聯(lián)合身份管理真相

申請免費試用、咨詢電話：400-8352-114

隨著基于Web的應(yīng)用不斷增多，身份管理開始逐漸得到用戶的重視。這種建立在Web上的單次登錄方式正給用戶帶來極大的便利，同時它還帶來了意想不到的安全助益以及潛在缺點。那么，用戶該如何對企業(yè)員工及其業(yè)務(wù)合作伙伴實現(xiàn)身份管理，通過簡化了的登錄方式，帶來最大的商業(yè)價值？該如何進行具體部署，逐步推進身份管理的應(yīng)用？為此，本欄目特組織身份管理專題，針對相關(guān)問題進行解答。

Aramark是一家年產(chǎn)值110億美元的食品服務(wù)公司，它似乎是率先使用聯(lián)合身份管理的公司——讓業(yè)務(wù)合作伙伴可以自動訪問自己的應(yīng)用系統(tǒng)，且不需要多道口令。

Aramark有合適的客戶：每年有大筆預(yù)算的大學(xué)和《財富》500強公司。它也有合適的電子商務(wù)經(jīng)營模式：每周來自425個地方250家公司的員工登錄、使用Aramark的基于Web的專有軟件MyAssistant.com，他們可以訂購從三明治、巧克力餅、會議室到麥克風(fēng)的一切東西。今年，Aramark應(yīng)一個客戶的要求，開始讓該客戶的4500名員工只需登錄到該公司的網(wǎng)絡(luò)上，就可以登錄到MyAssistant.com。

那么，為什么Aramark的其他業(yè)務(wù)合作伙伴還沒有加入進來呢？事實證明，因業(yè)務(wù)和安全需求有必要使用聯(lián)合安全管理的Aramark也清楚地知道，很少有公司準備好與業(yè)務(wù)合作伙伴達成這樣的密切關(guān)系，并采用如此大膽的安全措施。

從積極方面來看，Aramark的IT副總裁Steve Erickson提到Aramark實施該技術(shù)時說：“這把安全義務(wù)從我們轉(zhuǎn)移到了客戶身上，因為客戶知道其員工什么時候離開組織。這從本質(zhì)上也使我們的應(yīng)用更安全了。”

盡管聯(lián)合身份管理具有種種潛在的好處，但也許永遠也無法在少數(shù)幾個特定應(yīng)用領(lǐng)域以外流行起來。的確，公司在匆忙實施聯(lián)合身份管理項目之前謹小慎微是明智之舉。歷史上不乏這樣的先例，原本有望引起革命的通信方法因采用者寥寥而失敗：傳真電報、1964年世界博覽會上的可視電話和衛(wèi)星電話等?，F(xiàn)在，我們根本不能肯定聯(lián)合身份管理是否會達到這樣的數(shù)量：足夠多的人擁有它，以至于讓人人都想擁有它。

Chris Gervais是評估這項技術(shù)的波士頓Partners HealthCare的高級研究分析師，他說：“顯然，要是我們分析一下業(yè)務(wù)需求，聯(lián)合身份管理技術(shù)會提供價值，但那樣我們得找到與之聯(lián)合的其他人。這跟早期電話存在的問題一樣，你有電話并不重要，重要的是你想與之通話的對方也有電話?！?

聯(lián)合的實質(zhì)

聯(lián)合身份管理本身并不是安全項目，但因為聯(lián)合身份管理與訪問有關(guān)，所以給安全負責(zé)人帶來了大好機會。咨詢公司Ponica的創(chuàng)辦人、百事可樂公司前任CISO Bryan Palma說：“這是一項支持技術(shù)，而不是防火墻之類的預(yù)防技術(shù)?！币驗樯矸莨芾碇饕亲尅昂萌恕边M入訪問，而不是把“壞人”擋在外面， Palma說?！癈ISO可通過它為企業(yè)帶來正面影響?！笔紫踩伲–SO）在分析隨之而來的難題時，應(yīng)牢記這種回報。

