联合身份管理(FIM)详解:跨域单点登录与安全架构

本文深入解析联合身份管理(FIM)的工作原理,涵盖SAML、OAuth等技术协议,探讨其在跨组织访问控制中的优势与实施挑战,包括七大身份法则和政府应用案例。

什么是联合身份管理(FIM)?如何运作?

联合身份管理(FIM)是多企业或多域之间的一种安排,允许用户使用相同的身份数据(数字身份)访问所有网络。这些合作伙伴称为信任域,可以是组织、业务部门或大组织中的较小子公司。

FIM 是单次登录多次访问的系统。要有效运作,所有参与方必须建立互信。每个信任域维护自身的身份管理,但通过第三方服务互联,该服务存储用户访问凭证并提供 FIM 所需的信任机制。此第三方服务称为身份提供商或身份中介。

身份提供商管理多个服务提供商的访问控制。FIM 安排是在跨组织的两个或多个身份中介之间建立的。

FIM 将用户身份跨多个安全域链接。当两个域联合时,用户只需向一个域认证即可,从而通过快速安全地在系统间移动来提升用户体验。这是因为第二个安全域(FIM 系统的一部分)信任用户的主域已认证用户身份并允许其无限制访问。

联合身份管理示例

FIM 系统示例包括 OpenID、开放授权(OAuth)以及基于安全断言标记语言(SAML)的 Shibboleth。常见案例如使用 Google、Facebook 或 Apple 账户登录第三方网站。通过 Google 的 FIM 系统,用户可登录 Gmail、YouTube、Disney+、Spotify 和 Netflix 等账户及部分移动应用和网站。

联合身份管理如何运作?

FIM 通过合作伙伴间发送授权消息运作。这些消息可使用 SAML 或类似的可扩展标记语言(XML)标准传输,使用户单次登录即可访问多个关联但独立的网站或网络。

用户凭证由其身份提供商(主域)存储。登录服务(如 SaaS 应用)时,无需向服务提供商提供凭证,而是服务提供商信任身份提供商验证凭证并授予访问权限。

当用户尝试使用 FIM 登录网站或应用时,网站或应用向身份提供商的认证服务器请求联合认证,服务器验证用户访问权限。身份提供商随后向服务提供商授权用户访问。

常见应用场景

FIM 适用于需要跨多个安全域访问资源的应用管理,常见场景包括:

  • 并购后系统新增用户
  • 需访问组织资源的外部供应商或分销商
  • 来自商业身份提供商的用户
  • 持有公共组织凭证的用户
  • 使用国家身份提供商凭证的公民
  • 访问社交网站(如 Gmail 或 Facebook)

支撑技术

FIM 由多种技术构成,认证协议是身份提供商与服务提供商间通信的关键部分,包括:

  • SAML:共享身份、认证和授权安全信息的开放标准,使用 XML 交换数据
  • OAuth:互联网授权的开放标准框架
  • OpenID Connect:认证和单点登录(SSO)的开放规范,扩展 OAuth 以确认用户身份并获取配置文件数据
  • Kerberos:在不可信网络间认证受信任主机服务请求的协议
  • RADIUS:用于远程和网络访问集中认证的客户端-服务器协议

不同框架也用于定义组织如何建立信任和共享身份数据。例如 WS-Federation(常用于 Microsoft 平台如 AD FS)和开源系统 Shibboleth(支持 SAML 联合认证)。存储用户身份和属性通常使用目录服务(如 LDAP 或 AD FS)。

七大身份法则

FIM 遵循七大身份法则,旨在提供安全且用户友好的身份管理设计原则:

  1. 用户控制与同意:用户应能许可共享身份数据并了解共享方式
  2. 最小披露:身份系统应仅共享必要的最少数据
  3. 合理理由:身份系统应确保仅与能证明有合法接收理由的方共享数据
  4. 定向身份:身份系统应保护公共和私有标识符以维护用户隐私
  5. 竞争性:支持不同身份提供商以提高技术互操作性
  6. 人工集成:将用户作为分布式系统组件以减少计算机间攻击
  7. 一致性:用户跨平台体验应简单一致

政府角色

政府也推动 FIM 实施。例如美国 2012 年发布《国土安全总统指令 12》,要求政府范围创建联邦员工及相关承包商的安全身份证,旨在建立跨联邦机构的安全身份系统以促进平台和程序间快速移动。2011 年发布的《联邦风险与授权管理计划》与 FIM 紧密相关,强制云服务采用标准化身份和访问管理(IAM)实践。

SSO 与 FIM 的区别

单点登录(SSO)是 FIM 的重要组件但并非同一概念。SSO 允许用户在单一组织内使用同一组凭证访问多个系统,基于令牌而非密码识别用户。FIM 使用户能跨联合组织访问系统,使用相同凭证访问联合组内所有成员的应用、程序和网络,提供跨不同组织的单步多系统访问。与 SSO 不同,FIM 用户不直接向 Web 应用提供凭证而是向 FIM 系统本身提供。实施 SSO 的组织不一定使用 FIM,但 FIM 严重依赖 SSO 技术跨域认证用户。

优势与劣势

优势

  • 组织合作项目时,FIM 使参与者能跨所有域访问和共享资源
  • 简化联合系统内用户的认证和授权流程
  • 各组织管理员仍控制自身域访问级别,可基于单一用户名设置不同安全域系统的权限,减少工作并简化 IAM
  • 避免多域访问平衡中的常见问题(如开发特定系统以方便访问外部组织资源),整合方法有助于节省成本并保持控制
  • 消除用户轻松安全访问所需资源的障碍,提供跨域安全访问而无需记忆多组凭证或多次登录,节省时间、减少访问摩擦并提高生产力
  • 简化数据管理、隐私和合规性
  • 通过集中身份管理降低存储成本,减少数据冗余并简化数据同步

劣势

  • 组织修改现有系统和应用的前期成本可能对较小组织构成重大财务负担
  • 参与成员需制定符合所有成员安全要求的策略,当各企业设置不同要求和规则时谈判可能复杂耗时
  • 参与组织可能加入多个联合体,其策略需反映每个联合体的规则和要求,随着加入更多联合体可能变得复杂并需要大量时间投入
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次