关于单点登录的七个经验教训

在一个新的组织里,一个人在短时间内获得的用户名和密码的数量真是太惊人了。到第一周结束时,您可以访问电子邮件、PC和网络,更不用说您需要访问的所有内部网站。

但是,考虑到生产力的提高,再加上需要帮助台的干预和大量的便签放在我的桌面吸墨纸下,IT组织向前迈进,以实现神话般的单点登录。它们的不足有很多原因,主要是因为缺乏对人和系统的真正要求的理解。

虽然下面的列表并不包括在内,但它确实提供了在尝试部署单点登录和忽视软件供应商宣传方面的经验教训。

第1课

用户期望他只需要一次凭据,即“who are you”身份验证过程。系统要求提供凭据,以便确定授权,即允许您执行的操作。将这两个过程视为独立的实体。身份验证(质询/响应)将令牌作为密钥提供给后续的授权检查。实际的系统需求是基于来自单个身份验证会话的信息的多个授权会话(每个访问的系统一个)。

第2课

用户喜欢在许多系统上保留用户名,特别是在允许他们创建用户名的情况下。单点登录并不意味着将用户名的数量减少到任意分配的数量。(在LDAP模式中,属性“uid”是多值的。)出于语法或策略原因,强制使用多个用户名。

第3课

密码同步不是单点登录。您可以部署密码同步软件来帮助用户在多个帐户上维护单个密码。一些组织通过减少服务台呼叫来证明部署费用的合理性。但这并不能减少一个人被质疑的次数。问题的一个很好的部分是不同的系统强制执行不同的密码更改策略。

第4课

单点登录并不意味着要登录到一个站点才能登录到所有系统。用户有多种获取访问权限的方法,从使用SecurID的VPN到连接到Active Directory的桌面环境。用户设想一个单一的挑战/响应,而不考虑进入网络环境。在部署时,请注意它们在网络环境的入口点被质询的实际次数,而不是单个质询绕过的系统数。必须返回到一个站点或在用户的桌面上维护一个客户端(作为一个看门人)是一种人为的束缚。人为的障碍,比如为了获得证书而自动启动应用程序,是令人恼火的。

第5课

当一个人通过身份验证时,他会启动一个会话,该会话有一个生命周期,并对空闲超时进行一些控制。用户不希望再次被质询凭据。如果单点登录要真正有效,请考虑用户在进入网络环境时进行身份验证。一旦被允许进入网络环境,用户就可以在独立于时间的事件中自由地在不同的系统中移动,这取决于授权给每个系统的权限。只要会话处于活动状态,用户就不会再被询问。一个好的设计会考虑令牌的存储位置(显然不在用户磁盘上,并且无法解密)。

第6课

不要忘记审计和跟踪的安全性方面。为所有身份验证访问(或尝试)创建日志的事实并不排除需要在每个系统的授权点保持警惕。用户的识别应以系统最熟悉的形式进行。在身份验证时,必须存储用户名;在授权时,可以存储用户名,但更重要的是,必须存储用于授权的密钥。

第7课

为了有效地部署单点登录,组织必须实现某种类型的身份管理。用户的标识包含预期的身份验证信息。它还包含授权信息,这是一个允许连接系统完成授权过程的密钥。用户可以使用首字母和姓氏加上用于身份验证的密码来响应质询;身份包含员工编号,用于授权访问系统。

根据我的经验,可以部署单点登录系统,但这需要大量的计划。规划不仅是从身份管理和身份访问开始的技术层面,而且是对可用性的系统工程评审。项目的成功与否取决于它是否被用户自愿接受,而用户不会感到被迫遵守。

史蒂夫普里莫斯特是位于罗来纳州普罗维登斯的德事隆公司(信息系统)技术办公室的首席科学家。他特别热衷于身份管理。他拥有超过30年的IT经验,包括15年的目录(LDAP)经验和10年的元目录经验,专注于为业务应用程序的部署提供一个安全的环境。