随着云服务的广泛应用,单点登录技术(SSO)最近倍受青睐,它也可以帮助IT在VDI部署过程中更好地平衡安全性与用户体验。
单点登录(SSO)有多种方式,简单来讲,SSO是一个允许用户使用单一登录访问多个资源的认证过程。使用云应用的VDI用户可能需要某种方式的认证访问桌面外部的应用。SSO只需要用户单次输入认证信息就可以访问虚拟桌面以及外部资源,降低了最终用户的安全负担。
反对使用单点登录技术的争论之一是其削弱了安全性。如果用户账号被盗用,那么入侵者同样可以访问与账号关联的资源。
活动目录之外的访问控制
四年前,用户主要是链接到组织的活动目录访问资源。SSO不是必须的,因为由Windows进行访问控制。IT可以在活动目录中设置访问控制列表并赋予特定的用户读、写权限。
现在用户可以访问活动目录资源、云资源乃至活动目录森林内的资源。活动目录森林包括用户组、机器以及终端(活动目录域)以及域集合(活动目录树)。为访问本地活动目录之外的资源,用户通常需要针对每一种需要访问的外部资源提供一组凭证。SSO允许用户一次登录就可以访问本地以及外部资源。
VDI单点登录增加了安全性,提升了用户体验
如果访问外部资源不使用SSO方式,有时可能会削弱组织的安全性。用户能够记住的密码数量有限,当公司对密码提出复杂性要求时比如包括数字以及大写字母,或者必须频繁更改密码时,用户记忆密码的能力就降低了。
用户写下他们的密码或者针对要访问的所有资源使用相同的密码已是司空见惯。为了增加安全性,IT不可避免地要强迫员工使用不影响组织保护措施的技术。
单点登录技术只需要员工记住一个密码,能够降低员工负担。在这种情况下组织能够真正要求用户使用更加复杂的密码组合乃至双因素认证。此外,每个受保护的资源继续沿用其认证方式,不同于每种资源都要使用同样的密码。
SSO尤其适合更新过的VDI部署环境,因为应用位于虚拟桌面之外的情况越来越常见。例如,某些应用可能位于软件即服务云中,或者Windows应用可能作为微软Azure远程桌面存在。对于后者,管理员能够使用Azure AD将活动目录扩展到云中。即使安全性不是一个主要的问题,用户可能也不想每次访问应用时都需要输入一个密码。
Citrix以及VMware如何处理SSO
Citrix以及VMware都在公司的虚拟化计算平台中启用了SSO。
Citrix通过StoreFront企业应用商店启用了SSO,这里指的是直通认证,在用户的终端使用Receiver客户端软件通信。StoreFront 作为用户访问连接到公司XenApp以及XenDesktip虚拟化平台资源的中央资料库。使用Citrix的ICA远程显示协议,IT能够针对所有资源交付启用直通认证。
Vmware在其第七个版本的Horizon 最终用户计算套件中增加了一个称之为True SSO的新功能。Vmware的SSO之前仅支持微软活动目录认证,但True SSO增加了双因素认证以及支持技术,比如RSA SecurID、Kerberos、RADIUS认证。
智能卡以及生物识别单点登录
某些组织发现SSO在与生物识别或者智能卡认证相结合时效果很好。这两种方式允许用户不需要使用密码就能够登录,同时改进了安全性而且实现了认证过程无缝对接。
使用生物识别单点登录或者智能卡认证能够提高特定工作环境下用户的工作效率。与PC不同,虚拟桌面并非仅限于特定的网络终端。作为日常工作流程的一部分,用户可能要通过多个物理设备访问同一个虚拟桌面。例如,整天在办公室、诊疗室或者实验室之间穿梭的临床医师。使用生物识别或者智能卡认证的SSO允许该医师轻松地在不同的物理设备间切换。
尽管这种方式的安全性对某些组织而言非常适用,但有时更适合在单点登录中继续使用密码的组织。原因非常简单:并非支持VDI的所有设备都具备硬件支持智能卡认证或者生物识别单点登录。
对虚拟桌面与应用之间存在分割层的组织而言,SSO非常有用。但对仅仅通过活动目录访问资源的组织而言,可能不会因使用SSO而显著受益。
本文转自d1net(转载)
