聯(lián)合身份管理真相

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著基于Web的應(yīng)用不斷增多，身份管理開(kāi)始逐漸得到用戶的重視。這種建立在Web上的單次登錄方式正給用戶帶來(lái)極大的便利，同時(shí)它還帶來(lái)了意想不到的安全助益以及潛在缺點(diǎn)。那么，用戶該如何對(duì)企業(yè)員工及其業(yè)務(wù)合作伙伴實(shí)現(xiàn)身份管理，通過(guò)簡(jiǎn)化了的登錄方式，帶來(lái)最大的商業(yè)價(jià)值？該如何進(jìn)行具體部署，逐步推進(jìn)身份管理的應(yīng)用？為此，本欄目特組織身份管理專題，針對(duì)相關(guān)問(wèn)題進(jìn)行解答。

Aramark是一家年產(chǎn)值110億美元的食品服務(wù)公司，它似乎是率先使用聯(lián)合身份管理的公司——讓業(yè)務(wù)合作伙伴可以自動(dòng)訪問(wèn)自己的應(yīng)用系統(tǒng)，且不需要多道口令。

Aramark有合適的客戶：每年有大筆預(yù)算的大學(xué)和《財(cái)富》500強(qiáng)公司。它也有合適的電子商務(wù)經(jīng)營(yíng)模式：每周來(lái)自425個(gè)地方250家公司的員工登錄、使用Aramark的基于Web的專有軟件MyAssistant.com，他們可以訂購(gòu)從三明治、巧克力餅、會(huì)議室到麥克風(fēng)的一切東西。今年，Aramark應(yīng)一個(gè)客戶的要求，開(kāi)始讓該客戶的4500名員工只需登錄到該公司的網(wǎng)絡(luò)上，就可以登錄到MyAssistant.com。

那么，為什么Aramark的其他業(yè)務(wù)合作伙伴還沒(méi)有加入進(jìn)來(lái)呢？事實(shí)證明，因業(yè)務(wù)和安全需求有必要使用聯(lián)合安全管理的Aramark也清楚地知道，很少有公司準(zhǔn)備好與業(yè)務(wù)合作伙伴達(dá)成這樣的密切關(guān)系，并采用如此大膽的安全措施。

從積極方面來(lái)看，Aramark的IT副總裁Steve Erickson提到Aramark實(shí)施該技術(shù)時(shí)說(shuō)：“這把安全義務(wù)從我們轉(zhuǎn)移到了客戶身上，因?yàn)榭蛻糁榔鋯T工什么時(shí)候離開(kāi)組織。這從本質(zhì)上也使我們的應(yīng)用更安全了?！?

盡管聯(lián)合身份管理具有種種潛在的好處，但也許永遠(yuǎn)也無(wú)法在少數(shù)幾個(gè)特定應(yīng)用領(lǐng)域以外流行起來(lái)。的確，公司在匆忙實(shí)施聯(lián)合身份管理項(xiàng)目之前謹(jǐn)小慎微是明智之舉。歷史上不乏這樣的先例，原本有望引起革命的通信方法因采用者寥寥而失敗：傳真電報(bào)、1964年世界博覽會(huì)上的可視電話和衛(wèi)星電話等?，F(xiàn)在，我們根本不能肯定聯(lián)合身份管理是否會(huì)達(dá)到這樣的數(shù)量：足夠多的人擁有它，以至于讓人人都想擁有它。

Chris Gervais是評(píng)估這項(xiàng)技術(shù)的波士頓Partners HealthCare的高級(jí)研究分析師，他說(shuō)：“顯然，要是我們分析一下業(yè)務(wù)需求，聯(lián)合身份管理技術(shù)會(huì)提供價(jià)值，但那樣我們得找到與之聯(lián)合的其他人。這跟早期電話存在的問(wèn)題一樣，你有電話并不重要，重要的是你想與之通話的對(duì)方也有電話?！?

