单点登录 (SSO) 可减少弱密码风险和账户访问管理开销。顶级单点登录解决方案值得您加以考虑。

单点登录 (SSO) 集中了会话和用户身份验证服务,仅需一组凭证即可登录多个应用。用户体验、IT 管理效率和安全程度都有所提升。密码丢失或弱密码风险也可藉由 SSO 加以缓解,与账户访问管理有关的开销更是能得到大幅降低。

如果您尚未实现任何 SSO 或身份管理工具,亦或正在寻求升级,下面的 SSO 工具大盘点可带领您对 SSO 市场有个初步了解。今天的威胁环境中,密码管理的分量越来越重,有必要让用户抛弃重复使用老旧密码的恶劣习惯。

SSO 五大基本策略

1. 企业密码管理器

如果开销和 IT 支持都成问题,1Password 或 Lastpass(如今归属 LogMeln)这样的企业密码管理器是个不错的开始。此类产品很适合集中保存所有密码,便于在需要时插入登录进程中。而且各种应用场景都适用,比如浏览器和智能手机登录。但除了访问密码库,这种产品一般不支持多因子身份验证 (MFA)。费率大约在每月每用户 8 美元左右。

2. 全方位 SSO 解决方案

该方案比使用静态密码要好一些。如果员工数量超 100 人,IT 支持水平也过得去,上述密码管理工具的局限性就很明显了。此时你需要全方位的 SSO 解决方案(本 SSO 工具大盘点的重点)——可提供更灵活的身份验证策略、访问规则、MFA和移动身份验证应用。有趣的是,大多数 SSO 产品的价格也是每月每用户约 8 美元,但实现上需要更多 IT 人员支持。(Ping 的解决方案甚至提供低至每月 3 美元的价位。)

关于 MFA,我们需要多说两句,因为这是走上 SSO 之路的重要驱动力。此前只有相当多疑的人才会采用 MFA。如今,MFA 已成企业安全的底线,尤其是考虑到鱼叉式网络钓鱼攻击数量和复杂度双增长的情况下。但不幸的是,MFA 的部署还远未到普遍的程度:赛门铁克最近的调查《适应云威胁新现实》表明,2/3 的受访者依然未部署任何 MFA 工具以保护其云基础设施。很显然,部署 SSO 有助缓解网络钓鱼之殇,并朝着扩大 MFA 接受度的方向前进。

除了 MFA,还有另外一个原因促使企业升级身份验证机制:自适应身份验证(也称基于风险的身份验证)的必要性。这意味着转变观念,摒弃给用户分发 “永久访问凭证” 的老旧观念。这种观念如今已然过时,多个验证因子或多或少持续起效的细粒度身份验证策略取而代之。这些策略采用各种技术检测网络钓鱼、账户接管和其他试图假冒或盗取用户身份的威胁。

虽说大多数 SSO 供应商都有全面的 MFA 支持,其对自适应身份验证的支持却不充分,远未到成熟的程度。这几家供应商的产品值得一看:思科/Duo、Idaptive、ManageEngine、MicroFocus/NetIQ、Okta、OneLogin、PerfectCloud、Ping Identity 和 RSA。

3. Open-source SSO

如果公司技术和人手都够,但缺乏资金支持,那可以走开源路线,将 MFA 添加到自己的登录选项中。Authy.com MFA 工具是当今开源 MFA 市场领导者。Authy 的应用适用多种平台,包括桌面电脑。

4. 云提供商的 SSO

第四种策略是全盘接纳主要云提供商的 SSO 功能,并将之扩展进所支持的其他软件即服务 (SaaS)应用中。Salesforce 和微软 Azure 就是此路线的典范。这两家都有 SSO 服务扩展,或多或少能提供基本的身份验证功能。不过,毕竟没有提供商无关的真正 SSO 工具那么有用。最好是要么选择专业 SSO 供应商,要么直接转向身份治理解决方案。

5. 身份治理解决方案

身份治理解决方案提供商很多,产品包括 OneSpan、Saviynt、HID、CA 和 Sailpoint 等。此类产品功能强大,可对入职/离职管理施加更多控制,管理联合身份及应用编排,与云应用进一步集成等等。当然,附加功能总是要加钱购买的,但想拥有完整的身份治理软件包,这些工具终归是需要的。此处不对这些产品做评测。

无论是通过并购其他公司 (RSA、Duo 和 Ping Identity 为其中典型代表),还是通过往自身 SSO 产品线中增添新成员 (Okta、OneLogin、Idaptive),本文列出的许多 SSO 供应商都已进军身份管理领域。

SSO 趋势

1. 应用决胜

SSO 的有效性在于能不能自动登录尽可能多的应用。这一点很明显,过去几年中,SSO 供应商无不在疯狂增加其应用支持率。Okta 和 OneLogin 如今支持数千种应用。Idaptive 和 NetIQ 也拥有可方便配置不支持应用的功能。