聯(lián)合身份管理需要一系列復(fù)雜的技術(shù)和業(yè)務(wù)流程，但目的很簡單：跨越管理邊界，自動共享身份信息。這些邊界可能在服務(wù)提供者和客戶之間，Aramark屬于這種情況。一個典型案例是美國運通公司，它的企業(yè)客戶允許員工不需要另外登錄，即可訪問出差和費用管理服務(wù)。

邊界也可能在制造商和客戶之間。譬如說，波音公司就與航空公司客戶合作或者“聯(lián)合”，西北航空公司的機修工可以無縫訪問保存在波音公司服務(wù)器上的最新維修手冊。

第三種邊界在公司和外包商之間。這種聯(lián)合的一個早期例子就是辛辛那提的Fifth Third Bank。該銀行已決定外包部分人力資源職能，但仍希望員工易于訪問福利信息。

最后，聯(lián)合甚至可以把組織內(nèi)部連接起來。得克薩斯大學(xué)正在實行龐大的聯(lián)合身份管理項目，將把所有邊遠校園的行政職能連接起來。

從最終用戶的角度來看，這一切意味著基于Web的單次登錄，用戶不必向另一個計算機網(wǎng)絡(luò)自報家門。在企業(yè)的幫助下，計算機可以把他介紹給另一個計算機網(wǎng)絡(luò)，只要共享采用約定格式的一組證書，驗證就會自動進行。

在幕后，通常實現(xiàn)這一切的標準名為安全聲明標記語言（SAML），這種XML協(xié)議可用來共享有關(guān)某人身份、允許哪些操作的信息。含有這種身份信息的SAML“令牌”在屬于聯(lián)合系統(tǒng)的不同網(wǎng)絡(luò)上的計算機之間來回傳送：一方充當(dāng)“聲明方”，負責(zé)發(fā)送令牌；另一方充當(dāng)“依賴方”，負責(zé)接收令牌。

Fifth Third Bank的首席技術(shù)架構(gòu)師Jeff Anderson說：“這讓人覺得好像一方是控制方，另一方是被控制方，但這只是個術(shù)語而已?！边@家銀行已經(jīng)部署了三個聯(lián)合身份管理系統(tǒng)，并且正準備再部署11個系統(tǒng)。“聲明方”可以是任何一方，甚至是第三方，雙方必須同意允許訪問，任何一方都可以隨時取消訪問權(quán)。Anderson說，重要的是，“聲明方”的系統(tǒng)既要可信，又要安全。在理想及標準化的環(huán)境下，整個信任圈輕而易舉就能以這種方式相互聯(lián)系。

標準問題

聯(lián)合身份管理方案不止一兩種。SAML是由結(jié)構(gòu)化信息標準促進組織（OASIS）制訂的，這個非營利性組織得到了EDS、IBM和Sun等重量級IT廠商的資助，旨在推動及促進Web服務(wù)。

最初，OASIS在聯(lián)合身份管理方面的工作與另一家行業(yè)組織——自由聯(lián)盟（Liberty Alliance）開展的工作一樣。自由聯(lián)盟由同樣這些IT廠商，以及包括通用汽車和富達在內(nèi)的非技術(shù)公司創(chuàng)辦而成，目的在于形成聯(lián)合身份管理方面的最佳實踐，它實際上使用了OASIS已確定的SAML令牌。

用Gartner公司副總裁Ray Wagner的話來說，自由聯(lián)盟和OASIS兩個組織所從事工作之間的區(qū)別好比是購買電影票和進入電影院之間的區(qū)別。“SAML就是那張電影票，自由聯(lián)盟就是你朝檢票人員走過去、出示進入電影院的門票。”

好消息是，去年自由聯(lián)盟把大量工作移交給了OASIS，如今最新版本的SAML（2.0）采用了這些令牌處理協(xié)議。

同時，微軟及IBM已制訂了一項不同的專有規(guī)范，名為WS-Federation。WS-Federation讓客戶可以使用名為微軟活動目錄聯(lián)合服務(wù)的產(chǎn)品，把安裝的活動目錄與其他活動目錄連接起來。該系統(tǒng)可以讀取SAML令牌以及其他類型的身份信息，不過處理令牌的方式并不相同。

