https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

單一登入解決方案 通往璀璨的未來

2004 / 11 / 12
Lawrence M. Walsh 翻譯 路克
單一登入解決方案  通往璀璨的未來

將信件安然送達目的地,不僅是蓋上一個郵戳且交給郵差送件那麼簡單。美國郵政服務龐大的工作體系,就像是一支軍隊,從收件、分類處理到送件,每天要處理近六億封的信件。

為了完成這個任務,郵局員工要透過操作「郵件處理系統」、「追蹤與派送系統」、「送件排程與財務資料資料庫」及一般的辦公室軟體,方足以應付來自各地的郵件及分佈全國37,000個的郵政網絡。因此每個員工平均要記住十組密碼,比起一般企業員工可能要記得六至八組密碼來得多。Bob Otto是郵局的CTO,他說道「面對各式各樣令人頭暈目眩的應用服務,外加30萬員工用戶的作業需求,真是件苦差事。」

「如果員工記不住這麼多組密碼,他們就會把密碼寫在便條紙上,然後貼在螢幕旁,不然就是向服務人員求助。這會浪費我們的企業成本並造成生產力降低。所以我們決定採用單一登入服務來簡化這個問題。」 Otto採用的是「企業級單一登入服務(eSSO)」,自從分散式環境普及之後,在企業網路上充斥異質的主從架構系統,這種單一登入服務,一直是網路工程師與MIS夢寐以求的解決方案。eSSO與「網頁式單一登入服務(Web SSO)」、「結盟式單一登入服務(federated SSO)」不大相同,它所採用的方式就像是簡化版的Windows自動登入方案,而且透過自動化的程序來同步所有系統的密碼。員工就可以使用單一帳號、密碼,存取所有加入密碼同步化的系統,減少員工在工作上的不便以及求助服務人員的次數,此外,也可以避免員工將密碼條,大棘棘地貼在螢幕上的窘況,以增進安全性。

現在一般的相關產品,並不能稱上真正的單一登入服務,在eSSO還沒出現以前,你必須重新規劃網路架構以及撰寫支援每個應用系統的登入介面,才能做到所謂的單一登入。隨著科技成熟的腳步加促,現在,eSSO解決方案讓我們可以更輕易地、更有彈性地部署單一登入服務,透過網路及中控式的帳號目錄管理,在應用系統的存取控制介面與中央帳號控管之間,eSSO扮演中介軟體的角色,提供各種應用系統在登入時的帳號密碼驗證功能。

Otto 採用的是 Passlogix的v-GO SSO產品,足以應付郵局錯綜複雜的龐大網路架構。採用v-GO之後,已經順利地簡化了登入程序,服務超過16萬5千名員工,預計以每月增加1,500名員工的速度攀升。目前這套產品已經控管超過1,000種企業內部應用系統及6,000種外部網頁應用系統。

Otto說,「這套產品另外一個令我們信任的原因,就是著實替公司省下了幾百萬元,而且解決了存在已久的安全問題。」

雖然Otto對eSSO如此熱衷,但是他並不以此為最終目標,他說這還不算是真正的單一登入。多數的單一登入系統,包括v-GO,均以預存的帳號密碼設定,來模擬單一登入的情境。他認為舊系統漸漸被淘汰之後,新的系統都要包含真正單一登入的功能,eSSO則是通往未來的唯一道路。不過,目前中央集控工具與多重身份鑑別技術愈趨成熟,SSO是否值得繼續投資,則有待商榷。
eSSO的核心~目錄服務
Otto做事不喜歡半調子。所以他在選擇的eSSO系統時,也把擴充性列為主要評比項目之一,基本上可支援企業內1,000種應用系統,並可擴充到提供1百萬用戶的服務能力,足以涵蓋到其餘未使用的電腦辦公的員工、協力廠商與供應商。

就以往提出的單一登入架構而言,這是完全無法達成的目標。你可以想像重新撰寫與整合分佈於3萬7千個郵局內的傳統應用系統,並提供72萬用戶存取的服務等級,可要花上幾年,更別說要砸下幾百萬美金才能達成。

自從90年代以來,人們就一直構思著如何成為企業級的單一登入服務。而網路技術發展的突飛猛進,高速的網路環境,促成了中央集控與分散式的目錄服務技術,也提供單一登入服務應用更大的發展空間。

