使用者的身份識別與存取管理
作者: 賴榮樞
http://www.goodman-lai.idv.tw
網路可以讓員工盡可能的共用企業資源。許多類型的資源都可以藉由網路讓使用者共用,但在思索如何將企業資源轉換到網路之前,得先考量兩個不僅重要而且相關的議題:識別使用者身份、管理使用者所能存取的資源。
尤其當企業逐漸成長,各種軟體系統也都會隨著業務的擴充:從基本的業務相關資料、財務會計資料、人力資源資料,甚至印表機、傳真機等硬體,以及使用這些資料的應用軟體、目錄服務系統,都會不斷的擴充而加入企業的電腦系統。而且使用這些資源的人,除了隨著企業內部員工的擴充而增加,也會向外延伸到企業的客戶和上、中、下游的各種合作伙伴。
面對系統的擴充,如果沒有適當的規劃與作法,往往就會導致複雜、雜亂、不效率、不安全、高成本、錯誤。而事實上,大多數企業的軟體系統架構都是複雜、甚至雜亂的,缺乏長遠的規劃思維是造成亂象的原因之一,企業成長的速度超過原本的預期經常是另一個原因。
本頁內容
降低整體擁有成本
強化安全性
身份識別與存取管理的策略
企業IT的挑戰
降低整體擁有成本
讓使用者藉由網路存取企業資源,是希望藉由IT技術或產品提升業務效率,但如果沒有適當的作法、流程、技術,往往只會事倍功半。尤其,有些事情如果想到了、做好了,就可以降低企業的整體擁有成本(TCO);例如:
登入與認證:讓使用者存取相關資源之前,一定要先確認該員的身份是不是合格,而登入和認證就是確認使用者身份的步驟。許多企業的電腦環境都混合了許多不同的系統,如果能減少使用者登入不同系統的次數和時間,將可以有效的提高知識工作者的生產力。根據國外的研究統計,每位使用者每天平均花了16分鐘在登入系統。訝異嗎?登入系統這種小事竟然要花這麼多時間!
忘記密碼:有將近45%求助IT人員的電話,是因為使用者忘記密碼而打來,如果能提供自動化的功能來處理使用者忘記密碼,將可以減少三分之一的這類電話。
管理使用者身份:根據國外的研究統計,每位IT人員平均每年花在管理使用者身份的時間高達54,180小時。如何藉由正確的觀念、妥善的方法、實用的技術來提升IT人員處理使用者身份,將能有效且大幅的減少IT人員花在這裡的時間,而將時間用在其他更重要的事務。
強化安全性
安全性應該擺在網路資源存取的最優先處理清單,從網路的規劃階段開始,無時無刻、任何決定都必須注意網路的安全性。對網路資源存取來說,安全性最重要的考量就是誰能進入網路?以及進入的使用者能存取什麼?
企業規模越大,能夠存取網路的使用者不僅數量越多,類型也會增加:內部員工、外包人員、合作伙伴、客戶,因此為企業規劃所有使用者的資源存取權限,是刻不容緩的重要,而且妥善的權限規劃有助於降低安全風險;以下是考量的重點:
嚴謹的帳號管理:以周延的帳號管理策略作為第一步,這份策略應該包含針對企業而定的各種資源存取規則和流程,例如制訂密碼的使用原則(包括不能使用過於簡單的密碼、必須定期更換密碼等)。這份策略除了要落實成企業的標準作業流程,也一定要徹底執行。
刪除無用的帳號:無用的帳號很容易形成系統的安全漏洞,例如企業應該規定使用者定期更換帳號密碼,但是不再使用的帳號就會因為沒人更換密碼而更容易形成漏洞。因此不論帳號原本屬誰,不再使用的帳號就應該停用或刪除,以免帳號遭到濫用。
妥善保護資料:例如為機密資料的存取多設定幾道關卡,除了認證使用者的身份,也要求使用者必須經過授權才能存取,存取的過程則必須加以記錄,並且關閉複製資料或檔案的功能等等。
使用安全防護等級更高的認證技術:需要存取機密性較高的資源時,應該使用安全防護等級更高的認證技術,例如第五版的Kerberos或PKI。
單一登入:「單一登入」(Single Sign On,SSO)只要一套識別碼和密碼就可以讓使用者登入不同的系統,使用者就不需要為了不同的系統記住多組識別碼和密碼。
身份識別與存取管理的策略
每個組織單位的任務或功能不盡相同,因此對企業的責任以及所應制訂的身份識別及存取管理策略也不完全相同。在擬定相關策略時,還可以參考以下的原則。
建立安全存取的作法:系統的安全需要使用者依照流程、配合相關的技術或產品才能達到,而組織的存取則取決於角色、資源、操作方式和限制。舉例來說:定期刪除無用的帳號、規定密碼最短的長度並定期更換密碼、規定哪一種存取行為要受到稽核、存取機密資料應使用更嚴格的認證與授權機制、從企業外部存取應經過特別的方式、認證或限制。
建立目錄服務和安全標準:諸如Active Directory等目錄服務對身份識別與存取管理不僅重要,而且也有相當的助益,因為目錄服務可以減輕管理身份和存取的負擔,也能簡化使用者的相關操作,並且可以提高安全性。
