聯合身分(Federated Identity) 是能夠簡化安全使用者存取的解決方案,其中有多項要素,包含驗證、授權、存取控制、入侵偵測和防範系統 (Intrusion Detection and Prevention System, IDPS),以及服務供應商。有了聯合身分,獲得授權的使用者只憑一組登入認證,便能存取多個網域、應用程式和數個各自獨立的身分管理系統,可免除分開登入的需求,進而提升生產力,減少使用者挫敗感,並簡化使用者與 IT 團隊的密碼管理作業。
聯合身分功能由數個能夠擔保使用者身分的第三方服務負責處理。這些第三方聯合身分服務位於使用者與資源之間,擔任中介軟體。多因子驗證(Multi-Factor Authentication, MFA) 與單一登入(Single Sign-On, SSO) 等安全性工具用於管理使用者存取權和驗證使用者身分。
聯合身分與單一登入 (SSO)
許多人經常誤以為聯合身分和單一登入 (SSO) 是相同的機制。雖然這兩者的功能聽起來很相似,而且都隸屬於身分管理的範疇,但他們的功能實際上是不同的。
聯合身分與 SSO 都是以安全通訊協定驗證使用者,並將使用者存取減少至單次登入事件,其中通常涉及多因子驗證(MFA)。一旦登入後,使用者便能連線不同服務,而不需再進行額外登入動作。然而,SSO 只允許使用者存取單一組織內的多個系統,聯合身分則能為使用者提供跨不同組織多個系統的存取權。
聯合身分可簡化 SSO,讓使用者在沒有驗證障礙的情況下存取系統。
聯合身分還能整合多個群組。這些群組可以單獨存在於單一企業環境中,或者散佈在具有集中式驗證的不同企業裡。
聯合身分和驗證
聯合身分是使用標準型安全通訊協定進行驗證,以便跨聯合網域執行驗證和存取。最常見的安全驗證通訊協定如下:
- JWT (JSON Web Token)
- Kerberos
- LDAP (輕量型目錄存取通訊協定)
- OAuth (開放授權)
- OIDC (OpenID Connect)
- RADIUS (Remote Authentication Dial In User Service, 遠端使用者撥號驗證服務)
- SAML (Security Assertion Markup Language, 安全聲明標記語言)
- SCIM (System for Cross-domain Identity Management, 跨網域身分識別管理系統)
其他安全驗證通訊協定還包括:
- CHAP (Challenge-Handshake Authentication Protocol, 詰問交握鑑別協定) Diameter
- Diameter
- EAP (Extensible Authentication Protocol, 可延伸驗證通訊協定)
- PAP (Password authentication protocol, 密碼驗證通訊協定)
- TACACS (Terminal Access Controller Access-Control System, 終端存取控制器存取控制系統)
聯合身分的運作方式
聯合身分的基礎是兩種實體間彼此信任的關係。
- 服務供應商是指任何仰賴身分供應商識別和驗證使用者的外部應用程式、軟體或網站。
- 身分供應商 (Identity Provider, IdP) 是指建立、維護和管理身分資訊 (例如姓名、電子郵件地址、位置、裝置、瀏覽器類型、生物特徵辨識資訊) 的系統。
以下簡要說明聯合身分的運作方式。請注意每個步驟都是瞬間發生且無法看見的,因此能為使用者打造出免操作的無縫程序。
- 使用者嘗試登入使用聯合身分的服務供應商。
- 服務供應商要求使用者的身分供應商進行聯合驗證,以確認使用者的身分真實。
- 身分供應商驗證了使用者的身分資訊,並檢查其存取權和許可權利。
- 身分供應商使用安全通訊協定 (例如 oAuth、OIDC、SAML) 授權使用者存取服務供應商。
- 使用者獲得服務供應商的存取權。
聯合身分和美國政府
《國土安全總統指令 12》(Homeland Security Presidential Directive 12) 於 2004 年頒布,要求存取政府資產時必須擁有安全認證,因此一連串聯合身分的協議、通訊協定和程式於焉而生。國家網路安全卓越中心 (National Cybersecurity Center of Excellence) 與《網路空間可信賴身分國家策略》(National Strategy for Trusted Identities in Cyberspace) 國家計畫辦事處共同合作執行了一項隱私權強化身分聯合專案,制定了一系列適用於聯合身分的標準。
全球聯合身分與特殊權限管理 (Global Federated Identity and Privilege Management,GFIPM) 架構提供了實作聯合身分的標準方法。這項架構支援聯合機制中三項安全性關鍵互通領域。
- 身分識別/驗證
使用者是誰?透過何種方式為他們進行驗證? - 特殊權限管理
做出授權決策時,與使用者相關的哪些驗證、許可、職能、本機權限和組織從屬關係可做為判斷基礎? - 稽核
稽核個別系統、系統存取權和使用情形以及資料實務的法規遵循時,必須有哪些資訊?
聯合身分的優點
節省成本
使用聯合身分可讓組織省下設定和維護 SSO 管理多個身分的時間和開銷。
輕鬆管理資料
聯合身分可簡化資料管理作業,以利輕鬆儲存、存取及管理所有系統的資訊。
改善使用者體驗(UE, User Experience)
使用者在整個工作階段中只需要提供一次認證,即可存取所有聯合網域中的多個系統。存取障礙移除後便能改善使用者體驗。
提升安全性
減少使用者需要登入個別系統的次數,可以提升安全性並提供更完善的資料保護,因為每次登入都會產生安全漏洞,增加未經授權存取的風險。
提高生產力
聯合身分能為使用者減輕許多負荷,包含為了存取資源多次登入、重新輸入密碼,以及為了重設密碼而求助支援中心,既省時又能減少心理挫敗感,有助於提高一般使用者和整體組織的生產力。
安全分享資源
組織無須將認證和安全處於風險中,也能有效地分享資源和資料。
單點佈建(延伸閱讀: 使用者佈建)
聯合身分能實現單點佈建,使 IT 團隊更容易為單一企業週邊外的使用者和系統提供存取權。
對聯合身分的誤解
聯合身分經常遭到誤解,被貼上錯誤理解的標籤。主要兩大誤解如下:
- 由於聯合身分管理系統遵循特別規則和原則,所以比較難掌控其設定方式。
這是錯誤的觀念。儘管這類系統的結構較不易改變,還是有自訂設定可滿足組織的獨特要求。 - 與聯合身分相關可能的安全性風險大多為空穴來風。幾乎所有安全性方法都有缺陷,但一般廣泛認同聯合身分為優異的安全解決方案。
聯合身分如何緩解密碼疲勞
即使強制命令員工必須設定高強度密碼,密碼仍會帶來安全性問題,因為使用者試圖簡化多組密碼的管理作業時,往往會鋌而走險抄捷徑。聯合身分能緩解密碼疲勞,為使用者簡化存取程序,以及替 IT 團隊簡化密碼管理作業。
