如何实现基于 SaaS 的多租户多因素认证（MFA）？

最新推荐文章于 2024-08-09 23:31:47 发布

宁盾Nington

最新推荐文章于 2024-08-09 23:31:47 发布

阅读量346

点赞数

分类专栏：宁盾国产化身份域管（微软AD替代）文章标签：运维网络

本文链接：https://blog.csdn.net/yuzijiang11111/article/details/125979935

版权

宁盾国产化身份域管（微软AD替代）专栏收录该内容

164 篇文章 8 订阅

订阅专栏

多因素认证（MFA）是保障企业身份安全的一种有效工具，但由于多因素认证在实施过程中的各类潜在问题而使管理员对其持保留态度。对于托管服务商（MSP）来说，每个客户企业多多少少都会在实施多因素认证的过程中遇到困难。更好的解决办法就是采用多租户且基于 SaaS 的多因素认证工具（云MFA），集中管理应用程序等各类 IT 资源。

1. MFA 的发展

过去，MFA多因素认证（也称为双因子认证 2FA）被认为是一种笨重的企业级解决方案，因其实施困难让管理员和终端用户都无法接受。管理员头疼的是繁重的运维工作，而用户则不喜欢登录每个资源的时候都必须经过令牌认证。

现在，智能手机在经历了迅速发展后，用户只需使用手机 APP 就能轻松生成登录所需的动态令牌（OTP）以进行访问，甚至可以使用手机推送认证，连动态令牌也无需输入。此外，许多 Web 应用程序现在都内置多因素认证功能，一定程度上也减轻了管理员的运维负担。正是这种易用性和简单配置推动了MFA多因素认证等安全功能的普及。

当然，除了上述进步的方面之外，多因素认证的实施仍然存在一个痛点，那就是集成到核心身份源（IdP）中，如果实施成功就能为企业带来很多好处，包括为系统、应用程序和其他 IT 资源的核心身份提供更高级别的保护。但对管理员来说，自行配置多因素认证和身份源的集成并不容易。

2. MFA 的优缺点

在了解了MFA多因素认证的基本发展后，就要从托管服务商（MSP）和客户的角度进一步介绍多因素认证的具体优势和挑战。

1）优点

毫无疑问，多因素认证的首要优势就是安全性。在如今充满数据泄露的信息时代，托管服务商（MSP）和客户企业已成为网络攻击的首要目标。攻击者依靠窃取身份凭证侵入企业内网，最终很可能会造成重大损失。

为解决这一问题，多因素认证要求用户提供登录名和密码之外的其他身份验证因素，在攻击者和企业网络之间又增加了一道安全屏障。这些额外的验证因素通常包括智能手机上生成的动态令牌或短信验证码。此外还包括硬件令牌、生物识别（面部/指纹虹膜）和推送认证。还有一些多因素认证工具甚至根据用户使用身份凭证登录时的 IP 地址判断是否批准/拒绝访问（这便是基于条件访问策略的MFA多因素认证）。

这样一来，除非用户同时泄露登录密码和多因素认证凭证，否则即便攻击者窃取了登录密码也无法接管账号。谷歌安全博客在评估不同形式的多因素认证时发现，基于设备的多因素认证几乎可以阻止所有针对账号的攻击。

除了提升安全性以外，MFA多因素认证的另一项关键优势是广泛适用性。托管服务商（MSP）可以适当借助 RADIUS 插件或 SDK 在系统和应用程序中强制执行多因素认证，甚至还可以对连接企业内网的 VPN 强制执行多因素认证保护网络访问。

2）缺点

不可否认，多因素认证也存在不少缺点导致企业放弃采用。首先就是对办公效率的担忧。在传统的静态密码登录机制下，员工每月在账号登录上花费的时间是36分钟以上。这似乎只是一个小数字，但在平均50名员工的企业中，相当于企业每年在账号登录上要损失40多个小时。采用MFA多因素认证后，终端用户不仅需要输入密码，还需要输入额外的身份验证因素，导致账号登录的时间加倍。

除此之外，大多数多因素认证形式基于时间型动态令牌（TOTP），令牌有效时间有限。一旦令牌失效，用户还需要等待新的令牌生成，这也影响了员工生产力。多因素认证的另一个问题是实施的复杂性。为了让该工具应用于所有资源，在整个企业范围内推行，管理员需要一个工具涵盖所有 IT 资源。例如，很多 Web 应用程序的单点登录（SSO）解决方案也会包含多因素认证，但是仅适用于通过 SSO 连接的应用程序。如果要保护系统、网络等本地基础架构，还需要另外部署多因素认证工具。这就增加了企业的 IT 安全预算和运维成本。

3. 揭晓更佳方案——多租户 MFA，即云 MFA

对于托管服务商而言，多因素认证的优势和普通企业相等，但缺点会随着管理客户的数量增加而成倍叠加。主要原因是不同的 IT 环境意味着不同的需求。有些 IT 环境可能部署了需要额外保护的操作系统，另一些可能需要对远程员工的 VPN 进行访问认证。而托管服务商需要的是能够满足所有客户安全需求的MFA多因素认证工具。

除此之外，托管服务商（MSP）还肩负着全面管理客户 IT 需求的重任，因此经常需要和客户远程沟通或现场解决。只是，这种管理模式在疫情爆发之后似乎就变得难以为继，于是托管服务商（MSP）对于多因素认证的需求又多了一条无需去客户现场实施交互。多租户的多因素认证（云MFA）解决方案将支持托管服务商（MSP）从云端统一管理所有客户企业。理想情况下，多租户的多因素认证工具将涵盖不同功能，可以满足客户的定制化需求。

4. 身份目录云——基于 SaaS 的多租户 MFA 方案

身份目录云（DaaS）是一个账号登录网络、终端、SaaS/本地应用、服务的一站式身份云方案。它具有多租户门户（MTP），专为托管服务商（MSP）开发，支持企业通过统一身份管理平台将用户对接到企业系统、应用程序、网络等 IT 资源，进行身份和访问管理。适用于 Windows、Mac、Linux 等主要操作系统，以及各系统的应用程序和网络基础架构。

此外，DaaS 基于 SaaS 模式实现，管理员不必单独设置 MFA 多因素认证解决方案，节约了部署成本。基于 SaaS 的 MFA 功能也能紧密集成到企业核心目录服务中，确保管理员可以集中控制和保护终端用户对所有 IT 资源的访问。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解云MFA更多内容，可前往宁盾官网博客解锁更多干货）