不要只在网络或应用服务器上对用户进行身份验证。事先了解他们的身份。
为什么–你会邀请一个你根本不知道是谁的人到家里,让他坐在沙发上,然后要求他出示证件吗?
尽可能在靠近边缘处进行验证,然后在应用处再次验证
在我们的私人和职业生活中,我们都对所谓的 “密码疲劳 “深有体会。我们需要管理和记忆的用户名和密码组合似乎越来越多。我们被鼓励使用包含字符和数字的更强密码、不包含英文单词的更长密码以及大小写字母的混合密码。就在你可能已经完全掌握密码的时候(如果你幸运的话),你又不得不更换密码。计算机不是应该让我们的生活更轻松吗?
用户通常会通过多种方式来应对这一挑战。在家里,大多数人会使用浏览器或手机应用程序来存储密码。只需对设备进行物理访问,或许再加上一个 PIN 码,就可以访问所有者的大部分(如果不是全部)在线账户和敏感信息。很多用户还会在多个账户中使用相同的密码,有些人甚至会把密码写下来。
这一切都不理想,当然也不安全,尤其是在工作场所。当然,没有人上班是为了让雇主承担安全漏洞的风险,但这些坏习惯往往会跟随用户进入办公室。便利性和可用性往往压倒了理性思考和合规性。也许我们可以做些什么来帮助我们的用户,改善我们的安全状况。听起来不错!
以前,单点登录(SSO)是大型和富有企业的专利,现在,edgeNEXUS 负载平衡器 v4.2.0 的身份验证模块提供了这一功能。这非常简单,您只需根据中央系统对用户进行预先认证,一旦通过认证,就可以访问您认为合适的任何数量的后续服务、网站和应用程序,而无需再输入密码。这是一个非常罕见的例子,它将安全性和便利性完美地结合在一起,而不是舍本逐末。
与此同时,您还可以利用 ALB-X 的大量其他安全和性能功能,如 NAT、代理、缓存和压缩、数据包过滤、高可用性、flightPATH 流量管理规则等。如果您还没有部署负载平衡器来为您的关键业务网站和服务提供服务,那么您和您的用户将会错过很多机会。
如果您正在使用已停产的 Microsoft ForeFront TMG(威胁管理网关),那么快速更换老化的基础架构从未如此简单。我们是微软的金牌合作伙伴,拥有 jetPACKs,可为 Exchange、RDP 和Lync等流行的微软产品快速、简单地配置应用交付功能,所有这些产品都将受益于这一新模块。您还可以在 Azure 云中运行 edgeNEXUS。
除了让用户满意和减轻 IT 人员的压力之外,我们还应该了解其他一些好处和机会;
– 减少无休止的密码重置电话,降低服务台成本
– 更快的登录速度和更简洁的用户界面
– 集中管理用户(通过现有的用户数据库/存储–减少管理事项)
– 对用户活动进行集中记录和审计(减少查找地点)
– 统一的密码政策
– 更高的合规性和更好的密码建立在更高的用户参与度和合作基础之上
– 同理,密码策略也要更强大;如果需要记住的密码更少,用户会更乐意使用密码策略
当然,我们的身份验证模块并非必须用于提供 SSO。它仍能为任何应用程序或服务提供安全保护。现在,开发人员无需为网站编写身份验证代码,只需将其卸载到负载平衡器即可(以及 SSL/TLS、压缩和其他所有功能)。身份验证还可以在任意多个系统中以相同的外观运行,所有控制、管理和配置都在一个地方进行。数据中心的瑞士军刀又多了一个新工具。
程序化的 flightPATH 规则,正如其设计目的一样,带来了更大的灵活性。通过这些规则,您可以将复杂的业务逻辑和安全策略应用到身份验证系统中。您可以根据定义的标准,如原籍国(参见我们的地理定位博客)、目的地 URL、IP 地址等,有选择地对用户提出挑战。或者,您想对某些用户使用不同的身份验证方法。一切皆有可能,而且 edgeNEXUS 一如既往地简单而强大。
该模块支持 LDAP 身份验证服务器,支持或不支持 SSL (LDAPS),支持或不支持 MD5 密码散列。目前常用的客户端身份验证方法,包括自定义内嵌网页和 HTTP Basic,都已完全支持。在不久的将来,我们还将增加更多客户端和服务器端选项。在所使用协议支持的情况下,还可以设置重新验证超时。
我们收到了大量关于该模块及其功能的请求,这是我们响应客户需求的一个光辉典范。该模块作为功能包可在新的 edgeNEXUS应用程序商店下载– 有关如何使用该模块的详细信息,请访问此处的用户指南。