雖然微軟向OASIS提交了一系列規(guī)范以便開放使用，但到目前為止，它還沒有發(fā)布WS-Federation。據(jù)微軟公司發(fā)言人聲稱，眼下也沒有這樣做的計劃。與此同時，許多組織因許可問題而不愿實施基于WS-Federation的項目，而是轉(zhuǎn)向SAML/Liberty。

Wagner說：“安裝的各大系統(tǒng)都使用SAML令牌和自由聯(lián)盟的協(xié)議，這些人沒有在空等微軟?！?

實際上，許多人說聯(lián)合身份管理就是SAML。紐約市麥格勞—希爾出版公司的副總裁兼CSO Dennis Brixius說：“如果你談?wù)撘环N真正的聯(lián)合，它其實是指SAML。WS-Federation也許與SAML一樣好，但采用它的廠商并不多?！?

這可以歸結(jié)為，如果我選擇A，但你選擇了B，那就無法聯(lián)系。最后我們會有兩個標準嗎？絕對如此，但有兩個標準只會加大業(yè)務(wù)經(jīng)營成本。

眼下，成本來自可以使用這兩種協(xié)議的工具。聯(lián)合工具廠商正在把結(jié)合WS-Federation和SAML/Liberty兩種協(xié)議的功能加入到產(chǎn)品中，其中就有RSA、擁有Tivoli產(chǎn)品線的IBM、Ping Identity，以及收購了Trustgenix的惠普。然后，客戶要把這些產(chǎn)品與身份管理基礎(chǔ)設(shè)施或者想要允許用戶訪問的任何應(yīng)用程序集成起來。

從安全角度來看，公司應(yīng)當(dāng)走哪條路線不但取決于操作環(huán)境，還取決于選擇開放源代碼方案還是選擇專有方案。采用任何一種規(guī)范的組織越多，將來它就越會吸引黑客尋找漏洞。

迄今為止，咨詢公司ICSynergy已開展了大約九個聯(lián)合身份管理項目。創(chuàng)辦人兼CTO Martin Gee說：“開放源代碼的支持者說，通過把一切公開，每個人都可以不斷提高安全。另一些人卻堅持認為，如果開放，每個人都知道如何侵入。”

簡化但不簡單

不管貴公司想選擇哪種實施方案，聯(lián)合身份管理可以立即帶來極為明顯的安全好處：簡化口令管理。如今用戶抱怨口令太多，聯(lián)合身份管理可以大大緩解這種壓力。

得克薩斯大學(xué)的副校長兼CIO Clair Goldsmith通過把自己的75個口令保存到硬盤上的加密區(qū)域來跟蹤這些口令。Goldsmith說：“我知道，我們根本無法實現(xiàn)單次登錄——我沒有亂說。”這所學(xué)校實施大規(guī)模的聯(lián)合身份管理計劃已有兩年，但他也知道，減少登錄次數(shù)不失為讓大家接受項目的好方法。

這正是這所大學(xué)最初部署Shibboleth（大學(xué)組織推行的一種SAML）的原因，旨在讓管理得克薩斯大學(xué)15個邊遠校園的行政人員可以輕松訪問奧斯汀總部的無線網(wǎng)絡(luò)。

Goldsmith說：“以前，他們只能前往行政辦公室，設(shè)法用筆記本電腦登錄到網(wǎng)絡(luò)上，卻上不了。然后，他們回到自己的辦公室，抱怨前一天他們?nèi)チ诵姓髽?，卻無法訪問網(wǎng)絡(luò)?！?

如今，員工們打開筆記本電腦后，“會出現(xiàn)一個本地網(wǎng)頁，顯示‘請選擇所在院?！梢赃x擇任何一個院校，然后被引到該院校，即可登錄上去。然后，系統(tǒng)會傳回我們能識別的一部分特定數(shù)據(jù)即SAML令牌，我們就允許員工訪問系統(tǒng)?！?

