散文網(wǎng) » 科技 »學(xué)習(xí) » 中小企業(yè)是否需要微軟活動(dòng)目錄聯(lián)合服務(wù)（ADFS）？

中小企業(yè)是否需要微軟活動(dòng)目錄聯(lián)合服務(wù)（ADFS）？

2022-08-17 20:19 作者:寧盾 0人讀過(guò) | 我要投稿

截至2020年，全球約有2.13億家中小企業(yè)。為提高生產(chǎn)力和效率，滿足客戶和企業(yè)自身的業(yè)務(wù)目標(biāo)，并采用合適的 IT 安全方案來(lái)保護(hù)公司、客戶和員工數(shù)據(jù)，避免各類安全風(fēng)險(xiǎn)，中小企業(yè)通常使用微軟的 Active Directory 聯(lián)合服務(wù)（ADFS）作為身份和訪問(wèn)管理（IAM）方案來(lái)實(shí)現(xiàn)這一點(diǎn)。但云計(jì)算和遠(yuǎn)程辦公趨勢(shì)暴露了ADFS的短板，ADFS的安全性、高成本和實(shí)施復(fù)雜性成為最受企業(yè)關(guān)注的問(wèn)題。隨著更加便捷高效的IAM產(chǎn)品服務(wù)出現(xiàn)，中小企業(yè)開(kāi)始考慮是否采用這些方案替代繼續(xù)原有的 ADFS 。

為了解答這一疑問(wèn)，本文將討論 ADFS 的主要功能、中小企業(yè)面臨的常見(jiàn) IAM 問(wèn)題，并分析 ADFS 適合哪些企業(yè)，以及為什么單點(diǎn)登錄（SSO）的未來(lái)是基于云的解決方案。

一、ADFS的兩大功能

提供有限的單點(diǎn)登錄（SSO）能力：ADFS 可以為需要訪問(wèn)合作伙伴應(yīng)用或云服務(wù)等外部資源的用戶提供單點(diǎn)登錄身份認(rèn)證。它使用基于聲明的身份認(rèn)證框架，以及安全斷言標(biāo)記語(yǔ)言（SAML）和緩存（cookie）對(duì)用戶身份進(jìn)行驗(yàn)證。

簡(jiǎn)化身份聯(lián)合：使用 ADFS 后，員工無(wú)需將身份憑證發(fā)送到服務(wù)提供商（SP）進(jìn)行身份認(rèn)證。相反，用戶憑證仍然通過(guò) Active Directory（AD）存放在身份源（IdP）或本地組織的中心位置。很多部署了 AD 的企業(yè)都會(huì)采用這種方法加強(qiáng)對(duì)用戶身份的管控。

二、中小企業(yè)的常見(jiàn)身份和訪問(wèn)管理（IAM）問(wèn)題

管理中小企業(yè)的身份和訪問(wèn)權(quán)限之所以困難重重，主要?dú)w結(jié)于以下原因：

1）遠(yuǎn)程勞動(dòng)力的增長(zhǎng)

網(wǎng)絡(luò)安全和云計(jì)算等領(lǐng)域越來(lái)越需要經(jīng)驗(yàn)豐富的 IT 專業(yè)人員。然而，合格的候選人遠(yuǎn)遠(yuǎn)跟不上需求增長(zhǎng)的速度。Gartner 在2021年發(fā)布的一項(xiàng)調(diào)查顯示，企業(yè)認(rèn)為人才稀缺導(dǎo)致64%的新興技術(shù)無(wú)法落實(shí)，而2020年這一比例僅為4%。

對(duì)于中小企業(yè)來(lái)說(shuō)，人才資源遠(yuǎn)不如大型企業(yè)，這一問(wèn)題就更明顯。于是，隨著 IT 環(huán)境的不斷發(fā)展，很多人才嚴(yán)重短缺的中小企業(yè)選擇招聘遠(yuǎn)程員工，無(wú)論他們身在何處，同時(shí)也能控制成本。

然而，為了維護(hù)一個(gè)高效的遠(yuǎn)程勞動(dòng)力，中小企業(yè)必須為這類員工提供無(wú)縫安全的訪問(wèn)體驗(yàn)，無(wú)論他們需要訪問(wèn)哪些 IT 資源、位于何處或使用何種設(shè)備。