就郵局的例子來說,他們從Windows 9x加上Novell NetWare的架構,提升為微軟的主動式目錄服務架構(Active Directory),就是為了替eSSO的導入來鋪路。主動式目錄服務與一般的目錄服務相同,均提供企業網路環境的資料,包括用戶與裝置的相關資訊,而且還提供了更新補強、軟體升級與維護用戶資訊的功能。

絕大部分的eSSO方案,都以中央集控式的目錄服務為核心,不論是微軟的AD、Novell的eDirectory、NDS或LDAP。eSSO扮演的是存取控管與身份鑑別程序之間的中介橋樑,取代原先的網路登入程序。當用戶要取得一張網路服務的通行憑證時,eSSO就會介入該應用系統與用戶之間,中斷應用程式、網路裝置、網頁系統要驗證用戶身份的步驟,直接將用戶的相關權限與認證傳給對應的應用系統,而用戶端則完全不會有任何被干擾中斷的現象。

eSSO並沒有提供任何工具或更新存取控管系統,實際上它是將系統所需要的帳號、權限與安全管理政策送給對應的系統,以簡化用戶必須自己輸入帳號密碼的程序。

在一般Windows環境中,使用者要登入到網路伺服器,必須要透過一個對話框,要求輸入正確帳號密碼之後才進行存取,而eSSO則在此時存取AD,取得一張Kerberos的通行票券(ticket),這就是可以在後續遭遇其他網路登入時,提供驗證服務的關鍵所在。一旦完成身份驗證,用戶便可以合法權限下通行無阻,存取各種應用系統。

每當eSSO攔截到存取控管面的身份鑑別要求,就會先檢查該用戶的Kerberos通行票券是否已經通過驗證,然後到AD中查詢該用戶是否具備存取該應用系統的授權資料。如果一切符合用戶的權限,eSSO則會從AD中,將所需的帳號、密碼傳給應用系統的存取控管介面。除非有其他特殊設定,否則用戶是不需要做任何動作的。

當用戶轉而執行單機版的應用程式,eSSO也能夠將身份憑證存入用戶電腦上的目錄,而使用單機版軟體時也可以享有單一登入的服務。

這樣很容易令人聯想到相關的安全問題,因此不論是用戶端還是在目錄服務主機上,所有的身份憑證資料均採加密方式儲存,而通訊傳輸的過程亦設置加密的保護措施。

企業導入eSSO可以選擇使用微軟的AD或者是Novell的目錄服務,在存放使用者帳號密碼時不會有太大的差異,但是市售的eSSO產品其功能與控制方式均有其獨特的規格,在小型網路上建置單一登入服務不會太複雜,如果遭遇到大型的異質網路環境,可就要傷腦筋了。不同的SSO方案之間的整合相容度與擴充性不足,可能會在整合舊有應用系統與SSO上,花許多精力。

經驗談
eSSO的目標在於減少使用者的負擔與達成簡單的單一登入介面,如此可增加生產力並減少雇用服務人員的成本。雖然eSSO的主要目標與資訊安全無關,但仍有其附加安全效益。

eSSO系統採用複雜演算法,用以識別各應用系統的存取控管與身份鑑別機制。如此一來,就沒有必要去重寫這些應用系統API。eSSO 偵測到用戶進行登入動作時,就會自動介入應用程式的存取控管程序,並提供所需的身份鑑別資訊。

用戶可以針對未支援的應用程式,自行設定其登入的方式,例如:存取需要認證的網頁及其他不同廠商的產品。當用戶第一次登入時,Passlogix的 v-GO會跳出一個視窗,詢問用戶是否要將這個登入的過程納入單一登入的設定之中,下一次登入時v-GO就會自動幫你完成登入程序。

Wayne Grimes是郵局的客服部經理,他說:「如果使用者為了其他原因,要使用額外的應用程式或網頁,這可以幫助他們管理自己的帳號密碼。我也不需要對這些應用程式做額外的變更,v-GO自然會幫你從AD中找到對應的密碼。」

對於郵局而言最大的獲益呈現在客服支援人員的投資報酬率上。 要記上十組帳號與密碼是很吃力的。尤其是要符合密碼設定原則的密碼強度,至少8位英數字,而且密碼更換頻率太高。忘記密碼的時候,就必須拿起電話找服務支援部門求助。

