跨出防火墙之外的单点登录

  • Gavin Terrill
  • 郭晓刚

2007 年 11 月 8 日

话题:安全架构语言 & 开发

开发者们似乎是昨天才刚刚掌握企业范围内的单点登录(Single Sign-On,SSO),企业们却今天就已经在考虑怎样把同样的思维运用到公司的防火墙之外了。John Dunn 最近在Techworld 上的一篇文章中讨论了联合身份管理(Federated Identity Management,FIM)的一些基本原则:

首先 FIM 不太算是一项技术——虽然有些厂商说它是——它更像是帮助理解 Web Service 等技术的一个概念,帮助达成一项令关注 IT 业前景的中坚们着迷的目标:来自不同组织的用户如何使用彼此的网络,去共享或曰“联合”数据并指导事务?

SAML(Security Assertion Markup Language) 2.0 是OASIS承认的标准,用于帮助在 FIM 中实现 SSO。John 讨论了三项重要的 SAML 特性,它们是 SAML 适用于 FIM 项目的原因:

首先,它不要求同步,并且它按照特定的请求随时建立连接。因此保证了简单和可被审查。第二,它允许交换个人设置,因此在用户注销离开一项联合资源的时候,可以较好地管理 Session。第三也可能是最重要的一点,它是一个抽象层,可以统一来自不同厂商的不同认证系统,那正是迄今困扰 FIM 项目的罪魁祸首。

John 接着讨论了打算投入到 FIM 的企业应该注意的事项。包括:

  • 确保你的公司已经准备好健壮的认证系统。你的用户会访问伙伴网站,伙伴网站的用户也会访问你的。
  • 推敲员工访问多个系统可能带来的安全影响
  • 承诺的问题
  • 确定在失败发生时,由谁来负责

FIM 的前景充满各种令人激动的可能性,不过 John 还是以一些严肃清醒的建议来结束他的文章

只要时间长,哪怕是最不起眼的 IT 业务也有潜力转变成新颖的东西。但“联合”这个概念绝对代表了网络的未来,它让网络不再是一个个数据孤岛,而是相互交错的“网络的网络”。这已经在发生了。但 FIM 会迫使企业在跳进危机四伏的漩涡之前,重新审视他们自己的安全过程。

InfoQ 对 SAML 的更多报道请见此处

查看英文原文:Single Sign-On beyond the firewall
安全架构语言 & 开发