外,固然透過AD還是能夠連接、管理使用者存取SaaS服務的能力,但想要修改設定,往往還是要登入Windows Server才能執行,相較之下,管理身分驗證雲端服務只需透過瀏覽器,管理者在任何地點都能操作,不需在公司內部或使用VPN連線到伺服器。

此外,雲端服務也同時提供了圖形化儀表板,因此管理者便能快速得知執行的狀態,若是有異常登入事件,也較容易察覺,這些都是單純透過AD難以提供的功能。以我們這次測試的產品來說,Centrify便提供便具備多個資訊儀表板,分析驗證失敗、使用者採用裝置類型,以及登入地點與驗證方式等情形。微軟也在管理後臺中,顯示識別出疑似異常登入事件,或是可能遭竊取的使用者帳號,管理者便能進一步調查。

具備圖形報表分析系統運作

在Centrify身分驗證服務的管理後臺中,提供以圖形呈現的分析資訊。圖中針對使用者存取入口網站時,裝置執行的作業系統類型加以分析,管理者便能得知公司占多數比例的電腦裝置。

 

針對執行環境指定驗證的需求

管理者可對於不同的作業環境,指定身分驗證要求,圖中是在Centrify身分驗證服務中,規定員工在上班時間且於公司內部,而且透過微軟Edge瀏覽器進入單一入口網站時的驗證措施。

提供使用者直覺易用的存取能力

基本上,對於一般的使用者來說,身分驗證服務則帶來兩大優點,首先,只要透過雲端服務提供的單一入口網站,就能存取企業授權的所有應用程式。

這裡也同時具備了使用者自行管理所擁有的應用程式,因此在網站中就能確認能否存取的能力,不需再特別向管理者確認。若是需要使用其他的應用程式,用戶也能線上提出需求。以我們這次測試的產品來看,當中的Centrify與SailPoint的雲端服務,提供線上申請存取許可的機制,微軟則是透過群組授與相關存取權限。

另外一點,則是身分驗證服務搭載了使用者自助服務機制,因此,一旦發生忘記密碼的情況,使用者就能透過相關程序,進行重新設定密碼的作業,例如,透過電子郵件信箱取得重設密碼的連結,解決無法正常登入系統的情況。

提供使用者線上提出應用程式需求的機制

使用者想要執行未經許可的企業應用程式,以往可能需要走紙本流程申請。在SailPoint IdentityNow身分驗證服務平臺中,提供線上申請機制,權責主管只需在入口網站就能快速審核。

行動裝置扮演進階身分驗證要角

值得一提的是,我們測試的這幾款產品,幾乎都提供行動裝置專用的App。主要提供兩大功能,一是可存取應用程式的單一入口網站,另一功能則是做為進階身分驗證用途的動態密碼產生器。

這方面的做法4家廠商便有所不同,例如Centrify的App便具備上述兩種功能,微軟則是區分為My Apps單一入口與Azure Authenticator密碼產生器兩種App。但可能是Centrify的App同時具備兩種功能,因此這款軟體機制較嚴謹——不只執行時需先透過指紋或PIN碼解除鎖定,在安裝完成後,也會強制要求使用者設定裝置的螢幕鎖定密碼。

隨時隨地存取企業應用

微軟Azure AD身分驗證服務提供專屬的應用程式存取App(My Apps),使用者在行動裝置上,就能直接執行企業提供的應用程式,不須切換到個人電腦上操作。

以手機執行進階驗證程序

在人手一隻智慧型手機的情況下,這類裝置便扮演了進階身分驗證工具重要角色,透過圖中與Gemalto SAS搭配的MobilePass+行動App,使用者就能取得驗證所需的動態密碼。

 相關報導 企業身分驗證雲端服務採購特輯


Advertisement

更多 iThome相關內容