這簡化了最終用戶和技術(shù)支持人員的工作，不過Goldsmith覺得這也提高了網(wǎng)絡(luò)安全性：個人受到了所在院校的審查，所以Goldsmith的人員不必跟蹤誰可以訪問大學(xué)資源。系統(tǒng)并沒有加強驗證機制——它只是解決了一個問題。Goldsmith說：“聯(lián)合身份管理無疑比開放式無線網(wǎng)絡(luò)來得安全。”

這一切為我們帶來了聯(lián)合身份管理的第二個明顯的好處：簡化了用戶配置。管理身份最棘手的一個方面就是跟蹤哪些用戶離開了公司或者換了工作。即便是在一家公司里面，這項工作也很難。想設(shè)法跨公司邊界進行跟蹤簡直是不可能的，身份聯(lián)合管理再次解決了這個問題。自由聯(lián)盟管理委員會主席George Goodman提到自由聯(lián)盟力圖解決的安全問題時說：“往往出現(xiàn)這一幕，A公司制作的磁帶上附有用戶名和口令，然后把磁帶送到B公司。我們多次聽到這樣的說法，‘過去我們就是這么做的?！比缃?，許多公司可以就哪些身份信息需要從一家組織傳到另一家組織達成共識，并通過安全通道（HTTPS）來傳送。

Goodman說：“這不用交換不必要的信息，從而提高了安全性?！贝送?，這也簡化了審查誰可以訪問什么資源的問題，因為所有這些信息都集中放在一個地方。

當(dāng)然，單次登錄實際上也給了想方設(shè)法破壞網(wǎng)絡(luò)安全的人更大的支配權(quán)?？紤]到內(nèi)部攻擊，這不是一個小問題。CSO們需要在安全方面作一權(quán)衡：聯(lián)合身份管理解決的問題是不是比它帶來的問題來得嚴重？

更重要的是，聯(lián)合身份管理的核心是關(guān)系，這需要權(quán)衡風(fēng)險。顧問Gee說：“你要假定，你可以承受與第三方建立這種關(guān)系帶來的風(fēng)險。從某種意義上來說，這在安全方面可能沒有好處，但你建立的業(yè)務(wù)關(guān)系對貴公司來說大有意義?！?

建立信任而不是組建技術(shù)往往是實施任何項目最困難的一部分。即便是在一所大學(xué)里面，Goldsmith也發(fā)現(xiàn)這是個難題。他說：“所有院校都有自己的特性，而現(xiàn)在我們試圖讓這些院校信任對方。隨著我們不斷前行，這將是惟一可行的辦法。”

尋找商業(yè)理由

今年8月，Milliman Benefit資源中心的負責(zé)人兼主任Craig Burma正在給一個新的聯(lián)合項目作最后改進。Burma說，他清晰地記得項目動工的那天，Milliman的一個大客戶（一家頂尖經(jīng)紀行）要求他為這家經(jīng)紀行的客戶提供無縫訪問Milliman的養(yǎng)老金服務(wù)的便利。

那家經(jīng)紀行打電話給Milliman，說自己正設(shè)法與一新客戶達成交易。該經(jīng)紀行將管理新客戶的員工退休計劃，但這個準客戶希望其員工能夠訪問養(yǎng)老金信息（經(jīng)紀行把它外包給了Milliman），且不需要另一個口令。為此，Milliman只好建立身份聯(lián)合系統(tǒng)，獲得員工提供給這家經(jīng)紀行的身份信息，然后利用這些信息傳送養(yǎng)老金信息。

Burma回憶說：“我們當(dāng)時就立即回復(fù)‘我們能做到’?！钡獌冬F(xiàn)這種承諾，確實面臨很大的壓力，這需要檢查中央身份存儲庫——RSA的聯(lián)合身份管理器（ Federated Identity Manager），弄清楚用戶身份、他需要訪問哪些東西，而不是要求提供用戶名和口信。Burma說：“五年前，你要是對我說，我非常信任這套系統(tǒng)，會給人看社會安全號碼、配偶姓名以及養(yǎng)老金，我會用一片譏笑聲把你趕出房間?！?