帳號資料的集中管理與同步:在某些情況,目錄服務可能難以完全發揮效益,不過還是應該集中管理識別使用者身份的帳號資料,以減輕管理成本、提高生產力;例如微軟的Microsoft Identity Integration Server就是提供這類功能的伺服器軟體。
自動建立帳號資料:IT人員需要多少時間為使用者建立帳號或相關的身份識別資料?無論如何,時間越快越好。新進員工通常都要花上一段時間等待帳號建立,沒有帳號,員工便如同不存在而無法登入系統,無法工作。如果有單一、集中管理的身份帳號系統,就可以減輕IT人員的負擔。
改善密碼管理的機制:密碼是使用者登入、認證的關鍵,忘記密碼的使用者就像沒有身份的遊民,進不了系統,也無法工作。此外,密碼如果太過簡單,非常容易形成漏洞,容易讓攻擊者有機可趁。除了需要制訂密碼的相關策略,IT人員也需要密碼管理的機制,來幫助IT人員處理使用者身份帳號的密碼問題。
建立身份識別的軟體開發標準:應用軟體更需要能直接套用身份認證機制,因此企業所建立的各種相關策略,也應該作為開發相關軟體的身份認證準則,並且要完全的落實在企業軟體的開發。
企業IT的挑戰
就技術面而言,使用者的身份識別與存取管理涵蓋了觀念、方法、技術與方案,就管理面則包含了流程與策略,當數位身份成為使用者在企業網路的通行證,身份識別與存取管理不僅變的複雜,也擔負了更重要的角色。
企業必須能以有效且正確的方式來管理使用者的數位身份,才能提高使用者的生產力,並且降低數位身份遭冒用的機率與風險。制訂身份識別與存取管理的作法與策略,需要正確的觀念與方法,也需要企業管理階層的參與;而實作所制訂策略,則需要優秀的IT人員選擇適當的技術與解決方案,而且更需要管理階層的支持。
身份識別與存取管理需要整合相當多元的技術,才能建立有效且正確的方式來管理使用者的數位身份,這些技術可以分成目錄服務、驗證、授權、稽核等領域,並且包括:
Microsoft Windows Server 2003
Microsoft Active Directory目錄服務
Microsoft Active Directory Application Mode(ADAM)
Microsoft Identity Integration Server 2003(MIIS 2003)
Microsoft Passport
Microsoft Internet Information Services (IIS)
Microsoft Windows授權管理員(Authorization Manager)
Microsoft Windows憑證管理員(Credential Manager)
Kerberos v5認證協定
公開金鑰基礎建設(Public key infrastructure,PKI)及x.509認證
安全通訊層(Secure Sockets Layer,SSL)
傳輸層層安全(Transport Layer Security,TLS)
輕量目錄存取協定(Lightweight Directory Access Protocol,LDAP)
由上述所列的項目,即可得知身份識別與存取管理所涵蓋的技術及議題都相當廣泛,尤其將會完全依賴Windows Server 2003及Active Directory等基礎服務,和憑證授權、驗證通訊等協定,以及得依據角色存取控制的Windows Server功能,進而提供單一、全功能的身分識別管理系統,並可避免將多產品與平台整合為單一解決方案的昂貴成本以及潛在風險。
此外,身分識別與存取管理的關鍵,在於如何建立、修改與撤銷身分,也就是「設置」相關資訊。這將利用目錄基礎架構中的使用者資訊,而授予和撤銷使用者帳戶以及對資料資源的存取權限。使這些流程自動化能夠大幅降低成本並提高生產力,而且流程自動化也可以節省取得使用者帳戶和存取權限的時間、大幅降低各個單位填寫相關文件、核准與實作存取要求所花費的時間。取消設置及重新設置是設置系統的其他關鍵功能。當員工離職或變更職務時,設置系統能以迅速且有系統的方式,取消或刪除使用者帳戶並修改或撤銷存取權限。
由於網路環境日趨複雜,使用者是誰、如何驗明正身、可存取什麼內容、如何及何時能撤銷權限,就是數位身分識別、資源存取管理所要解答的問題。運用科技將能夠促成整個流程的自動化,並且達到簡化整個流程的結果,而這也最能釋出企業IT系統所存載的資訊價值。
延伸閱讀
Microsoft Identity and Access Management Series線上文件(https://go.microsoft.com/fwlink/?LinkId=14841)
下載相關的文件及實作範本(https://go.microsoft.com/fwlink/?LinkId=14842)