聯(lián)合的實(shí)質(zhì)

聯(lián)合身份管理本身并不是安全項(xiàng)目，但因?yàn)槁?lián)合身份管理與訪問(wèn)有關(guān)，所以給安全負(fù)責(zé)人帶來(lái)了大好機(jī)會(huì)。咨詢公司Ponica的創(chuàng)辦人、百事可樂(lè)公司前任CISO Bryan Palma說(shuō)：“這是一項(xiàng)支持技術(shù)，而不是防火墻之類的預(yù)防技術(shù)?！币?yàn)樯矸莨芾碇饕亲尅昂萌恕边M(jìn)入訪問(wèn)，而不是把“壞人”擋在外面， Palma說(shuō)?！癈ISO可通過(guò)它為企業(yè)帶來(lái)正面影響?！笔紫踩伲–SO）在分析隨之而來(lái)的難題時(shí)，應(yīng)牢記這種回報(bào)。

聯(lián)合身份管理需要一系列復(fù)雜的技術(shù)和業(yè)務(wù)流程，但目的很簡(jiǎn)單：跨越管理邊界，自動(dòng)共享身份信息。這些邊界可能在服務(wù)提供者和客戶之間，Aramark屬于這種情況。一個(gè)典型案例是美國(guó)運(yùn)通公司，它的企業(yè)客戶允許員工不需要另外登錄，即可訪問(wèn)出差和費(fèi)用管理服務(wù)。

邊界也可能在制造商和客戶之間。譬如說(shuō)，波音公司就與航空公司客戶合作或者“聯(lián)合”，西北航空公司的機(jī)修工可以無(wú)縫訪問(wèn)保存在波音公司服務(wù)器上的最新維修手冊(cè)。

第三種邊界在公司和外包商之間。這種聯(lián)合的一個(gè)早期例子就是辛辛那提的Fifth Third Bank。該銀行已決定外包部分人力資源職能，但仍希望員工易于訪問(wèn)福利信息。

最后，聯(lián)合甚至可以把組織內(nèi)部連接起來(lái)。得克薩斯大學(xué)正在實(shí)行龐大的聯(lián)合身份管理項(xiàng)目，將把所有邊遠(yuǎn)校園的行政職能連接起來(lái)。

從最終用戶的角度來(lái)看，這一切意味著基于Web的單次登錄，用戶不必向另一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)自報(bào)家門。在企業(yè)的幫助下，計(jì)算機(jī)可以把他介紹給另一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，只要共享采用約定格式的一組證書(shū)，驗(yàn)證就會(huì)自動(dòng)進(jìn)行。

在幕后，通常實(shí)現(xiàn)這一切的標(biāo)準(zhǔn)名為安全聲明標(biāo)記語(yǔ)言（SAML），這種XML協(xié)議可用來(lái)共享有關(guān)某人身份、允許哪些操作的信息。含有這種身份信息的SAML“令牌”在屬于聯(lián)合系統(tǒng)的不同網(wǎng)絡(luò)上的計(jì)算機(jī)之間來(lái)回傳送：一方充當(dāng)“聲明方”，負(fù)責(zé)發(fā)送令牌；另一方充當(dāng)“依賴方”，負(fù)責(zé)接收令牌。

Fifth Third Bank的首席技術(shù)架構(gòu)師Jeff Anderson說(shuō)：“這讓人覺(jué)得好像一方是控制方，另一方是被控制方，但這只是個(gè)術(shù)語(yǔ)而已?！边@家銀行已經(jīng)部署了三個(gè)聯(lián)合身份管理系統(tǒng)，并且正準(zhǔn)備再部署11個(gè)系統(tǒng)?！奥暶鞣健笨梢允侨魏我环?，甚至是第三方，雙方必須同意允許訪問(wèn)，任何一方都可以隨時(shí)取消訪問(wèn)權(quán)。Anderson說(shuō)，重要的是，“聲明方”的系統(tǒng)既要可信，又要安全。在理想及標(biāo)準(zhǔn)化的環(huán)境下，整個(gè)信任圈輕而易舉就能以這種方式相互聯(lián)系。

標(biāo)準(zhǔn)問(wèn)題

聯(lián)合身份管理方案不止一兩種。SAML是由結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）制訂的，這個(gè)非營(yíng)利性組織得到了EDS、IBM和Sun等重量級(jí)IT廠商的資助，旨在推動(dòng)及促進(jìn)Web服務(wù)。

