iT邦幫忙

2024 iThome 鐵人賽

DAY 5
0
Security

30 天成為 IAM 達人系列 第 5

Day 5: 身份安全技術:SSO 與 MFA 機制

  • 分享至 

  • xImage
  •  

IAM 的系統的關鍵任務就是驗證當前用戶的存取,
當系統登入介面開始敲入帳號密碼時,就是最基本的認證的開始,
意即身份認證 (Authentication) 是決定身份安全的關鍵環節,
而除了傳統的帳號與密碼的認證機制,
也能同時提供 IT 生產效率與安全機制,
即為 單一登入 (SSO) 與 多因子認證機制 (MFA) 技術。

單一登入 (SSO)

單一登入 Single sign-on (SSO) 技術,
目的係讓用戶僅需完成一次的身份認證後,
即可以切換、存取該次認證成功後授予的系統存取權限。
讓組織成員、員工與終端用戶可以無縫的切換不同系統存取。

而單一登入的背後,牽涉到身份目錄服務 (Directory)運作,
或是透過 SAML 與 LDAP 機制整合連接各項身份目錄,

安全斷言標記語言 (SAML) 是一種基於 XML 的開放標準,
用於識別身份識別提供者 (IdP) 和服務提供商 (SP)兩者傳輸資料,
身份提供者:執行身份驗證並建立用戶身份憑據加密保護傳送給 SP 端,
服務提供商:信任身份提供者,並能驗證來自 Idp 的身份令牌。

透過 SSO 的效益,可以改進整體用戶使用體驗,
同時做到一次登入、多個系統存取無縫切換的 IAM 功能。

多因子認證 (MFA)

多因子認證機制係除了帳號密碼認證之外,
更多一步要求提供 SMS OTP、MOTP 的第二層因子確保,
當然這份多因子的來源,也可以透過生物辨識技術,
例如指紋、臉部辨識技術等提供,當然須搭配外部硬體元件,
目前常見的 MFA 技術包含 Push推播/生物辨識/FIDO2 等等。

除了配置 MFA 機制外,何時觸發與啟用多因子認證也是管理因素,
因為每次都需要接收 OTP / MOTP 的過程,
有可能會干擾用戶正常使用的體驗系統存取流程,
因此 MFA 的啟用,也可稱為條件式的 MFA,
例如包含評估用戶屬性、來源位置、設備資訊計算出風險分數,
進而決定是否需要求當前用戶執行 MFA 或阻止當前訪問。

Fast IDentity Online, FIDO2

FIDO2 是一組標準和技術為 Web 和 AP 提供的強認證機制,
甚至可以 將 FIDO2 作為首要認證機制,進而取代帳號密碼進行身份認證。
FIDO2 的採用仰賴支援外部或內建的身份驗證器 (Token),
包含像是 iOS 的 TouchID / FaceID 等,
或是硬體式驗證器,如 USB Dongle、指紋辨識器等,
最後透過 WebAuthn API 讓 Web 應用程式允許與 FIDO2 溝通。

小結

身份認證是最核心的 IAM 模組,
也是系統最早之初即有的身份安全機制,
無論係透過 SSO 單一登入強化整體登入安全與簡便性,
或是透過 MFA 強化認證的安全性做法,
目的都是希望便利存取資訊系統的同時,提升身份安全的強韌度。


上一篇
Day 4: 身份安全基石:背後的密碼安全原理
下一篇
Day 6: 身份安全威脅:因應身份威脅的身份治理
系列文
30 天成為 IAM 達人30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言