2. 智能手机身份验证应用激增

由于短信 MFA 存在漏洞,采用能在手机上生成一次性密码的应用,就成了更安全的身份验证方法。此类应用数量持续增长,谷歌 Authenticator 和 Duo 拥有对云和 SaaS 提供商的最大支持。Authy、OneSpan、HID Approve、微软、SafeNetMobilePass 和 Sophos 也出品此类应用,另外还有密码管理器和 SSO 供应商自己开发的应用。

下表列出了一些常见的 SaaS 和基础设施即服务 (IaaS) 提供商,以及他们支持的 MFA 方法和智能手机应用。如果你打算支持不止一种应用,不妨看看对 Google Play 上主流 MFA 应用的评测。

典型 SaaS 应用身份验证应用支持

3. 自适应 MFA 实现方式多样

大多数 SSO 工具都支持 MFA。问题是这种支持程度有多高,尤其是对使用特定 MFA 手机应用而言。多数工具以手机上的身份验证应用开始,你得在 SSO Web 门户管理主页面上配置一番。所有 SSO 供应商都采用 ManageEngine 和 PerfectCloud 扩展对此加以支持。

4. FIDO 市场尚在成长中

谷歌 G Suite 和 微软 Window 登录如今都支持 FIDO 身份验证硬件密钥了,这或许会给人一种 FIDO 已经很普及的感觉。但事实上,只有少数供应商支持某些版本的身份验证密钥,FIDO 还远未到普及的程度。

5. 移动设备管理工具热潮消退

几年前似乎 SSO 供应商纷纷转向移动设备管理功能,Centrify(如今的 Idaptive)就是当时的带头大哥。现在则没什么客户关心这个问题了,他们将智能手机身份验证应用当成了抵御账户窃取的主要堡垒。Idaptive 和 Duo 是这方面的领头羊。

顶级 SSO 工具

  • Dou/思科 SSO

身为 SSO 领域新参者的 Duo 迅速崛起,被思科看中收入旗下就是明证。这家公司拥有基于强力移动身份验证器的全功能智能手机应用,相当于很多竞争者的移动管理应用。支持多种自适应身份验证方法,甚至能与其竞争公司(包括 Okta、Ping 和 OneLogin)的 SSO 工具协作。Duo 的智能手机身份验证器应用也是很多 SaaS 产品中颇为流行的 MFA 机制之一。

其定价清晰透明,按功能分为四档:10 用户以下免费,超过10 用户从每用户每月 3 美元起,直到 每用户每月 9 美元止。价格最高的两档包含自适应身份验证和策略实施工具。最高档不仅保护内部应用,还护卫 SaaS 应用。

  • Idaptive SSO

该产品令人惊艳。今年年初,Centrify 释出其身份业务部门,成立 Idaptive。Centrify 继续售卖其特权访问管理工具。Idaptive 有两个版本:标准版 SSO 和自适应版 SSO (Adaptive SSO),后者增添了上下文相关身份验证(需加钱购买)。MFA 支持也有两套,标准版每用户每月 2 美元,带设备及用户上下文和实时报告功能的自适应版每用户每月 4 美元。MFA 方法种类繁多,比如电子邮件、FIDO U2F 密钥、谷歌 Authenticator 及其自有身份验证器应用,还有短信。

该 SSO 产品支持数千种应用,还具备能够发现其安全声明标记语言 (SAML) 配置的“无限应用” (Infinite Apps) 功能。这些产品支持的协议有 SAML、WS-Fed、OAuth 等。Idaptive Web 仪表板已完全改版,但所提供的功能与原来的 Centrify 基本相同。Idaptive 还有完整的身份管理及供应工具产品线,以及一款健壮的移动设备管理产品。该公司定价页面明晰,且提供免费试用。

  • ManageEngine/Zoho Identity Manager Plus

ManageEngine 的云应用超过 12 种,其 SSO 工具名为 Identity Manager Plus。如果你是他家服务(包括 Zoho 套装)的大客户,那这款工具会是满足你 SSO 需求的良好起点。如果不是,那再看看别家。该工具是其他 ManageEngine AD 相关工具的补充。Identity Manager Plus 支持 400 种应用,还支持自定义 SAML 配置。

如果你想要 MFA 或移动设备支持,那你必须使用 ADSelfService Plus 工具。该工具内含无数方法,比如来自谷歌、Duo 和微软的各种身份验证器应用,还支持 RSA SecurID 令牌。(500 用户会另加每月 100 美元的费用。)Identity Manager Plus 软件支持多家身份提供商,包括 AD、Okta、OneLogin、Ping Identity 和其他基于 SAML 的提供商。该产品有在线演示,并与他家其他很多产品一样有免费试用。

  • MicroFocus/NetIQ Access Manager

MicroFocus 如今接过了 NetIQ 的火炬。其解决方案包含 3 个独立产品:主 SSO 工具 Access Manager;一款 MFA 产品;移动设备管理产品 Zenworks Configuration Management。每个产品都独立定价,每用户每月 0.49 美元起(500 用户规模),另加 47 美元安装费。MFA 工具每用户每月 0.92 美元起(同样是 500 用户规模)。其应用门类涵盖 500 多种,但与 Idaptive 一样,也提供简易的应用集成功能。NetIQ 支持多种连接协议,包括 FIDO、SAML、OAuth、 Open ID Connect 和 WS-Fed。

