IDaaS,除了目录同步之外的一切
回到2011马克·安德森(Marc Andreesen)曾说过:“软件正在吞噬世界。” 我们已经看到这一点成为现实,尽管今天我想将这一宣言更新为“SaaS 正在吞噬世界”。 SaaS 和基于订阅的业务应用交付已经成为大多数组织的首选消费模式。 市场分析公司 IDC 预测,到 2018 年,几乎所有软件供应商都将完全转向 SaaS 交付模式[1]。
我们热爱我们的 SaaS。 还有什么不喜欢的呢? 按使用量付费的定价模式对企业而言非常友好。 它可以加快规模(扩大或缩小),减少本地基础设施占用空间,降低资本成本,等等——如果您正在阅读此博客,那么您可能已经了解所有这些内容。
但对于 SaaS 来说,我们仍然需要实施 IT 安全控制。 虽然我们依赖服务提供商来保护平台安全,但我们需要确保我们通过 SaaS 提供的业务应用程序的访问受到良好的保护。 账户被盗用的威胁可以说是采用公共云 SaaS 产品的最大安全风险。 我们不能让员工为这些应用程序使用弱密码或共享密码,而用户办公桌上的便签也让我们感到畏惧。 然而,强密码策略会给员工带来困难,特别是如果他们必须定期更改密码。
我们需要一种针对云应用的身份和访问权限管理解决方案,能够实现强大的策略,而不会给用户或 IT 人员带来管理负担。 当然,我们希望以身份即服务 (IDaaS) 模型实现这一目标。 目前市场上有一些不错的 IDaaS 产品,例如 Ping Identity 和 Okta 的产品。 这些解决方案为基于云的应用程序提供基于 SSO 和 SAML 的联合。 您的员工只需向 IDaaS 进行身份验证,即可无缝访问他们的所有云应用程序。 简单、轻松、安全地访问他们所需的云应用程序。
听起来不错,对吧? 只需将您的本地用户目录复制或同步到 IDaaS 供应商的平台,配置一些支持 SAML 的 SaaS应用,即可联合。 等一下,什么? 将我的目录复制到云端? 让我想想……
我们都希望获得云和 SaaS 的 SSO 的简单性和安全性优势,但并不是每个人都适合在第三方平台上拥有公司目录的副本。 虽然我确实相信服务提供商非常重视安全,但由于他们托管的敏感数据,他们也可能成为频繁攻击的目标。 限制云中的风险具有良好的安全意义。
关于内部部署目录消亡的报道被大大夸大了。 在 F5,我们有一些客户就是不想将他们的目录暴露给公共云。 然而,有一种方法可以获得 IDaaS 的所有好处,而无需将您的目录放入 IDaaS 平台——这就是所谓的 SAML 身份链。 在这里,IDaaS 联合身份提供商 (IdP) 可以重定向到本地 IdP,例如F5 BIG-IP APM ,它可以安全访问本地公司目录。 可以通过内部部署目录透明地对员工进行身份验证,并可以向 IDaaS 提供适当的 SAML 断言,以便联合 SSO 到 SaaS 应用程序。
该 IdP 链接模型还允许将本地访问策略扩展到云应用。 还可以添加多因素身份验证 (MFA) 和基于上下文的应用程序策略访问。 很酷吧?
如果您正在考虑实施 IDaaS,但对在云中共享您的公司目录有所保留,则 IdP 链可以帮助您缓解您的顾虑。 大多数市场领先的 IDaaS 供应商都支持 IdP 链,并且 F5 BIG-IP APM 拥有与几乎所有供应商合作的经验。 勇往直前,无所畏惧地使用 IDaaS...