對(duì)于有遠(yuǎn)程辦公場(chǎng)景的中小企業(yè)，哪種解決方案最好？
× ADFS
? IAM/SSO 云平臺(tái)

遠(yuǎn)程員工需要登錄設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、云基礎(chǔ)設(shè)施等各種資源，所有這些都需要由IT來(lái)管理。理想情況下，IT可以部署單點(diǎn)登錄（SSO）方案，允許遠(yuǎn)程用戶通過(guò)單點(diǎn)登錄門(mén)戶連接所有資源，但 ADFS 不支持這一點(diǎn)。這種類型的解決方案屬于基于云的IAM/SSO平臺(tái)，因此有遠(yuǎn)程訪問(wèn)需求的企業(yè)可以選擇 IAM/SSO 云平臺(tái)。

2）軟件即服務(wù)（SaaS）應(yīng)用數(shù)量飆升

遠(yuǎn)程和混合辦公環(huán)境也推動(dòng)了SaaS 應(yīng)用的增長(zhǎng)。根據(jù) BetterCloud 的數(shù)據(jù)顯示，一個(gè)員工少于 50 人的標(biāo)準(zhǔn)小型企業(yè)平均使用16種 SaaS 應(yīng)用，而員工超過(guò) 50 人的小型企業(yè)約使用 24 種。

由于高性價(jià)比和靈活彈性等原因，SaaS 應(yīng)用已成為許多中小企業(yè)的首選方案。當(dāng)然，這也意味著中小企業(yè)在用戶身份和訪問(wèn)管理方面負(fù)擔(dān)更大。如果不能統(tǒng)一訪問(wèn) SaaS 應(yīng)用，員工可能會(huì)因?yàn)槊艽a疲勞難以投入工作，而企業(yè)的技術(shù)支持成本也會(huì)大幅增加。

對(duì)于存在 SaaS 應(yīng)用場(chǎng)景的中小企業(yè)，哪種解決方案最好？
? ADFS
? IAM/SSO 云平臺(tái)

由于 ADFS 就是為了將用戶連接到云應(yīng)用等資源，因此如果企業(yè)主要依靠云應(yīng)用辦公，可以采用 ADFS。但是，如果沒(méi)有部署 AD，或者想采用可擴(kuò)展的 IAM 方案滿足企業(yè)的業(yè)務(wù)擴(kuò)張需求，同時(shí)簡(jiǎn)化身份和訪問(wèn)流程，那么選擇 IAM/SSO 云平臺(tái)會(huì)更好。

3）自帶設(shè)備（BYOD）的普及

自帶設(shè)備（BYOD）的普及主要是因?yàn)閱T工已經(jīng)習(xí)慣使用個(gè)人設(shè)備，而且通常比企業(yè)提供的設(shè)備有更高的靈活性。自帶設(shè)備還可以幫助資金短缺的中小企業(yè)降低采購(gòu)和運(yùn)維成本。

自帶設(shè)備的問(wèn)題在于 IT 部門(mén)能否快速有效地保護(hù)個(gè)人設(shè)備上的業(yè)務(wù)資產(chǎn)，同時(shí)不犧牲生產(chǎn)力。每個(gè)企業(yè)幾乎都會(huì)制定相關(guān)政策。但是，對(duì)于在個(gè)人設(shè)備上訪問(wèn) SaaS 應(yīng)用的員工來(lái)說(shuō)，可能很難落實(shí)這些政策，從而造成嚴(yán)重的安全威脅。此外，除了管理訪問(wèn)權(quán)限，IT 部門(mén)還必須追蹤員工正在使用哪些終端（設(shè)備類型或操作系統(tǒng)）訪問(wèn)資源，并且能統(tǒng)一管理這些設(shè)備以及所有的企業(yè)設(shè)備。

對(duì)于存在自帶設(shè)備場(chǎng)景的中小企業(yè)，哪種解決方案最好？
× ADFS
? IAM/SSO 云平臺(tái)

ADFS 并未涵蓋控制個(gè)人設(shè)備訪問(wèn)的能力，而 IAM/SSO 云平臺(tái)支持實(shí)施條件訪問(wèn)策略和其他安全措施來(lái)降低自帶設(shè)備產(chǎn)生的風(fēng)險(xiǎn)，通過(guò)條件訪問(wèn)策略驗(yàn)證用戶身份、設(shè)備、網(wǎng)絡(luò)可信，實(shí)現(xiàn)人+端的聯(lián)合信任，為企業(yè)搭建新的安全防衛(wèi)邊界。

