身分识别与安全性解决方案

WhitePaper身分識別與安全性解決方案®,appearstotherightandonthesamebaselineastheLogo.MinimumSizeRequirementsTheNovellLogoshouldNOTbeprintedsmallerthan3picas(0.5inchesor12.5mm)inwidth.Clear-spaceRequirements2AllowacleanvisualseparationoftheLogofromallotherelements.TheheightoftheNisthemeasurementfortheminimumclear-spacerequirementsaroundtheLogo.Thisspaceisflatandunpatterned,freeofotherdesignelementsandclearfromtheedgeofthepage.3picas(0.5in)(12.5mm)2133p.1探究單一簽入目錄2....單一簽入適合您的企業嗎？2....第1章：單一簽入綜覽6.....第2章：目前的產品與技術9....第3章：安全性13....第4章：擁有成本16....第5章：摘要p.2大型企業通常會有超過70個應用程式或系統需要員工登入，並提出某種身分證明(例如密碼)。從這項企業情況的基本事實可以清楚看出，高效的單一簽入解決方案確實有其必要。單一簽入向來被推崇為足以應付日漸增加的登入與密碼管理挑戰的終極解決方案。從系統伺服器的登入，到Web介面的網際網路銀行與電子郵件程式，使用者往往每天都必須接受大量不同系統登入的疲勞轟炸，而且大多數都需要不同的使用者名稱與密碼。若採用單一簽入，使用者只須登入一次，接著即可由電腦接手，自動代替使用者執行所有後續的登入。如此可降低、甚至是免除記憶多組不同密碼的負擔，繼而大幅提高使用者的便利性，減少密碼相關的求助電話量，並強化安全性。雖然單一簽入以各種形式存在多年，但這項技術被採納的速度卻相當緩慢，一直到2005年才開始迅速普及。原因之一在於技術已趨成熟，另外則是因為Gartner、Forrester、Bloor等等分析公司發表的詳盡研究指出，傳統式的密碼已瀕臨效用的極限瓦解點。本文旨在提出單一簽入驗證技術的現況，並探討可從適當單一簽入解決方案衍生的相關效益、安全性顧慮、成本和投資報酬率(ROI)。本文的論述範圍以企業單一簽入(ESSO)為限，不涉及Web單一簽入(WebSSO)。ESSO是較為複雜的單一簽入技術版本，因為它能管理使用者與龐雜眾多的舊型和線上應用程式之間的互動。WebSSO則侷限在管理純Web介面應用程式的單一簽入，所以數量較少。第1章：單一簽入綜覽單一簽入並非全新概念。單一簽入，顧名思義是用來取得使用者在各種系統之間通常所必須執行的多項登入，並將登入程序縮減為單次操作。根據理想的單一簽入情形，使用者應當只須登入一次，進一步的驗證申請則可自動交由軟體為使用者代勞。也就是說，登入過程中所需的資料，例如使用者名稱和密碼，可在使用者不必親自記憶這些值的情況下提供給應用程式。諸如Gartner等專業分析機構的研究結果顯示，大型企業通常會有超過70個應用程式或系統需要員工登入，並提供某種身分證明(例如密碼)。從這項企業情況的基本事實可以清楚看出，高效的單一簽入解決方案確實有其必要。本白皮書中所指的單一簽入是代替使用者提出身分證明，以執行登入的事項。本文的單一簽入不包括將使用者的多個密碼同步化為同一個值的系統。單一簽入適合您的企業嗎？p.3探究單一簽入單一簽入如何運作？為瞭解單一簽入的運作方式，請務必先對各種不同的單一簽入方式有所認識，並熟悉這項技術如何執行單一簽入程序。使用者一般平均必須例行執行5至10項不同的登入。