RFID安全新理念——身份认证

    单点登录

    建立起身份认证仓库并部署了管理工具后，就可以开始部署使用数字身份认证的应用程序了。SSO也许是最常被引用的例子，它可以确保用户省去多个密码的麻烦。

    在启用了SSO的环境中，每个用户的身份认证定义了他能在网络上做什么。因此，用户只需登录一次，就可以得到对网络中所有应用程序和数据的相应访问权限。

    实际应用中，虽然用户毫不例外地都喜欢SSO的“魔力”，但一些IT管理员担心，一次登录就能够访问多个应用程序会使攻击者对网络的破坏范围更大。事实并非如此，当用户不得不维护多个用户名和口令时，他们更倾向于选择一些容易被猜出的密码，安全性很容易受到威胁。如果是由 IT 部门来指定不易猜测的密码，用户又会把登录信息写下来放在不安全的地方，例如把即时贴粘在显示器上。

    此外，用户要记的密码越多，就越有可能忘记。要是有几千个用户，光是重设忘记的密码就会给IT支持部门造成很大的工作量。通过采用基于身份认证的SSO，用户支持的成本将显著降低。

    轻松管理网络账户

    比 SSO 更重要的是，基于身份认证的网络使管理员得以集中创建和销毁网络账户。通过诸如 Netegrity IdentityMinder eProvision 等等基于身份认证的配置系统，几分钟内就可为新雇员设置好电子邮件、应用程序和网络访问权限。许可权限可基于已建立好的规则分配，即用户组以及组中的各个成员在网络中有哪些访问权限。只需向系统中输入一些简单信息——基本上包括新雇员的姓名、职位和编号，身份认证管理解决方案将完成其余的工作。

    从系统中删除账户也同样迅速。显然，与在一个割裂的系统中手工清除所有信息（不能漏掉任何一个远程访问服务器、虚拟专用网、无线访问点，等等）相比，在雇员离开公司后全局性地删除与该用户身份认证相连的许可权限要好得多。这样，不满的离职员工的密码被遗漏在网络某个角落中的风险将大大减小。

    Burton 集团的高级分析师Mike Neuenschwander相信：配置能力有可能使大多数企业在身份认证管理上的投资得到快速而明显的回报。他还认为，作为身份认证管理系统中最具吸引力和最易部署的组件，自动配置市场非常诱人。

    但是，配置并不总是一件简单的事。除了为用户设置许可权限外，还经常涉及到要为移动设备和应用程序授予权限以及管理其他资产。此外，很多公司把他们的身份认证管理系统扩展到内部网络之外，将合作伙伴、供应商和客户都包含进来。