4）員工入離職效率低

對(duì)于許多中小企業(yè)來(lái)說(shuō)，新員工入職流程非常耗時(shí)，因?yàn)檫@些都是需要手動(dòng)操作和非標(biāo)準(zhǔn)化的流程，以及他們需要提供訪問(wèn)權(quán)限的IT資源的絕對(duì)數(shù)量（設(shè)備、遺留和云應(yīng)用程序、電子郵件、服務(wù)器、網(wǎng)絡(luò)、云基礎(chǔ)設(shè)施等）。而且如果沒(méi)有一個(gè)自動(dòng)化的 IAM 平臺(tái)，配置訪問(wèn)權(quán)限就會(huì)變得越來(lái)越復(fù)雜、低效。

另一方面，不及時(shí)取消已離職員工的訪問(wèn)權(quán)限可能會(huì)產(chǎn)生嚴(yán)重后果。只是在中小企業(yè)，管理員必須手動(dòng)查看每個(gè)員工賬號(hào)，了解每個(gè)員工能訪問(wèn)哪些資源后再取消相應(yīng)的權(quán)限。

手動(dòng)入離職不僅容易出現(xiàn)人為錯(cuò)誤，從長(zhǎng)期運(yùn)維角度來(lái)看效率也較低。

針對(duì)中小企業(yè)的入離職場(chǎng)景，哪種解決方案最好？
× ADFS
? IAM/SSO 云平臺(tái)

ADFS 雖然也可以簡(jiǎn)化入離職流程中部分應(yīng)用的預(yù)配和取消預(yù)配，但屬于比較繁重的附加方案。相比之下， IAM/SSO 云平臺(tái)支持統(tǒng)一的用戶生命周期管理，覆蓋 SaaS 應(yīng)用在內(nèi)的所有 IT 資源。此外還支持 SCIM 和 JIT 配置，進(jìn)一步提升入離職流程的效率和安全性。

5）密碼過(guò)載

SaaS 應(yīng)用的增長(zhǎng)迫使用戶記住不同應(yīng)用各自的密碼。當(dāng)員工花更多時(shí)間管理密碼時(shí)，這種密碼疲勞可能會(huì)降低用戶體驗(yàn)和整體生產(chǎn)力，重置密碼還會(huì)降低 IT 部門(mén)的工作效率。

針對(duì)中小企業(yè)的密碼管理場(chǎng)景，哪種解決方案最好？
× ADFS
? IAM/SSO 云平臺(tái)

ADFS 不是密碼管理器，僅允許將 AD 中的身份聯(lián)合到未綁定域的應(yīng)用。對(duì)于 ADFS 不支持連接的資源，用戶仍需要單獨(dú)設(shè)置密碼。而使用 IAM/SSO 云平臺(tái)后，用戶只需記住一組滿足企業(yè)密碼要求的安全憑證。然后，可以使用這組憑證訪問(wèn)所有授權(quán)的 IT 資源。

三、使用云IAM/SSO解決方案代替ADFS

上述5大問(wèn)題表明企業(yè)需要一個(gè)全面的單點(diǎn)登錄工具，以及整體的 IAM 解決方案。這些需求都超出了 ADFS 的能力范圍，而且部署成本也不低?，F(xiàn)代 IAM 解決方案充分滿足了用戶訪問(wèn)管理的需求，同時(shí)確保用戶身份的安全和工作效率，按需訂閱，大幅降低部署成本。

盡管 ADFS 支持 AD 管理的本地身份擴(kuò)展到部分云資源，但是只能對(duì)用戶進(jìn)行本地認(rèn)證，而不能通過(guò) Azure 云認(rèn)證。

NingDS 身份目錄云不依賴于微軟 AD 等本地部署產(chǎn)品，幫助 IT 部門(mén)統(tǒng)一安全管理身份、設(shè)備和 IT 資源，可為所有 IT 資源設(shè)置單點(diǎn)登錄，優(yōu)化用戶體驗(yàn)，減少管理員的工作負(fù)擔(dān)。

此外，IT 預(yù)算有限和員工數(shù)量較少的中小企業(yè)也可以使用 NingDS 降低部署成本，提升數(shù)據(jù)安全，同時(shí)簡(jiǎn)化運(yùn)營(yíng)。

標(biāo)簽：