截至2020年,全球约有2.13亿家中小企业。为提高生产力和效率,满足客户和企业自身的业务目标,并采用合适的 IT 安全方案来保护公司、客户和员工数据,避免各类安全风险,中小企业通常使用微软的 Active Directory 联合服务(ADFS)作为身份和访问管理(IAM)方案来实现这一点。但云计算和远程办公趋势暴露了ADFS的短板,ADFS的安全性、高成本和实施复杂性成为最受企业关注的问题。随着更加便捷高效的IAM产品服务出现,中小企业开始考虑是否采用这些方案替代继续原有的 ADFS 。
为了解答这一疑问,本文将讨论 ADFS 的主要功能、中小企业面临的常见 IAM 问题,并分析 ADFS 适合哪些企业,以及为什么单点登录(SSO)的未来是基于云的解决方案。
一、ADFS的两大功能
- 提供有限的单点登录(SSO)能力:ADFS 可以为需要访问合作伙伴应用或云服务等外部资源的用户提供单点登录身份认证。它使用基于声明的身份认证框架,以及安全断言标记语言(SAML)和缓存(cookie)对用户身份进行验证。
- 简化身份联合:使用 ADFS 后,员工无需将身份凭证发送到服务提供商(SP)进行身份认证。相反,用户凭证仍然通过 Active Directory(AD)存放在身份源(IdP)或本地组织的中心位置。很多部署了 AD 的企业都会采用这种方法加强对用户身份的管控。
二、中小企业的常见身份和访问管理(IAM)问题
管理中小企业的身份和访问权限之所以困难重重,主要归结于以下原因:
1)远程劳动力的增长
网络安全和云计算等领域越来越需要经验丰富的 IT 专业人员。然而,合格的候选人远远跟不上需求增长的速度。Gartner 在2021年发布的一项调查显示,企业认为人才稀缺导致64%的新兴技术无法落实,而2020年这一比例仅为4%。
对于中小企业来说,人才资源远不如大型企业,这一问题就更明显。于是,随着 IT 环境的不断发展,很多人才严重短缺的中小企业选择招聘远程员工,无论他们身在何处,同时也能控制成本。
然而,为了维护一个高效的远程劳动力,中小企业必须为这类员工提供无缝安全的访问体验,无论他们需要访问哪些 IT 资源、位于何处或使用何种设备。
对于有远程办公场景的中小企业,哪种解决方案最好?
× ADFS
✓ IAM/SSO 云平台
远程员工需要登录设备、网络、应用程序、云基础设施等各种资源,所有这些都需要由IT来管理。理想情况下,IT可以部署单点登录(SSO)方案,允许远程用户通过单点登录门户连接所有资源,但 ADFS 不支持这一点。这种类型的解决方案属于基于云的IAM/SSO平台,因此有远程访问需求的企业可以选择 IAM/SSO 云平台。
2)软件即服务(SaaS)应用数量飙升
远程和混合办公环境也推动了SaaS 应用的增长。根据 BetterCloud 的数据显示,一个员工少于 50 人的标准小型企业平均使用16种 SaaS 应用,而员工超过 50 人的小型企业约使用 24 种。
由于高性价比和灵活弹性等原因,SaaS 应用已成为许多中小企业的首选方案。当然,这也意味着中小企业在用户身份和访问管理方面负担更大。如果不能统一访问 SaaS 应用,员工可能会因为密码疲劳难以投入工作,而企业的技术支持成本也会大幅增加。
对于存在 SaaS 应用场景的中小企业,哪种解决方案最好?