最初，OASIS在聯(lián)合身份管理方面的工作與另一家行業(yè)組織——自由聯(lián)盟（Liberty Alliance）開(kāi)展的工作一樣。自由聯(lián)盟由同樣這些IT廠商，以及包括通用汽車和富達(dá)在內(nèi)的非技術(shù)公司創(chuàng)辦而成，目的在于形成聯(lián)合身份管理方面的最佳實(shí)踐，它實(shí)際上使用了OASIS已確定的SAML令牌。

用Gartner公司副總裁Ray Wagner的話來(lái)說(shuō)，自由聯(lián)盟和OASIS兩個(gè)組織所從事工作之間的區(qū)別好比是購(gòu)買電影票和進(jìn)入電影院之間的區(qū)別。“SAML就是那張電影票，自由聯(lián)盟就是你朝檢票人員走過(guò)去、出示進(jìn)入電影院的門票。”

好消息是，去年自由聯(lián)盟把大量工作移交給了OASIS，如今最新版本的SAML（2.0）采用了這些令牌處理協(xié)議。

同時(shí)，微軟及IBM已制訂了一項(xiàng)不同的專有規(guī)范，名為WS-Federation。WS-Federation讓客戶可以使用名為微軟活動(dòng)目錄聯(lián)合服務(wù)的產(chǎn)品，把安裝的活動(dòng)目錄與其他活動(dòng)目錄連接起來(lái)。該系統(tǒng)可以讀取SAML令牌以及其他類型的身份信息，不過(guò)處理令牌的方式并不相同。

雖然微軟向OASIS提交了一系列規(guī)范以便開(kāi)放使用，但到目前為止，它還沒(méi)有發(fā)布WS-Federation。據(jù)微軟公司發(fā)言人聲稱，眼下也沒(méi)有這樣做的計(jì)劃。與此同時(shí)，許多組織因許可問(wèn)題而不愿實(shí)施基于WS-Federation的項(xiàng)目，而是轉(zhuǎn)向SAML/Liberty。

Wagner說(shuō)：“安裝的各大系統(tǒng)都使用SAML令牌和自由聯(lián)盟的協(xié)議，這些人沒(méi)有在空等微軟。”

實(shí)際上，許多人說(shuō)聯(lián)合身份管理就是SAML。紐約市麥格勞—希爾出版公司的副總裁兼CSO Dennis Brixius說(shuō)：“如果你談?wù)撘环N真正的聯(lián)合，它其實(shí)是指SAML。WS-Federation也許與SAML一樣好，但采用它的廠商并不多。”

這可以歸結(jié)為，如果我選擇A，但你選擇了B，那就無(wú)法聯(lián)系。最后我們會(huì)有兩個(gè)標(biāo)準(zhǔn)嗎？絕對(duì)如此，但有兩個(gè)標(biāo)準(zhǔn)只會(huì)加大業(yè)務(wù)經(jīng)營(yíng)成本。

眼下，成本來(lái)自可以使用這兩種協(xié)議的工具。聯(lián)合工具廠商正在把結(jié)合WS-Federation和SAML/Liberty兩種協(xié)議的功能加入到產(chǎn)品中，其中就有RSA、擁有Tivoli產(chǎn)品線的IBM、Ping Identity，以及收購(gòu)了Trustgenix的惠普。然后，客戶要把這些產(chǎn)品與身份管理基礎(chǔ)設(shè)施或者想要允許用戶訪問(wèn)的任何應(yīng)用程序集成起來(lái)。

從安全角度來(lái)看，公司應(yīng)當(dāng)走哪條路線不但取決于操作環(huán)境，還取決于選擇開(kāi)放源代碼方案還是選擇專有方案。采用任何一種規(guī)范的組織越多，將來(lái)它就越會(huì)吸引黑客尋找漏洞。

迄今為止，咨詢公司ICSynergy已開(kāi)展了大約九個(gè)聯(lián)合身份管理項(xiàng)目。創(chuàng)辦人兼CTO Martin Gee說(shuō)：“開(kāi)放源代碼的支持者說(shuō)，通過(guò)把一切公開(kāi)，每個(gè)人都可以不斷提高安全。另一些人卻堅(jiān)持認(rèn)為，如果開(kāi)放，每個(gè)人都知道如何侵入?！?

