超级会员免费看
企业级安全联合方案解析
在企业运营中,安全的联合方案对于信息和资源的共享至关重要。下面将详细介绍不同的联合方案及其特点、适用场景和相关的信任考量。
1. 弱身份联合(Weak Identity Federation)
当联合伙伴无法提供足够强大的身份凭证时,传统的身份凭证联合可能无法实现。例如,用户名和密码认证系统与基于公钥基础设施(PKI)的企业级安全(ELS)认证不兼容。但如果联合的需求超过了弱凭证带来的安全风险,仍有方法可以在保留 ELS 安全目标的同时允许访问。
操作步骤如下:
1. 设置单独的安全令牌服务(STS) :接收其他形式的认证,如用户名和密码、基于传输层安全协议(TLS)的 Kerberos 认证、非 PKI 的 TLS 认证、令牌、单点登录(SSO)等。STS 使用认证后的身份生成安全断言标记语言(SAML)令牌。
2. 身份格式映射 :如果身份格式与 ELS 标准的可分辨名称(DN)格式不匹配,可以通过算法或基于企业范围的身份和派生 DN 对数据库进行映射。
3. 应用和服务端点认证 :依赖替代认证方法,必要时将身份映射到派生 DN,然后将此身份与 SAML 令牌中的身份进行比较。在生成的 SAML 令牌中,可以指示认证方法,或者在联合协议中注明使用非 PKI 认证的联合伙伴,以便接收应用和服务相应地实施访问控制。
这种方法的优点是可以利用现有的 ELS 基础设施共享部分或全部受 ELS 保护的资源。但它也存在一些缺点,如过程繁琐、冗余,需要新的应用和服务实例以及可能的新 STS,还会削弱企业安
订阅专栏 解锁全文
扫一扫
10万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