✓ ADFS
✓ IAM/SSO 云平台
由于 ADFS 就是为了将用户连接到云应用等资源,因此如果企业主要依靠云应用办公,可以采用 ADFS。但是,如果没有部署 AD,或者想采用可扩展的 IAM 方案满足企业的业务扩张需求,同时简化身份和访问流程,那么选择 IAM/SSO 云平台会更好。
3)自带设备(BYOD)的普及
自带设备(BYOD)的普及主要是因为员工已经习惯使用个人设备,而且通常比企业提供的设备有更高的灵活性。自带设备还可以帮助资金短缺的中小企业降低采购和运维成本。
自带设备的问题在于 IT 部门能否快速有效地保护个人设备上的业务资产,同时不牺牲生产力。每个企业几乎都会制定相关政策。但是,对于在个人设备上访问 SaaS 应用的员工来说,可能很难落实这些政策,从而造成严重的安全威胁。此外,除了管理访问权限,IT 部门还必须追踪员工正在使用哪些终端(设备类型或操作系统)访问资源,并且能统一管理这些设备以及所有的企业设备。
对于存在自带设备场景的中小企业,哪种解决方案最好?
× ADFS
✓ IAM/SSO 云平台
ADFS 并未涵盖控制个人设备访问的能力,而 IAM/SSO 云平台支持实施条件访问策略和其他安全措施来降低自带设备产生的风险,通过条件访问策略验证用户身份、设备、网络可信,实现人+端的联合信任,为企业搭建新的安全防卫边界。
4)员工入离职效率低
对于许多中小企业来说,新员工入职流程非常耗时,因为这些都是需要手动操作和非标准化的流程,以及他们需要提供访问权限的IT资源的绝对数量(设备、遗留和云应用程序、电子邮件、服务器、网络、云基础设施等)。而且如果没有一个自动化的 IAM 平台,配置访问权限就会变得越来越复杂、低效。
另一方面,不及时取消已离职员工的访问权限可能会产生严重后果。只是在中小企业,管理员必须手动查看每个员工账号,了解每个员工能访问哪些资源后再取消相应的权限。
手动入离职不仅容易出现人为错误,从长期运维角度来看效率也较低。
针对中小企业的入离职场景,哪种解决方案最好?
× ADFS
✓ IAM/SSO 云平台
ADFS 虽然也可以简化入离职流程中部分应用的预配和取消预配,但属于比较繁重的附加方案。相比之下, IAM/SSO 云平台支持统一的用户生命周期管理,覆盖 SaaS 应用在内的所有 IT 资源。此外还支持 SCIM 和 JIT 配置,进一步提升入离职流程的效率和安全性。
5)密码过载
SaaS 应用的增长迫使用户记住不同应用各自的密码。当员工花更多时间管理密码时,这种密码疲劳可能会降低用户体验和整体生产力,重置密码还会降低 IT 部门的工作效率。
针对中小企业的密码管理场景,哪种解决方案最好?
× ADFS
✓ IAM/SSO 云平台
ADFS 不是密码管理器,仅允许将 AD 中的身份联合到未绑定域的应用。对于 ADFS 不支持连接的资源,用户仍需要单独设置密码。而使用 IAM/SSO 云平台后,用户只需记住一组满足企业密码要求的安全凭证。然后,可以使用这组凭证访问所有授权的 IT 资源。
三、使用云IAM/SSO解决方案代替ADFS
上述5大问题表明企业需要一个全面的单点登录工具,以及整体的 IAM 解决方案。这些需求都超出了 ADFS 的能力范围,而且部署成本也不低。现代 IAM 解决方案充分满足了用户访问管理的需求,同时确保用户身份的安全和工作效率,按需订阅,大幅降低部署成本。
尽管 ADFS 支持 AD 管理的本地身份扩展到部分云资源,但是只能对用户进行本地认证,而不能通过 Azure 云认证。
NingDS 身份目录云不依赖于微软 AD 等本地部署产品,帮助 IT 部门统一安全管理身份、设备和 IT 资源,可为所有 IT 资源设置单点登录,优化用户体验,减少管理员的工作负担。
此外,IT 预算有限和员工数量较少的中小企业也可以使用 NingDS 降低部署成本,提升数据安全,同时简化运营。