單一簽入(SSO)產品也因此必須記憶和儲存這些登入詳細資料，以便向所需的應用程式提供適當的身分證明。雖然大多數單一簽入產品彼此之間的概念相近不遠，但對於使用者身分證明的儲存與存取方式，還是有很大的差異。單一簽入基本概念：單一簽入可用來減少使用者必須記憶的登入資料數目，營造更有效率並且精簡的工作環境。現代單一簽入產品達到此目的之作法，是自動提供登入身分證明。個別系統用的單一簽入通常是將使用者的身分證明儲存在本機工作站。網路環境中的單一簽入通常是將身分證明儲存到集中伺服器或目錄內。目錄型系統必須能複製身分證明儲存區的內容，提供高可用性。為了強化彈性，單一簽入應用程式必須能夠提供集中伺服器與本機兩種身分證明儲存方式。ᆛၡᆛၡ՛ܺᏔ٬ҔޣฦΕҙፎ՛ܺᏔӣᔈWeb/ᆛሞᆛၡฦΕWebΕαᆛઠWebࠠᔈҔำԄᆛሞᆛၡແҹ圖1.使用者在一般組織中必須用到眾多密碼與登入名稱ዉྯ฾έᔈҔำԄ٬ҔޣӜᆀ٬Ҕޣஏዸ٬ҔޣҙፎӸڗᔈҔำԄ1௤ϒჹᔈҔำԄޑӸڗ៾4٬Ҕޣගٮيϩ᛾ܴ3ᔈҔำԄҙፎ٬Ҕޣᡍ᛾2൚Σᛵέ฾έᔈҔำԄ٬ҔޣӜᆀ٬Ҕޣஏዸൂ΋ᛝΕᔈҔำԄ٬ҔޣҙፎӸڗᔈҔำԄ1௤ϒჹᔈҔำԄޑӸڗ៾4ൂ΋ᛝΕᔈҔำԄගٮ٬Ҕޣޑيϩ᛾ܴ3٬Ҕޣᡍ᛾ޑҙፎ೏ൂ΋ᛝΕᔈҔำԄᝏᄒ2圖2.典型的標準登入與單一簽入程序ዉྯ฾έᔈҔำԄ٬ҔޣӜᆀ٬Ҕޣஏዸ٬ҔޣҙፎӸڗᔈҔำԄ1௤ϒჹᔈҔำԄޑӸڗ៾4٬Ҕޣගٮيϩ᛾ܴ3ᔈҔำԄҙፎ٬Ҕޣᡍ᛾2൚Σᛵέ฾έᔈҔำԄ٬ҔޣӜᆀ٬Ҕޣஏዸൂ΋ᛝΕᔈҔำԄ٬ҔޣҙፎӸڗᔈҔำԄ1௤ϒჹᔈҔำԄޑӸڗ៾4ൂ΋ᛝΕᔈҔำԄගٮ٬Ҕޣޑيϩ᛾ܴ3٬Ҕޣᡍ᛾ޑҙፎ೏ൂ΋ᛝΕᔈҔำԄᝏᄒ2p.4重點提示：單一簽入應用程式的設計必須與業界標準具有良好的相容性。單一簽入解決方案須備有預先建立的程序檔以及整合精靈，使得熱門應用程式能夠具有SSO功能。應提供方便使用者操作的介面，以利將應用程式整合至單一簽入環境內。單一簽入解決方案須具備與您的環境相容的終端機模擬器。您的單一簽入解決方案必須能與生物測量以及其他進階驗證設備相整合。自助式密碼重設技術有助於免除有關於遺失或忘記使用者密碼的一些問題與成本。單一簽入解決方案可分為兩大類，即本機儲存式單一簽入，和目錄儲存式單一簽入。本機儲存式解決方案可將使用者的身分證明儲存在本機的單一工作站。這類系統也可稱為密碼資料庫，在密碼儲存方面屬於非常簡單明瞭的作法。目錄儲存式解決方法是將使用者的身分證明儲存到網路型伺服器中。這種設計可集中儲存並管理使用者的身分證明。本機儲存乍看之下，本機儲存式的單一簽入解決方案似乎已能滿足大多數的基本需求。某種程度上的確是如此，因為理論上其他使用者不會需要別人的身分證明。但是這種架構在網路環境中使用時，會有一些嚴重的限制。因為使用者的登入身分證明儲存在單一工作站上，所以使用者若使用多部機器來執行工作，即無法享受單一簽入功能的好處。當然，您也可以在多部電腦之間複製身分證明，但隨著工作站數目的增加，這項工作會變成系統管理上無法承受的負擔。這種類型的解決方案在系統管理與營運上也有諸多缺點。集中的高效管理與控制幾乎變得無法達成，工作站之間難以將資料同步處理，而且整體系統管理既緩慢也無效率。雖然部分較先進的本機儲存式系統可進行有限形式的集中管理(例如稽核)，但本機儲存式系統一旦達到某個明確的分界點，對大多數的中大型企業而言就會變得毫無用武之地。目錄儲存在較大型的網路系統中，使用者必須從任何工作站都能夠漫遊和登入，才能夠執行工作。伺服器或目錄型單一簽入系統可利用集中的伺服器儲存機制來管理、儲存和取回使用者身分證明。p.5探究單一簽入如此不僅能具備更強大且高效的集中管理功能，更可實際減輕管理每位使用者存取資料組合的工作負擔。以這種系統為主的產品大多數可用來詳細設定使用者存取權、稽核使用者的活動，和強制執行安全性規則，以確保使用增強式密碼。這項選擇也能善用組織現有的身分識別管理基礎架構，充分發揮身分識別管理方面投資的價值。