隨著云服務(wù)的廣泛應(yīng)用,單點登錄技術(shù)(SSO)最近倍受青睞,它也可以幫助IT在VDI部署過程中更好地平衡安全性與用戶體驗。
單點登錄(SSO)有多種方式,簡單來講,SSO是一個允許用戶使用單一登錄訪問多個資源的認(rèn)證過程。使用云應(yīng)用的VDI用戶可能需要某種方式的認(rèn)證訪問桌面外部的應(yīng)用。SSO只需要用戶單次輸入認(rèn)證信息就可以訪問虛擬桌面以及外部資源,降低了最終用戶的安全負(fù)擔(dān)。
反對使用單點登錄技術(shù)的爭論之一是其削弱了安全性。如果用戶賬號被盜用,那么入侵者同樣可以訪問與賬號關(guān)聯(lián)的資源。
活動目錄之外的訪問控制
四年前,用戶主要是鏈接到組織的活動目錄訪問資源。SSO不是必須的,因為由Windows進(jìn)行訪問控制。IT可以在活動目錄中設(shè)置訪問控制列表并賦予特定的用戶讀、寫權(quán)限。
現(xiàn)在用戶可以訪問活動目錄資源、云資源乃至活動目錄森林內(nèi)的資源。活動目錄森林包括用戶組、機(jī)器以及終端(活動目錄域)以及域集合(活動目錄樹)。為訪問本地活動目錄之外的資源,用戶通常需要針對每一種需要訪問的外部資源提供一組憑證。SSO允許用戶一次登錄就可以訪問本地以及外部資源。
VDI單點登錄增加了安全性,提升了用戶體驗
如果訪問外部資源不使用SSO方式,有時可能會削弱組織的安全性。用戶能夠記住的密碼數(shù)量有限,當(dāng)公司對密碼提出復(fù)雜性要求時比如包括數(shù)字以及大寫字母,或者必須頻繁更改密碼時,用戶記憶密碼的能力就降低了。
用戶寫下他們的密碼或者針對要訪問的所有資源使用相同的密碼已是司空見慣。為了增加安全性,IT不可避免地要強(qiáng)迫員工使用不影響組織保護(hù)措施的技術(shù)。
單點登錄技術(shù)只需要員工記住一個密碼,能夠降低員工負(fù)擔(dān)。在這種情況下組織能夠真正要求用戶使用更加復(fù)雜的密碼組合乃至雙因素認(rèn)證。此外,每個受保護(hù)的資源繼續(xù)沿用其認(rèn)證方式,不同于每種資源都要使用同樣的密碼。
SSO尤其適合更新過的VDI部署環(huán)境,因為應(yīng)用位于虛擬桌面之外的情況越來越常見。例如,某些應(yīng)用可能位于軟件即服務(wù)云中,或者Windows應(yīng)用可能作為微軟Azure遠(yuǎn)程桌面存在。對于后者,管理員能夠使用Azure AD將活動目錄擴(kuò)展到云中。即使安全性不是一個主要的問題,用戶可能也不想每次訪問應(yīng)用時都需要輸入一個密碼。
Citrix以及VMware如何處理SSO
Citrix以及VMware都在公司的虛擬化計算平臺中啟用了SSO。
Citrix通過StoreFront企業(yè)應(yīng)用商店啟用了SSO,這里指的是直通認(rèn)證,在用戶的終端使用Receiver客戶端軟件通信。StoreFront 作為用戶訪問連接到公司XenApp以及XenDesktip虛擬化平臺資源的中央資料庫。使用Citrix的ICA遠(yuǎn)程顯示協(xié)議,IT能夠針對所有資源交付啟用直通認(rèn)證。
Vmware在其第七個版本的Horizon 最終用戶計算套件中增加了一個稱之為True SSO的新功能。Vmware的SSO之前僅支持微軟活動目錄認(rèn)證,但True SSO增加了雙因素認(rèn)證以及支持技術(shù),比如RSA SecurID、Kerberos、RADIUS認(rèn)證。
智能卡以及生物識別單點登錄
某些組織發(fā)現(xiàn)SSO在與生物識別或者智能卡認(rèn)證相結(jié)合時效果很好。這兩種方式允許用戶不需要使用密碼就能夠登錄,同時改進(jìn)了安全性而且實現(xiàn)了認(rèn)證過程無縫對接。
使用生物識別單點登錄或者智能卡認(rèn)證能夠提高特定工作環(huán)境下用戶的工作效率。與PC不同,虛擬桌面并非僅限于特定的網(wǎng)絡(luò)終端。作為日常工作流程的一部分,用戶可能要通過多個物理設(shè)備訪問同一個虛擬桌面。例如,整天在辦公室、診療室或者實驗室之間穿梭的臨床醫(yī)師。使用生物識別或者智能卡認(rèn)證的SSO允許該醫(yī)師輕松地在不同的物理設(shè)備間切換。
盡管這種方式的安全性對某些組織而言非常適用,但有時更適合在單點登錄中繼續(xù)使用密碼的組織。原因非常簡單:并非支持VDI的所有設(shè)備都具備硬件支持智能卡認(rèn)證或者生物識別單點登錄。
對虛擬桌面與應(yīng)用之間存在分割層的組織而言,SSO非常有用。但對僅僅通過活動目錄訪問資源的組織而言,可能不會因使用SSO而顯著受益。
京公網(wǎng)安備 11010502049343號