簡(jiǎn)化但不簡(jiǎn)單

不管貴公司想選擇哪種實(shí)施方案，聯(lián)合身份管理可以立即帶來(lái)極為明顯的安全好處：簡(jiǎn)化口令管理。如今用戶抱怨口令太多，聯(lián)合身份管理可以大大緩解這種壓力。

得克薩斯大學(xué)的副校長(zhǎng)兼CIO Clair Goldsmith通過(guò)把自己的75個(gè)口令保存到硬盤上的加密區(qū)域來(lái)跟蹤這些口令。Goldsmith說(shuō)：“我知道，我們根本無(wú)法實(shí)現(xiàn)單次登錄——我沒(méi)有亂說(shuō)。”這所學(xué)校實(shí)施大規(guī)模的聯(lián)合身份管理計(jì)劃已有兩年，但他也知道，減少登錄次數(shù)不失為讓大家接受項(xiàng)目的好方法。

這正是這所大學(xué)最初部署Shibboleth（大學(xué)組織推行的一種SAML）的原因，旨在讓管理得克薩斯大學(xué)15個(gè)邊遠(yuǎn)校園的行政人員可以輕松訪問(wèn)奧斯汀總部的無(wú)線網(wǎng)絡(luò)。

Goldsmith說(shuō)：“以前，他們只能前往行政辦公室，設(shè)法用筆記本電腦登錄到網(wǎng)絡(luò)上，卻上不了。然后，他們回到自己的辦公室，抱怨前一天他們?nèi)チ诵姓髽?，卻無(wú)法訪問(wèn)網(wǎng)絡(luò)。”

如今，員工們打開(kāi)筆記本電腦后，“會(huì)出現(xiàn)一個(gè)本地網(wǎng)頁(yè)，顯示‘請(qǐng)選擇所在院?！?，可以選擇任何一個(gè)院校，然后被引到該院校，即可登錄上去。然后，系統(tǒng)會(huì)傳回我們能識(shí)別的一部分特定數(shù)據(jù)即SAML令牌，我們就允許員工訪問(wèn)系統(tǒng)?！?

這簡(jiǎn)化了最終用戶和技術(shù)支持人員的工作，不過(guò)Goldsmith覺(jué)得這也提高了網(wǎng)絡(luò)安全性：個(gè)人受到了所在院校的審查，所以Goldsmith的人員不必跟蹤誰(shuí)可以訪問(wèn)大學(xué)資源。系統(tǒng)并沒(méi)有加強(qiáng)驗(yàn)證機(jī)制——它只是解決了一個(gè)問(wèn)題。Goldsmith說(shuō)：“聯(lián)合身份管理無(wú)疑比開(kāi)放式無(wú)線網(wǎng)絡(luò)來(lái)得安全。”

這一切為我們帶來(lái)了聯(lián)合身份管理的第二個(gè)明顯的好處：簡(jiǎn)化了用戶配置。管理身份最棘手的一個(gè)方面就是跟蹤哪些用戶離開(kāi)了公司或者換了工作。即便是在一家公司里面，這項(xiàng)工作也很難。想設(shè)法跨公司邊界進(jìn)行跟蹤簡(jiǎn)直是不可能的，身份聯(lián)合管理再次解決了這個(gè)問(wèn)題。自由聯(lián)盟管理委員會(huì)主席George Goodman提到自由聯(lián)盟力圖解決的安全問(wèn)題時(shí)說(shuō)：“往往出現(xiàn)這一幕，A公司制作的磁帶上附有用戶名和口令，然后把磁帶送到B公司。我們多次聽(tīng)到這樣的說(shuō)法，‘過(guò)去我們就是這么做的?！比缃瘢S多公司可以就哪些身份信息需要從一家組織傳到另一家組織達(dá)成共識(shí)，并通過(guò)安全通道（HTTPS）來(lái)傳送。

