白皮书

使用 F5 BIG-IP APM 和 Active Directory 简化单点登录

Updated May 25, 2011
  • Share via AddThis

简介

除了简化身份和访问管理基础架构外,单点登录 (SSO) 的两个关键优势在于通过减少与身份验证相关的服务台呼叫和消除冗余的用户凭证存储来提高用户的生产力和降低运营成本。有了 SSO,用户不必维护多个系统的凭证,也不必为每个应用分别输入凭证,而且减少了密码重置或其他与访问管理相关的问题。利用一个集中的授权来源进行访问管理和认证,可以减少孤立和重复帐户。采用统一的方法来支持网络应用的认证和授权,使企业可以整合身份访问管理基础架构,并能够以较低的运营成本提升安全性。

要在异构平台上部署的应用之间提供 SSO 服务,就需要在一个共同的身份和访问管理框架上实现标准化。其中一个标准是 Kerberos,它长期以来被誉为在广泛的应用和系统中提供身份管理服务的最安全方法。身份管理数据库通常支持 Kerberos 认证和授权,作为实现跨异构环境整合的一种手段,但这并不总是能达到预期的效果。一个 IT 组织在 Microsoft Active Directory 上的标准化努力以及对基于 Kerberos 的认证和授权的底层支持,会因为无法使用 Active Directory 认证来授权非 Microsoft 的应用、客户端和系统而受到阻碍。这为寻求通过架构动态数据中心来实现 IT 即服务 (ITaaS) 承诺的组织带来了越来越多的问题,因为近年来设备多样性呈爆炸式增长,大多数设备不支持 Active Directory 或 Kerberos。在这样的异构环境中实现 SSO 所需要的架构是一个让不同解决方案相互联系的复杂组合,这些解决方案脆弱且不易调整,难以支持新兴技术和智能手机和平板电脑等设备。11 版 F5 BIG-IP Access Policy Manager (APM) 使企业能够跨异构应用实施基于 Kerberos 的单点登录与 Active Directory,同时提供灵活和高度可扩展的 Web 访问管理。最终带来一个简化的综合架构,以提供动态数据中心所需的身份和访问管理服务。

BIG-IP APM 支持 Kerberos

对 F5 和它的解决方案来说,支持 Kerberos 身份验证并不新鲜。BIG-IP v11 中的新功能是在 BIG-IP APM 中加入了 Kerberos 认证,这使得企业能够为日益多样化的客户端、平台和应用提供 SSO 和 Web 访问管理。利用先进的客户端身份验证和访问管理的能力,加上通过 iRules 实现的核心 BIG-IP 平台固有的可编程性,使得应用环境更加简单、灵活和安全,从而提高了用户的工作效率。BIG-IP APM 的 Kerberos 认证支持包括两个新功能:Kerberos 单点登录和 Kerberos 终端用户登录。

Kerberos 单点登录

Kerberos 单点登录的主要目的是在确定用户身份后,提供对 Web 或应用服务器的无缝认证。例如,登录到 Windows 桌面的用户可以期望通过使用 Kerberos 对任何支持 SSO 的应用进行透明认证和授权。由于用户只需输入一次凭证,而不必为每个应用输入凭证,因此提高了用户的工作效率,减少了因丢失或忘记凭证而产生昂贵支持电话费用的情况。

BIG-IP APM 和 Active Directory 的部署假设底层基础架构实现了 Kerberos,例如使用 Active Directory 域服务 (AD DS) 和集成 Windows 身份认证。AD DS 存储目录数据,如用户凭证、群组和角色,并管理用户登录过程、身份验证和目录搜索。集成 Windows 身份认证使用 Kerberos v5 认证和 NTLM 认证,使客户端浏览器使用加密交换而不是传递明文密码来证明对密码的确认。AD DS 和集成 Windows 身份验证通过无缝交互来交换适当的凭证和令牌以验证和授权用户访问,以透明方式提供 SSO 功能。为了增强安全性和灵活性,公司机构可以选择使用 Kerberos 单点登录,即使认证方法涉及到明文密码。

作为 Kerberos 代理,BIG-IP APM 可以获取凭证,并代表用户对所请求的应用进行认证。BIG-IP APM 首先从认证方法获得的数据中获取用户的 Kerberos 凭证。然后,利用适当的 Kerberos 协议扩展(Service for User 和约束委派),BIG-IP APM 会使用所提取的凭证来获得对自身和用户所访问的应用的服务票据。一旦获得了服务票据,BIG-IP APM 就会在应用请求中插入适当的 HTTP 授权头,并以透明方式验证用户。这个过程允许非 Microsoft、非 Kerberos 支持的客户端、应用和系统参与到 SSO 环境中。

图示
图 1:BIG-IP APM v11 中的 Kerberos 功能通过 Active Directory 整合 Web 访问管理和身份验证

BIG-IP APM 还支持通过客户端证书进行认证。在使用证书的情况下,对 BIG-IP APM 的前端认证通常是通过 OCSP(在线证书状态协议)完成,这使得 BIG-IP APM 能够更及时地查看所提交证书的吊销状态。

BIG-IP APM 的 Kerberos 单点登录优点包括:

