在市面上的各種身分驗證服務解決方案之中,Centrify Identity Service(CIS)的特色是能統合使用者所有可用的應用程式,並同時具備裝置列管的能力。

企業導入了CIS平臺之後,使用者想要存取應用程式時,就必須透過CIS的單一登入(SSO)入口網站,若是直接前往原本應用程式和SaaS服務的登入頁面,CIS便會強制導回企業所屬的登入網站進行身分驗證,以確保使用者存取應用程式都要經由CIS。

由於這個平臺納入了行動裝置列管的思維,因此不少機制都與其他產品有所不同:在電腦版使用者入口網站中,企業可要求執行2種不同的方式驗證身分;若是使用者採用行動裝置App存取CIS,這個裝置必須設定PIN碼,或是由指紋辨識器進行防護,比起同類型產品而言要來得嚴謹。

就採購費用來說,CIS主要以使用者計價,每人每年為3,300元(未稅),與微軟的Azure Active Directory Premium P2的價位相當(每人每月279.25元,換算成年費為3,351元),在4款產品裡屬價位居中。若要針對端點電腦提供進階防護,包含增加Windows平臺遠端登入的多重驗證機制,以及能將Mac電腦納入管理等功能,企業則需額外付費。

提供多種檢視模式的使用者存取網站

在使用者存取網站中,CIS提供多種瀏覽應用程式的模式,包含依據類型分類(如圖中Office 365為生產力應用),以及切換為只顯示最常使用、或是最近使用的應用程式列表。

採用使用者自選驗證機制的單一登入網站,增加駭客破解難度

值得一提的是,在操作介面上,CIS已內建正體中文介面,對於臺灣地區的使用者來說,相當有親和力。

想要存取CIS,使用者必須前往單一登入網站輸入相關的資訊驗證。但有別於一般系統以帳號密碼做為基本識別的依據,CIS可設定使用者必須通過2種驗證,才能存取入口網站。以我們的測試平臺來說,第一道關卡可選擇採取安全問題、簡訊認證碼、依據電話語音指示按下特定數字鍵推送,或是以電子郵件連結等方式驗證。

通過第一道驗證之後,使用者就要再從選單裡,挑出另一種想要採用的身分認證方式,繼續執行完成後,才能進行CIS的個人應用程式網站。

針對行動裝置App的存取,CIS的機制則略有不同──在初次設定流程裡,使用者需通過一種自選的驗證方式,一旦連接成功之後,裝置便自動納入管理。之後執行App時,使用者就要透過指紋辨識或是輸入PIN碼,才能使用。

附帶一提,這個App內建了密碼產生器與推送登入許可的功能,因此在登入網頁版的單一登入頁面時,使用者也能當作其中一種驗證身分的方法。若是使用者已在手機安裝了符合OAuth規格的密碼產生器App,像是Google Authenticator,也可配對使用。

提供多種應用程式檢視模式,使用者更容易找到所需

使用者在成功進到單一入口網站之後,就能存取企業授權能取用的應用程式。基本上,若是需要使用公司其他的系統,使用者則要向主管或是指定的承辦人員,在CIS平臺提出申請,待審核之後才能使用。

在CIS的單一入口網站網站中,提供了多種應用程式的檢視模式,在總覽所有可用的應用方式中,使用者可指定依據類別陳列,以我們的環境中,就能看到協作類別有OneDrive、Google Drive與Dropbox,歸類為生產力應用的則有Office 365與Evernote。此外,這裡提供了初步篩選條件,例如切換為顯示最近或是最常執行的應用程式清單。基本上,其他同類型服務的單一登入網站,通常只提供依據名稱搜尋應用程式,相較之下,CIS的做法明顯好上許多。

此外,CIS有項機制與許多身分驗證服務有所不同,那就是企業能開放使用者將某些自己常用的個人SaaS服務帳號,像是Dropbox、Gmail、Facebook、Office 365等,加入到CIS提供的使用者應用程式清單中。由於員工可能會在工作中運用自己私人常用的雲端服務,CIS提供這種機制顯得較有彈性。

使用者想要加入自己的應用程式並不難,只需點選新增應用程式,然後在分類中找尋,或是搜索SaaS服務的名稱(例如Office 365),就能建立按鈕。日後,我們只要在第一次啟動時,輸入該服務的帳號與密碼,日後就能透過CIS平臺直接存取。

若是由企業提供的應用程式,像是我們這次測試連接的Office 365 E5,管理者則是在管理介面中,透過CIS提供的樣板就能建置。但與其他身分驗證服務略有不同的是,CIS提供了企業版Office 365兩種樣板,一種是直接將CIS與Office 365連接,另一種附註為WS-Fed驗證模式,則適用於Office 365已與AD整合的情況,因此,管理者必須挑選符合企業環境者套用。

值得一提的是,在已經列管的行動裝置中,管理者也能以CIS派送已經特定的軟體,避免使用者在行動裝置上自行安裝來源來路不明的檔案。

針對近期異常事件,提供管理者相關統計的專屬儀表板

在管理者的後臺中,CIS提供了多種儀表板,讓管理人員能快速得知企業內部驗證的狀態。其中,預設顯示的是異常登入與拒絕存取事件儀表板。

管理者可針對最近一星期的事件,檢視其登入的地點、驗證方法等統計圖表,了解近期是否有帳號遭受攻擊。

 

 Centrify Identity Service功能總覽 

CIS提供管理者能設定有關身分認證的防護政策,包含要求兩階段驗證,以及規定只有在特定環境之下,使用者才能自助重設密碼或是解除鎖定等措施。

依據登入異常情勢呈現的儀表板

在管理後臺的儀表板中,Centrify Identity Service主要依據系統拒絕的登入事件加以彙整,包含採用進階驗證的方式、次數、事件記錄,以及登入地點分布等,供管理者判斷之用。

能指定兩階段身分驗證政策

管理者可要求使用者須完成兩種身分驗證,才能存取CIS。以圖中的政策來說,使用者第一階段可選密碼產生器、Centrify App、電子郵件與安全問題等,但第二關則只能使用App或密碼產生器。

可限定在指定環境才能自助重設

針對使用者想要自助重新設定密碼或是解除帳號鎖定,管理者可透過CIS政策,限制必須是透過AD帳號登入系統的使用者,並且要通過相關身分驗證措施後,才能執行。

 

 產品資訊 

Centrify Identity Service

● 代理商:亞太信息(02)3765-2726

● 建議售價:每使用者每年為3,300元(未稅)

● 管理功能:連接內部應用程式、連接SaaS服務、報表與異常警示

● 內部身分整合來源:AD或LDAP、人事系統、資料庫

● 身分驗證防護:強式密碼、多因素驗證

● 使用者存取應用程式:單一登入網頁、行動裝置App

● 使用者自助服務機制:重設密碼、維護個人資料、申請存取應用程式

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容