Goodman說(shuō)：“這不用交換不必要的信息，從而提高了安全性?！贝送?，這也簡(jiǎn)化了審查誰(shuí)可以訪問(wèn)什么資源的問(wèn)題，因?yàn)樗羞@些信息都集中放在一個(gè)地方。

當(dāng)然，單次登錄實(shí)際上也給了想方設(shè)法破壞網(wǎng)絡(luò)安全的人更大的支配權(quán)?？紤]到內(nèi)部攻擊，這不是一個(gè)小問(wèn)題。CSO們需要在安全方面作一權(quán)衡：聯(lián)合身份管理解決的問(wèn)題是不是比它帶來(lái)的問(wèn)題來(lái)得嚴(yán)重？

更重要的是，聯(lián)合身份管理的核心是關(guān)系，這需要權(quán)衡風(fēng)險(xiǎn)。顧問(wèn)Gee說(shuō)：“你要假定，你可以承受與第三方建立這種關(guān)系帶來(lái)的風(fēng)險(xiǎn)。從某種意義上來(lái)說(shuō)，這在安全方面可能沒(méi)有好處，但你建立的業(yè)務(wù)關(guān)系對(duì)貴公司來(lái)說(shuō)大有意義?！?

建立信任而不是組建技術(shù)往往是實(shí)施任何項(xiàng)目最困難的一部分。即便是在一所大學(xué)里面，Goldsmith也發(fā)現(xiàn)這是個(gè)難題。他說(shuō)：“所有院校都有自己的特性，而現(xiàn)在我們?cè)噲D讓這些院校信任對(duì)方。隨著我們不斷前行，這將是惟一可行的辦法?！?

尋找商業(yè)理由

今年8月，Milliman Benefit資源中心的負(fù)責(zé)人兼主任Craig Burma正在給一個(gè)新的聯(lián)合項(xiàng)目作最后改進(jìn)。Burma說(shuō)，他清晰地記得項(xiàng)目動(dòng)工的那天，Milliman的一個(gè)大客戶（一家頂尖經(jīng)紀(jì)行）要求他為這家經(jīng)紀(jì)行的客戶提供無(wú)縫訪問(wèn)Milliman的養(yǎng)老金服務(wù)的便利。

那家經(jīng)紀(jì)行打電話給Milliman，說(shuō)自己正設(shè)法與一新客戶達(dá)成交易。該經(jīng)紀(jì)行將管理新客戶的員工退休計(jì)劃，但這個(gè)準(zhǔn)客戶希望其員工能夠訪問(wèn)養(yǎng)老金信息（經(jīng)紀(jì)行把它外包給了Milliman），且不需要另一個(gè)口令。為此，Milliman只好建立身份聯(lián)合系統(tǒng)，獲得員工提供給這家經(jīng)紀(jì)行的身份信息，然后利用這些信息傳送養(yǎng)老金信息。

Burma回憶說(shuō)：“我們當(dāng)時(shí)就立即回復(fù)‘我們能做到’?！钡獌冬F(xiàn)這種承諾，確實(shí)面臨很大的壓力，這需要檢查中央身份存儲(chǔ)庫(kù)——RSA的聯(lián)合身份管理器（ Federated Identity Manager），弄清楚用戶身份、他需要訪問(wèn)哪些東西，而不是要求提供用戶名和口信。Burma說(shuō)：“五年前，你要是對(duì)我說(shuō)，我非常信任這套系統(tǒng)，會(huì)給人看社會(huì)安全號(hào)碼、配偶姓名以及養(yǎng)老金，我會(huì)用一片譏笑聲把你趕出房間?！?

減少一次登錄可以節(jié)省多少成本，這很難評(píng)估。不過(guò)，因?yàn)槟憧梢蕴峁┑腎T功能而獲得新客戶顯然極為重要。在將來(lái)，實(shí)施了身份聯(lián)合系統(tǒng)的人認(rèn)為會(huì)有更多的投資回報(bào)。Erickson提到Aramark的單次登錄具有的優(yōu)點(diǎn)時(shí)說(shuō)：“我們正在盡量簡(jiǎn)化人們購(gòu)買我們產(chǎn)品的流程?！?