  • 支持多个虚拟服务器,简化配置。
  • 使得 Active Directory 实施的认证流程设计简单明了。
  • 通过消除对单独的 Web 访问管理解决方案的需求,降低运营成本和架构复杂性。
  • 通过统一的 Kerberos 协议转换解决方案整合认证管理,提高安全性并降低相关的支持结构成本。

Kerberos 终端用户登录

人们越来越多地使用平板电脑、智能手机,甚至家用电脑等个人设备来访问企业资源,这就需要越来越多的上下文感知的 Web 访问认证和授权基础架构。随着设备的多样化,客户端在认证过程中, 与企业资源交互的能力上也存在着巨大的差异。

为了支持所有类型的设备,同时又不大幅增加运营成本或管理这些设备访问策略的复杂性,各组织往往会回到最低标准:基于 HTTP 的登录表单。这对于支持新的客户端类型而不产生与建立新策略相关的成本和延迟来说至关重要;但对于必须多次输入凭证的内部用户来说,它可能会对用户的工作效率带来不利影响。这会妨碍 SSO 登录举措,并可能产生 IT 部门行动失败的看法。

为了解决这个问题,BIG-IP APM 现在支持两种替代传统的基于 HTTP 表单的登录方式:Kerberos/SPNEGO 或 Basic 认证质询。支持这些替代方案对已经通过本地域认证的用户特别有利,因为它避免了对用户的额外凭证请求。通过 Kerberos 终端用户登录功能,用户可以基于 HTTP Basic 认证或 Kerberos/SPNEGO 认证完成 BIG-IP APM 认证。

截图
图 2:BIG-IP APM 支持广泛的认证机制,以实现身份访问管理架构设计的最大灵活性

这允许非 Microsoft、非 Kerberos 的客户端利用统一的、支持 Kerberos 的 SSO 基础架构,为用户提供从任何客户端单点登录的透明认证和授权服务。

BIG-IP APM 的 Kerberos 终端用户登录:

  • 为登录机制提供更大的灵活性,以更好地满足组织的客户、应用和操作要求。
  • 当域用户试图通过 BIG-IP APM 访问 Web 应用资源时,消除了域用户的显式认证。
  • 通过 Kerberos/SPNEGO 认证,组织无需向 BIG-IP APM 传输密码,从而改善了安全态势。

统一的身份和访问管理

在 BIG-IP APM 中使用 Kerberos 功能来实现无缝 SSO 环境的优势在于能够同时执行访问策略。BIG-IP APM 是一个上下文感知的访问策略执行平台,可为 IT 组织提供实施和执行策略所需的灵活性,这些策略管理着从各种设备和位置到应用和企业资源的访问。

通过利用统一的 Web 访问管理解决方案(如 BIG-IP APM),IT 组织可以在一个集中的位置应用上下文敏感的访问策略,例如通过客户端、位置或任何其他可用的网络、客户端或资源变量来限制对应用的访问。这使得 IT 组织能够无缝识别用户,并在战略控制点应用策略,甚至可以阻止未经授权的用户尝试进行应用或资源认证。这极大地降低了与访问相关的攻击(如暴力破解和字典式攻击)的影响,这些攻击会产生不必要的资源消耗,从而降低应用性能。

使用 BIG-IP APM 进行单点登录和访问管理可以实现基础架构的整合。传统的 Web 访问管理解决方案通常是独立运行,需要与身份管理系统(如 Active Directory)进行复杂的集成,或者需要额外部署服务器端代理。基于代理的解决方案在应用平台支持方面受到限制,并会引入另一个对 IT 效率和可用性产生负面影响的故障和维护点。一个能够提供认证和授权支持以及访问策略管理的单一集中式解决方案可以减少部署和管理要求。此外,它还有一个额外的好处,就是消除了多个集成点,请求必须这通过些集成点引导,而每个集成点都会带来潜在的性能问题。

结论

随着 IT 部门必须支持的设备、多样化的应用和服务的数量不断增加,对简化身份和访问管理基础架构的需求也在不断增加。无论用户身处何地或使用何种设备,利用 Kerberos 通过 Microsoft Active Directory 为所有用户提供一致的身份验证和授权框架,将能够降低运营成本,提高用户的工作效率。

IT 组织希望将 Active Directory 身份管理系统扩展到本身不支持 Kerberos 或 Microsoft 集成的设备和应用,其所面临的挑战可以通过部署 BIG-IP APM 来解决。BIG-IP APM 提供了一个战略控制点,可以代理标准化的 Kerberos 认证和授权服务,从而降低了底层基础架构的复杂性,并将一个通用的身份和访问管理框架扩展到所有用户和应用。

通过将 Web 应用访问管理和认证服务与 BIG-IP APM 进行整合,企业可以实现一个更加统一的集成身份和访问管理基础架构,在保留灵活性的同时,还能保持高度积极的安全态势。简化仍然是成功的关键因素。通过整合 Web 访问和身份管理来简化数据中心架构,可以降低管理、许可和相关硬件部署成本。这种整合还提供了灵活的策略执行选项,使其更容易适应用户访问应用和服务的新设备。简化用户体验提高了用户的工作效率,同时降低了与身份管理相关的支持成本,如昂贵的密码重置服务。