零信任:安全至上的新標準
零信任是一種先進的安全框架,假設網絡中沒有任何部分是可信任的,無論是用戶、設備還是流量,都需要經過嚴格的驗證和授權,甚至是在內網環境下。其核心原則是“永不信任,始終驗證”("Never trust, always verify"),即使是已經在網絡中的用戶或設備,也需要持續進行驗證。
中央授權中心:SSO與零信任的完美結合
中央授權中心通過OIDC協議實現的單點登錄(SSO)功能,簡化了用戶的訪問體驗,同時完美契合零信任的要求。每個接入系統都可以從Token中提取用戶身份驗證的時間(auth_time)以及本次所有的身份驗證方式(amr),確保在簡化用戶操作的同時,維持嚴格的安全標準。
-
多因子驗證要求:通過驗證方式(amr)數據,可以判斷用戶是否滿足貴單位的多因子驗證要求。這確保了只有經過多重驗證的用戶才能訪問敏感資源,從而加強了整體安全性。
-
身份驗證時效:通過驗證時間(auth_time),系統可以判斷用戶的身份驗證時效是否符合貴單位的要求,保證用戶的訪問權限總是在最新的安全狀態下進行。
如果發現驗證不滿足貴單位的要求,或者貴單位接入系統需要更安全的身份驗證機制,您可以進行以下操作:
-
強行重新身份驗證:每次進入系統時清除用戶的驗證狀態,讓用戶重新進行身份驗證(包括雙因子驗證)。這可以通過在授權端點中添加 prompt=force_login 來實現。
-
增加一次身份驗證:除了獲得單點登錄時的用戶身份驗證信息之外,在需要時可另加一個帶有參數 login_type=mfa 的授權端點進行額外的身份驗證。
-
多類賬號的交叉驗證:中央授權中心支持多類賬號的交叉驗證,例如,使用貴單位系統自己的賬號驗證與授權中心相信APP賬號驗證相結合,進一步增強身份驗證的可靠性和安全性。
另外說明:相信TOTP、郵箱、短信、FIDO2與相信賬號也分屬于多類賬號體系中。
通過這些機制,中央授權中心不僅大幅提升了用戶的訪問體驗,還與零信任的核心原則保持一致,為企業構建了一個高度安全且高效的訪問控制體系。無論是在外網還是內網環境下,中央授權中心都能確保每一次訪問都經過充分的驗證,從而保障企業的數字資產安全。