以單一伺服器保存所有使用者資料的方法固然方便，但這種設計一旦發生單一伺服器故障，就會蒙受網路停擺的高風險。大多數的企業級系統之所以傾向將使用者的身分證明配送到多部伺服器，以便產生高可用性，這正是主要理由所在。合併式的系統大型組織擁有大量的遠端與行動使用者，無法保證能隨時連線到伺服器。因此，理想的單一簽入系統應將上述的本機與目錄儲存方式兩者併用。如此一來，無論使用者是否連線到網路，都能夠存取自己的單一簽入身分證明。٬ҔޣӜᆀ٬Ҕޣஏዸ٬ҔޣӜᆀ٬ҔޣஏዸᔈҔำԄᔈҔำԄಖᆄᐒ1ಖᆄᐒ2ൂ΋ᛝΕᔈҔำԄԾύѧ՛ܺᏔԏ໣٬Ҕޣޑيϩ᛾ܴ3ൂ΋ᛝΕᔈҔำԄගٮ٬Ҕޣޑيϩ᛾ܴ4ൂ΋ᛝΕᔈҔำԄ٬Ҕޣᡍ᛾ޑҙፎ೏ൂ΋ᛝΕᔈҔำԄᝏᄒ2٬ҔޣҙፎӸڗᔈҔำԄ1௤ϒჹᔈҔำԄޑӸڗ៾5ൂ΋ᛝΕᔈҔำԄΨ௤ϒவόӕޑಖᆄᐒჹᔈҔำԄޑӸڗ៾6圖3.目錄型單一簽入p.6重點提示：請先審慎評估單一簽入解決方案背後的安全性之後，再實際進行導入。請確定單一簽入解決方案能強制執行安全性規則，包括密碼長度、允許使用的字元和密碼有效期限。請用業界標準的加密來保護身分證明的安全性。請確定所用的單一簽入解決方案能支援多因素驗證。٬ҔޣӜᆀ٬ҔޣஏዸᔈҔำԄ٬ҔޣҙፎӸڗᔈҔำԄ1٬Ҕޣ೏ᏤӛԿᡍ᛾՛ܺᏔ2٬Ҕޣගٮيϩ᛾ܴ๏ᡍ᛾՛ܺᏔ3٬Ҕޣԏډ౻᛾4௤ϒჹᔈҔำԄޑӸڗ៾6٬Ҕޣගٮ౻᛾аᕇளӸڗ៾5第2章：目前的產品與技術單一簽入的廠商會利用各種不同的方法來減少使用者登入的數目。可惜目前並無標準可解決單一簽入的問題，因為目前現代化線上環境傾向於具有極為多樣化的需求。有關能夠提供單一簽入功能的各種技術說明，雖然超出本文論述範圍，但我們仍將下一節的重點放在幾種主要的方法。票證型系統雖然票證型系統不能嚴格歸類為單一簽入，但卻是提供單一簽入功能的先驅之一(1990年代早期的Kerberos正是著名的例子)。這類網路是以提供驗證服務的方式來運作，且該種服務可用於核發有效票證給通過驗證的使用者。之後每當使用者需要處理驗證時，就能提出該票證以獲得存取。此程序通常能流暢進行，使用者甚至不會察覺到需要驗證，因而給人單一簽入的感覺。圖4.票證型存取綜覽Cookie目前許多公司與企業系統中可能還看得到這種票證型的概念。在網際網路中，Cookie是票證型方式的好例子。網站取得使用者的身分證明之後，會將驗證票證(Cookie)放到使用者的機器上。每當使用者存取該網站時，該網站就會檢查是否有Cookie，若有的話，就不會再次提示使用者執行登入。但缺點是，Cookie很容易複製或刪除，因此並不可靠，不足以作為身分證明的儲存來源。PKI與數位證書數位證書這種類似的觀念逐漸開始蔚為主流，這是公用金鑰基礎架構(PKI)的一部分。PKI是用來建立數位身分識別之間的信任基礎。證書管理中心(CA)可從PKI中檢查使用者的身分證明，再核發數位證書。若是其他類型的系統，不肖者可竊取使用者的票證或Cookie，取得對系統的存取權。但PKI因為具有基礎的公用金鑰加密，所以難以竊取。這種強化的安全性是其中一大優點，也是此類系統之所以格外出色的原因。PKI還採用肯定認證的概念。肯定認證對於目前的電子商務交易非常重要，它讓系統能合法認證使用者的身分。對於執行單一簽入，使用者的身分識別與安全性的相關層面乃是重要的考量因素，我們會再於第3章深入討論。p.7探究單一簽入系統背後的基礎概念固然確實有理，但這類系統卻會帶來一些整合上的困難。若要順利進行，基礎架構必須針對PKI型的單一簽入系統量身設計。如此可能導致現有架構必須改頭換面，也可能使得潛在相容的應用程式範圍變得狹隘，因為應用程式通常必須經過專門工程設計，才能運用這項技術。這些互通性問題，再加上昂貴的整合成本，一般公認為是讓這項技術多年以來發展停滯不前的主要障礙。然而，業界標準的開發，例如Cookie的RFC2109、數位證