說(shuō)到安全，聯(lián)合身份管理可能會(huì)帶來(lái)回報(bào)，也可能不會(huì)。Gartner公司的Wagner說(shuō)：“聯(lián)合主要帶來(lái)兩個(gè)優(yōu)點(diǎn)——便利與支持業(yè)務(wù)。與商業(yè)效益相比，安全方面的提高并不大。我們只想確保我們的系統(tǒng)與以前一樣安全?！?

至于商業(yè)理由？也許這要由別人來(lái)確定。

Brixius說(shuō)：“公司會(huì)最終承擔(dān)進(jìn)行聯(lián)合身份的成本?！彼诖_保麥格勞－希爾公司落實(shí)一套可靠的內(nèi)部身份管理系統(tǒng)，期望將來(lái)實(shí)現(xiàn)身份聯(lián)合。“會(huì)有許多決策將基于降低風(fēng)險(xiǎn)、簡(jiǎn)化流程、為我們的客戶創(chuàng)造價(jià)值。我認(rèn)為，將會(huì)有投資回報(bào)，而獲得投資回報(bào)的公司將成為推動(dòng)力量，使我們能夠?qū)嵤┻@項(xiàng)技術(shù)來(lái)支持業(yè)務(wù)需求?！?

鏈接：聯(lián)合身份管理實(shí)戰(zhàn)

1.如何選擇合作伙伴

Fifth Third Bank很早就采用了聯(lián)合身份管理，它曾經(jīng)幫助并且正在幫助幾個(gè)業(yè)務(wù)合作伙伴組建聯(lián)合身份管理系統(tǒng)。它又是如何確定哪些合作伙伴是合適對(duì)象的呢？首席技術(shù)架構(gòu)師Jeff Anderson說(shuō)，以下是這家銀行采取的方式：

● 通過(guò)單次登錄使用應(yīng)用程序有什么商業(yè)價(jià)值？

● 另一家公司是穩(wěn)定的提供者嗎？

● 這屬于哪種關(guān)系：企業(yè)對(duì)企業(yè)、企業(yè)對(duì)消費(fèi)者還是企業(yè)對(duì)員工？企業(yè)對(duì)員工關(guān)系不太復(fù)雜，因?yàn)槟銓?duì)信息有比較大的控制權(quán)，而且法規(guī)需求比較少。

● 應(yīng)用程序的使用頻率如何？多少人在使用？如果每年只有少數(shù)幾人在使用應(yīng)用程序，不可能會(huì)有充足的理由需要聯(lián)合。

● 另一家公司對(duì)單次登錄的熟悉程度如何？Anderson說(shuō)：“要是他們從來(lái)沒(méi)有聽(tīng)說(shuō)過(guò)安全聲明標(biāo)記語(yǔ)言（SAML），我們知道那會(huì)很難?！?

2. 如何選擇項(xiàng)目

得克薩斯大學(xué)的結(jié)構(gòu)就像一家獨(dú)立的公司——行政總部加上作為獨(dú)立部門運(yùn)作的16所院校。一個(gè)大規(guī)模的聯(lián)合身份管理項(xiàng)目將把其整個(gè)州的各行政職能部門聯(lián)系起來(lái)，而得克薩斯大學(xué)部署的第一個(gè)部分就是授予來(lái)訪行政人員訪問(wèn)總部Wi-Fi網(wǎng)絡(luò)的權(quán)限。為什么是Wi-Fi網(wǎng)絡(luò)？CIO Clair Goldsmith說(shuō)，以下是小組選擇這個(gè)項(xiàng)目所用的標(biāo)準(zhǔn)。

● 訪問(wèn)不是關(guān)鍵任務(wù)型的系統(tǒng)。即便部署出現(xiàn)了問(wèn)題，受到的影響也極小。

● 每所院校都參與其中。一旦系統(tǒng)運(yùn)行起來(lái)，Goldsmith就會(huì)知道所需的各部分已到位。

● 在任何一所院校，不是許多人都參與其中。事實(shí)上，任何問(wèn)題不會(huì)牽涉大量的人。

● 項(xiàng)目具有重要地位。校長(zhǎng)及其他來(lái)訪行政人員可能會(huì)把積極改進(jìn)的信息帶回本校園。(ccw)