減少一次登錄可以節(jié)省多少成本，這很難評估。不過，因為你可以提供的IT功能而獲得新客戶顯然極為重要。在將來，實施了身份聯(lián)合系統(tǒng)的人認為會有更多的投資回報。Erickson提到Aramark的單次登錄具有的優(yōu)點時說：“我們正在盡量簡化人們購買我們產(chǎn)品的流程?！?

說到安全，聯(lián)合身份管理可能會帶來回報，也可能不會。Gartner公司的Wagner說：“聯(lián)合主要帶來兩個優(yōu)點——便利與支持業(yè)務(wù)。與商業(yè)效益相比，安全方面的提高并不大。我們只想確保我們的系統(tǒng)與以前一樣安全?！?

至于商業(yè)理由？也許這要由別人來確定。

Brixius說：“公司會最終承擔(dān)進行聯(lián)合身份的成本?！彼诖_保麥格勞－希爾公司落實一套可靠的內(nèi)部身份管理系統(tǒng)，期望將來實現(xiàn)身份聯(lián)合?！皶性S多決策將基于降低風(fēng)險、簡化流程、為我們的客戶創(chuàng)造價值。我認為，將會有投資回報，而獲得投資回報的公司將成為推動力量，使我們能夠?qū)嵤┻@項技術(shù)來支持業(yè)務(wù)需求?！?

鏈接：聯(lián)合身份管理實戰(zhàn)

1.如何選擇合作伙伴

Fifth Third Bank很早就采用了聯(lián)合身份管理，它曾經(jīng)幫助并且正在幫助幾個業(yè)務(wù)合作伙伴組建聯(lián)合身份管理系統(tǒng)。它又是如何確定哪些合作伙伴是合適對象的呢？首席技術(shù)架構(gòu)師Jeff Anderson說，以下是這家銀行采取的方式：

● 通過單次登錄使用應(yīng)用程序有什么商業(yè)價值？

● 另一家公司是穩(wěn)定的提供者嗎？

● 這屬于哪種關(guān)系：企業(yè)對企業(yè)、企業(yè)對消費者還是企業(yè)對員工？企業(yè)對員工關(guān)系不太復(fù)雜，因為你對信息有比較大的控制權(quán)，而且法規(guī)需求比較少。

● 應(yīng)用程序的使用頻率如何？多少人在使用？如果每年只有少數(shù)幾人在使用應(yīng)用程序，不可能會有充足的理由需要聯(lián)合。

● 另一家公司對單次登錄的熟悉程度如何？Anderson說：“要是他們從來沒有聽說過安全聲明標記語言（SAML），我們知道那會很難。”

2. 如何選擇項目

得克薩斯大學(xué)的結(jié)構(gòu)就像一家獨立的公司——行政總部加上作為獨立部門運作的16所院校。一個大規(guī)模的聯(lián)合身份管理項目將把其整個州的各行政職能部門聯(lián)系起來，而得克薩斯大學(xué)部署的第一個部分就是授予來訪行政人員訪問總部Wi-Fi網(wǎng)絡(luò)的權(quán)限。為什么是Wi-Fi網(wǎng)絡(luò)？CIO Clair Goldsmith說，以下是小組選擇這個項目所用的標準。

● 訪問不是關(guān)鍵任務(wù)型的系統(tǒng)。即便部署出現(xiàn)了問題，受到的影響也極小。

● 每所院校都參與其中。一旦系統(tǒng)運行起來，Goldsmith就會知道所需的各部分已到位。

● 在任何一所院校，不是許多人都參與其中。事實上，任何問題不會牽涉大量的人。

● 項目具有重要地位。校長及其他來訪行政人員可能會把積極改進的信息帶回本校園。(ccw)