密码太多记不住?SSO帮你轻松访问VDI及外部资源

日期: 2016-05-24 作者:Brien Posey翻译:张冀川 来源:TechTarget中国 英文

随着云服务的广泛应用,单点登录技术(SSO)最近倍受青睐,它也可以帮助IT在VDI部署过程中更好地平衡安全性与用户体验。 单点登录(SSO)有多种方式,简单来讲,SSO是一个允许用户使用单一登录访问多个资源的认证过程。使用云应用的VDI用户可能需要某种方式的认证访问桌面外部的应用。SSO只需要用户单次输入认证信息就可以访问虚拟桌面以及外部资源,降低了最终用户的安全负担。

反对使用单点登录技术的争论之一是其削弱了安全性。如果用户账号被盗用,那么入侵者同样可以访问与账号关联的资源。 活动目录之外的访问控制 四年前,用户主要是链接到组织的活动目录访问资源。SSO不是必须的,因为由Windows进行访……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着云服务的广泛应用,单点登录技术(SSO)最近倍受青睐,它也可以帮助IT在VDI部署过程中更好地平衡安全性与用户体验。

单点登录(SSO)有多种方式,简单来讲,SSO是一个允许用户使用单一登录访问多个资源的认证过程。使用云应用的VDI用户可能需要某种方式的认证访问桌面外部的应用。SSO只需要用户单次输入认证信息就可以访问虚拟桌面以及外部资源,降低了最终用户的安全负担。

反对使用单点登录技术的争论之一是其削弱了安全性。如果用户账号被盗用,那么入侵者同样可以访问与账号关联的资源。

活动目录之外的访问控制

四年前,用户主要是链接到组织的活动目录访问资源。SSO不是必须的,因为由Windows进行访问控制。IT可以在活动目录中设置访问控制列表并赋予特定的用户读、写权限。

现在用户可以访问活动目录资源、云资源乃至活动目录森林内的资源。活动目录森林包括用户组、机器以及终端(活动目录域)以及域集合(活动目录树)。为访问本地活动目录之外的资源,用户通常需要针对每一种需要访问的外部资源提供一组凭证。SSO允许用户一次登录就可以访问本地以及外部资源。

VDI单点登录增加了安全性,提升了用户体验

如果访问外部资源不使用SSO方式,有时可能会削弱组织的安全性。用户能够记住的密码数量有限,当公司对密码提出复杂性要求时比如包括数字以及大写字母,或者必须频繁更改密码时,用户记忆密码的能力就降低了。

用户写下他们的密码或者针对要访问的所有资源使用相同的密码已是司空见惯。为了增加安全性,IT不可避免地要强迫员工使用不影响组织保护措施的技术。

单点登录技术只需要员工记住一个密码,能够降低员工负担。在这种情况下组织能够真正要求用户使用更加复杂的密码组合乃至双因素认证。此外,每个受保护的资源继续沿用其认证方式,不同于每种资源都要使用同样的密码。

SSO尤其适合更新过的VDI部署环境,因为应用位于虚拟桌面之外的情况越来越常见。例如,某些应用可能位于软件即服务云中,或者Windows应用可能作为微软Azure远程桌面存在。对于后者,管理员能够使用Azure AD将活动目录扩展到云中。即使安全性不是一个主要的问题,用户可能也不想每次访问应用时都需要输入一个密码。

Citrix以及VMware如何处理SSO

Citrix以及VMware都在公司的虚拟化计算平台中启用了SSO。

Citrix通过StoreFront企业应用商店启用了SSO,这里指的是直通认证,在用户的终端使用Receiver客户端软件通信。StoreFront 作为用户访问连接到公司XenApp以及XenDesktip虚拟化平台资源的中央资料库。使用Citrix的ICA远程显示协议,IT能够针对所有资源交付启用直通认证。

Vmware在其第七个版本的Horizon 最终用户计算套件中增加了一个称之为True SSO的新功能。Vmware的SSO之前仅支持微软活动目录认证,但True SSO增加了双因素认证以及支持技术,比如RSA SecurID、Kerberos、RADIUS认证。

智能卡以及生物识别单点登录

某些组织发现SSO在与生物识别或者智能卡认证相结合时效果很好。这两种方式允许用户不需要使用密码就能够登录,同时改进了安全性而且实现了认证过程无缝对接。

使用生物识别单点登录或者智能卡认证能够提高特定工作环境下用户的工作效率。与PC不同,虚拟桌面并非仅限于特定的网络终端。作为日常工作流程的一部分,用户可能要通过多个物理设备访问同一个虚拟桌面。例如,整天在办公室、诊疗室或者实验室之间穿梭的临床医师。使用生物识别或者智能卡认证的SSO允许该医师轻松地在不同的物理设备间切换。

尽管这种方式的安全性对某些组织而言非常适用,但有时更适合在单点登录中继续使用密码的组织。原因非常简单:并非支持VDI的所有设备都具备硬件支持智能卡认证或者生物识别单点登录。

对虚拟桌面与应用之间存在分割层的组织而言,SSO非常有用。但对仅仅通过活动目录访问资源的组织而言,可能不会因使用SSO而显著受益。

翻译

张冀川
张冀川

TechTarget中国特约专家,任职于某国企信息中心,负责数据中心硬件基础设施及信息系统运维管理工作,对虚拟化及云计算技术有浓厚兴趣,并在工作中积极应用

相关推荐

  • 如何应对三种最棘手的VDI挑战

    很少有技术性项目只需要遵循厂商的建议就能够轻松完成,而企业在部署VDI时可能会面临更多的问题。

  • VDI部署:如何节省闪存空间

    在VDI生态链中存储往往代表着最弱的一环,尤其是当组织仅依赖硬盘系统时更是如此。简单来讲,机械硬盘跟不上数百个或者上千个同时运行的虚拟桌面对存储的性能需求。

  • 确保VDI用户获得最佳体验的三种方式

    VDI用户不关心底层基础设施、架构以及IT必须要平衡的所有活动组件。他们希望VDI提供的用户体验至少不比物理桌面差。

  • 如何从试点过渡到全面部署VDI?

    VDI试点是任何VDI迁移中一个至关重要的组成部分,当从物理桌面迁移到虚拟桌面时,组织最终必须时用户过渡到完全成熟的生产环境。