  • Okta SSO

Okta 一直以来都是 SSO 领域的龙头老大,售卖的旗舰工具有两个版本:基础版和自适应版,后者可感知位置、设备和网络参数以防止欺骗攻击。除了 SSO 产品,Okta 还拥有一系列补充产品,正朝着集成与身份治理领域发展。包括其 Lifecycle Management服务(处理 Office 365 活动目录 [AD] 同步、与 AD 或 LDAP 的目录集成,以及自动配置)、云目录(每用户每月 2 美元)、支持混合云/现场部署的服务,以及入站联合(年费 8,000 美元起)。

Okta 的系统状态主面板,可以看到全部服务运行时间的细节和上一个月的历史。

Okta 两个版本的 SSO 均有对应版本的 MFA 应用匹配。分别是基础版 MFA 和自适应版的。每款产品都有两部分独立的费用。首先是接入费,基础版每年 8,000 美元,自适应版每年 16,000 美元。然后是每用户的使用费,每月 3-5 美元。自适应版 MFA 软件有 30 天免费试用期。所有产品均有明晰的报价页面。

  • OneLogin SSO

OneLogin 入行 SSO 已久,如今提供完整的身份管理产品套装。其 SSO 服务分三档:起步版每用户每月 2 美元,支持单 AD 实例;企业版每用户每月 4 美元,添加 MFA、支持多个身份提供商、与 SIEM 和 VPN 集成;无限版每用户每月 8 美元,增加用户配置和额外的集成。所有产品均有 30 天免费试用期。OneLogin 产品深度堪称业界典范,其应用涵盖 2,700 种不同应用的简单密码完成,覆盖 1,500 多种 SAML 应用。

OneLogin 的 SAML 配置参数,可设定该身份验证协议使用的应用和连接资源的 URL 路径。

OneLogin 还提供基于其自有 Protect 移动软件身份验证工具的自适应身份验证产品,支持包含谷歌 Authenticator 和 Duo 在内多种其他身份验证器应用。OneLogin 以统一访问工具桥接现场应用及云应用,并有实时用户配置工具供快速处理入职和离职用户身份管理事务。

  • PerfectCloud SmartSignIn

PerfectCloud SmartSignIn 一直都是相当基础的 SSO 解决方案。单用户免费版可用于管理最多 4 个应用。PerfectCloud 是首批增添第二因子密码登录的 SSO 解决方案,但因为不支持任何移动身份验证器应用而落后了。该第二因子密码在设备上加密,但并不存储,是个非常独特的功能。该产品中小企业版每用户每月 6 美元起。其中不包含 AD 集成、访问与组管理和策略规则等附加功能。

  • Ping Identity PingOne

Ping 也是一家老牌 SSO 供应商,其 Ping Federate 产品开创了联合身份配置的先河。除了其自身智能手机应用,该工具也可用于实现其他 MFA 应用。

Ping 的基础 SSO 应用定价因销售渠道而异,直接购买和通过渠道合作伙伴购买价格不一。包含 MFA 和 SSO 的基础定价是每用户每月 3 美元,性价比相当有竞争力。而且同样提供 30 天免费试用期。

支持 1,650 个预配置应用。PingOne 除了自家 MFA 应用,还支持 RSA、赛门铁克、Duo 和 Gemalto 等竞争对手的 MFA 应用和各种验证方法,包括苹果的 FaceID、指纹和声纹身份验证,及多种 FIDO 身份验证方法和其他硬件令牌。Ping 还能与多种移动管理工具协同工作,包括 MobileIron、Airwatch 及 InTune 和一系列其他身份提供商,比如 AD、Azure AD、谷歌和 Open ID Connect 和 SAML。

  • RSA SecurID Access Suite

RSA 自发布 SecurID 硬件密钥令牌以来一直是身份验证领域的市场领导者,多年收购与集成之后,其产品链已在全身份治理市场举足轻重。RSA 的 SSO 产品已足够坚实,但明显希望客户实现其成熟的身份治理解决方案。SecurId Access 产品通过分销商发售,价位不一。

RSA 访问细节,可设置风险配置,确定验证特定行为的频率。

RSA 500 用户套餐报价每月 1,830 美元,包含用户许可、MFA 身份验证、生物特征识别和 FIDO 支持。该产品有 3 种定价档次:基础版只有 SSO 功能。企业版和增值版包含额外的身份功能。

SSO 供应商总结

赛门铁克《适应云威胁新现实》:

https://resource.elq.symantec.com/LP=7326

Authy.com MFA:

https://authy.com/features/multiple-devices/

Google Play 上主流 MFA 应用的评测:

https://www.protectimus.com/blog/10-most-popular-2fa-apps-on-google-play/

Ping Identity 在线演示:

https://identitymanager.manageengine.com/demo

FIDO 身份验证:

https://fidoalliance.org/what-is-fido/

Okta 所有产品完整报价:

https://www.okta.com/pricing/#it-multi-factor-authentication

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。