浅谈云时代如何解决身份管理
2022-3-11 11:18:31 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

01用户密码疲劳

尽管 SaaS 给最初使用用户更容易访问他们的应用程序,但复杂性会随着应用程序的数量迅速增加。每个应用程序都有自己的身份存储,具有自己的登录 URL 和密码要求。由于用户花时间尝试在所有应用程序中重置、记住和管理这些不断变化的密码和 URL,面对登录凭据的激增会导致用户生产力下降和用户挫败感增加。

用户对这种“密码疲劳”的反应是使用明显的、不安全的密码或在多个系统中重复使用相同的密码,从而导致安全风险。甚至,这些密码通常写在便利贴上或保存在笔记本电脑上的不安全文本文档中。

基于云的 OneAuth 服务可以通过在所有这些应用程序中提供单点登录 (SSO) 来缓解这些问题,为用户提供一个使用单个用户名和密码访问其所有资源的中心位置。SSO 解决方案可以很好地连接到云应用程序和本地应用程序,解决了很多公司对这两种连接方式的需求。

大多数企业使用 Microsoft Active Directory (AD) 作为权威用户目录,用于管理对基本 IT 服务的访问,例如电子邮件和文件共享。AD 通常还用于控制对更广泛的业务应用程序和 IT 系统的访问。

正确的按需 IAM 解决方案应该利用 Active Directory,并允许用户继续使用他们的 AD 凭证来访问 SaaS 应用程序——这增加了用户找到他们公司提供的最新和最好的 SaaS 应用程序的可能性。

02容易出错的手动权限赋予和撤销的过程

当新员工入职时,IT部门通常会为员工提供公司网络、文件服务器、电子邮件帐户和打印机的访问权限。由于许多 SaaS 应用程序是在部门级别管理的,因此对这些应用程序的访问通常由特定应用程序的管理员单独授予,而不是由 IT 部门统一授予。

鉴于其按需架构,SaaS 应用程序应该易于集中配置。现代 IAM 解决方案应该能够自动配置新的 SaaS 应用程序,作为现有入职流程的自然扩展。将用户添加到核心目录服务(例如 Active Directory)时,他们在特定安全组中的成员身份应确保自动为他们提供适当的应用程序并为其角色授予访问权限。

员工离职是一个更大的问题。IT 可以集中撤销对电子邮件和公司网络的访问权限,但他们必须依靠外部应用程序管理员来撤销终止员工对每个 SaaS 应用程序的访问权限。权限撤销的延迟使公司容易受到攻击——关键的业务应用程序和数据掌握在可能心怀不满的前员工手中。

强大的 IAM 解决方案不仅应使 IT 能够自动添加新应用程序,而且 还应提供:

跨所有应用程序自动取消用户配置
与所有用户存储深度集成,包括 Active Directory 和 LDAP
IAM 服务应该让公司更加安心,即使员工离职,公司的相关登录权限也得以及时收回。

03合规性可见性:谁可以访问什么?

了解谁有权访问应用程序和数据、他们在哪里访问以及使用哪些应用很重要的。

您的管理员要了解哪些员工可以访问您的应用程序和数据,您需要对所有系统进行集中可见性和控制。您的 IAM 服务应该使您能够设置跨服务的访问权限,并提供跨访问权限、供应和取消供应以及用户和管理员活动的集中合规性报告。

04每个应用程序的孤立用户目录

大多数企业都在使用企业目录(如 Microsoft Active Directory),以管理对本地网络资源的访问。

随着业务向云服务的迁移,他们需要的利用源目录并将其扩展到云,而不是仅为那些新的 SaaS 应用程序创建新的目录和访问管理基础架构。 最佳的基于云的 IAM 解决方案应提供集中的、开箱即用的集成到您的中央 Active Directory 或 LDAP 目录中,这样您就可以无缝地利用这些投资并将其扩展到这些新应用程序——无需本地设备或需要修改防火墙。当您从该目录添加或删除用户时,应通过 SSL 等行业标准自动修改对基于云的应用程序的访问,而无需更改任何网络或安全配置。

05管理远程工作的访问权限

云应用程序的一大好处是可以从任何连接互联网的设备访问。但更多的应用程序意味着更多的 URL 和用户名密码,移动设备的兴起引入了另一个管理和支持的接入点。

跨多个设备和平台的访问——这是现有 IAM 系统的一项艰巨任务。 基于云的 IAM 解决方案应帮助用户和管理员解决“随时随地从任何设备”访问的问题。它不仅应该为所有用户应用程序提供基于浏览器的 SSO,还应该了解用户的上下文,例如位置、设备和行为。 边界不再是网络级别,而是身份级别。

06使应用程序列表集成保持最新

真正集中单点登录和用户管理需要构建与众多应用程序的集成,并更新每个应用程序URL。对于绝大多数公司而言,让他们的 IT 部门在不断变化的环境中维护自己的“连接器”集合是不现实且低效的。

此外,无论是在本地还是在云端,应用程序都会随着时间而变化。一个好的基于云的 IAM 解决方案应该跟上这些变化,并确保应用程序集成以及您的访问始终是最新的和功能性的。您的 IAM 服务应该协调所有不同的集成技术和方法,使这些问题对 IT管理来说是透明的。

07管理模式分散化

随着云应用程序的启动和运行变得更容易且成本更低,公司每天都在采用更多的点 SaaS 解决方案。这些解决方案通常由公司中的相应职能部门管理,这可能产生新问题,因为没有集中管理用户和应用程序,或提供报告和分析。

云 IAM 服务应为 IT 提供跨云和本地应用程序的集中管理、报告以及用户和访问管理。此外,该服务应包括一个内置的安全模型,为您的个人应用程序管理员提供适当级别的访问权限,以便他们可以在同一 IAM 系统中管理其特定用户和应用程序。

08缺乏对云应用的统计性

云应用程序兴起的一个原因是,每月订阅模式已经取代了传统软件的一次性购买。老板显然更愿意为员工实际使用而付费。然而,由于没有集中使用情况管理,IT 和财务无法随时直观的统计使用数。

基于云的 IAM 服务应提供对其订阅数的利用率的准确可见统计,可以帮助 IT 优化 SaaS 订阅支出。管理人员可以能够实时访问服务利用率相关信息。

09集中化的接入对本地和云应用程序

大多数企业业务都分布在本地和云,用户需要访问混合的 SaaS 应用程序和本地 Web 应用程序(例如 ERP、财务或企业解决方案),且具有相同级别的安全性和易用性。

多终端访问使得可以在任何地方都能够安全访问。

IT 管理使用孤立的 IAM 解决方案增加了额外的问题:一个用于本地,另一个用于云应用程序。

现代基于云的 IAM 服务可以同时管理。它们为本地应用程序提供访问网关,扩展所有应用程序的安全性和生产力优势,无论它们托管在哪里。最终用户可以从单个仪表板访问云和本地应用程序, 管理员可以集中化控制和审核访问。

OneAuth UD 提供目录服务、单点登录、强大的多因素身份验证、自动配置、自动化工作流程和直观的界面展示。使用 Oneauth 管理任何应用程序、人员或设备的访问,以加强安全性、提升人们的工作效率的同时保持合规。


文章来源: https://www.freebuf.com/articles/neopoints/324468.html
如有侵权请联系:admin#unsafe.sh