密碼查詢與登入相關問題佔了郵局服務支援部門近四分之一電話量,每年消耗750萬成本。光是利息部分就足以拿來建置eSSO服務。Otto說:「即使我們必須花上一筆不小的費用來建置這個系統,但我們會因此而省下更多的支出,能使用這種新科技實在是太棒了!」

安全效益
當你在如迷宮似的辦公隔間中走動,總是會發現至少一兩台電腦螢幕邊貼著密碼條。

避免使用過多密碼是郵局導入eSSO主要的動機之一。Otto認為減少用戶密碼量,可同時促進資訊安全。

這不過是表面上看到的好處。實質上,eSSO也間接促進了密碼強度規定的落實,許多SSO產品都可以在密碼過期時,依據企業資安政策來產生符合組成強度的新密碼,例如:資安政策要求財務相關系統必須每三十天換一次密碼,而且必須是16位數的英數字混合組成,此時SSO就會自動幫你產生密碼並存放於目錄之中。

對於未受企業資安政策管制外部網頁,SSO系統也會定期自動幫你變更密碼,產生一組夠強的密碼組合。

更令人印象深刻的是,對於部分應用程式要求人工變更密碼時,許多SSO系統也會依照個別系統的要求,產生密碼組合。而用戶還是可以正常地透過同一組密碼悠哉地工作。

但是,這可能會導致發生單點錯誤(single point of failure)問題,因為SSO的啟動密碼維繫著你是否可以使用其他應用系統,當這個密碼被攻破時,也等於開始了通往其他系統的大門,造成重大的安全衝擊。企業在評估及導入SSO時必須要對這個潛在的風險有確切的認知。採用多重身份鑑別機制,也不失為消弭該風險的方案之一,許多SSO方案便是如此設計,採用多重鑑別手續、IC卡、憑證與生物特徵達成多重身份鑑別的目的。郵局也正在評估針對機密性系統,採用多重身份鑑別方案。

RSA Security公司的資深產品經理Herb Mehlhorn說:「如果在用戶端沒有夠強悍的身份鑑別機制,其實你正承受著頗大的風險。」有時候,必須在評估SSO時將應用系統分為一般作業層級以及更高安全層次的應用系統來看待。

雖然SSO提供了更簡化的登入程序,這並不表示它也會幫你自動完成登出的動作。用戶仍然需要自己操作登出應用程式的動作。有些應用軟體會中斷掉逾時的連線,還有用戶操作上的疏失,都有可能導致該連線與帳號遭到劫持的風險。像醫療體系中所遵循的HIPPA安全需求中,就是使用射頻無線辨識標籤(RFID tag)被鄰近的接收器感應訊號,作為用戶登入與登出終端機的依據。

我們需要單一登入服務嗎?
如果目錄服務的功能持續擴張,而未來的應用程式設計標準也會具備更佳化的共通的身份鑑別介面,問題就來了,那為何還需要導入SSO呢? 傳統應用程式終究還是會漸漸被網頁式應用程式所取代。而企業環境中,未來也會以更具共通性的單一登入介面融入軟體專案的開發規格中,這時就不需要上述的中介軟體了!

最後,SSO必定會被收容到他的孿生兄弟Web SSO 與 federated SSO之中,而且可以透過上下游廠商的目錄信任機制,提供通透性更高的單一登入服務,登入其他廠商所提供得網頁與企業網站中。

現在,這些不同的解決方案中還有很大的差異存在,不過還是有其共通的特點。eSSO提供可存取網頁的登入功能,雖然Web SSO涵蓋所有網頁登入功能,但是卻沒有涉獵傳統主從架構的應用系統。Federated SSO則特別強調在結盟式的上下游環境中使用SOAP與SAML的部分。

Otto認為現在的eSSO是為了未來更完美的企業單一登入服務打基礎,強化在目前複雜環境下系統的安全性,並引導使用者早日熟悉這種使用上的經驗。

Otto說:「這只是過渡性的產品,她的歷史責任就是讓我們在開發應用程式時,使用更標準化規格存取目錄服務,以期在未來達到更高的安全需求。而這些老舊的系統終究要被淘汰出局,這是一座世代交替的橋樑,也許在2015年的時候,就可以使用同一組帳號與密碼存取整個郵政系統。」