技术主题

什么是NetIQ 高级身份验证?

以笔记本电脑为重点的 IT 项目图示

概述

基于标准的集成框架,可提供多种身份验证方法。该框架可作为服务或内部部署使用,旨在作为全组织范围内所有身份验证的集成和管理中心点。 为了获得中央管理点和安全控制,企业通常使用该框架来整合其身份验证孤岛。该框架采用联邦信息处理标准(FIPS)140-2 加密,并与 FIDO 2 方法、所有 FIDO U2F 设备和 OATH 令牌集成。除了服务器端身份验证功能外,Advanced Authentication还可以在 Windows、Mac OS X 和 Linux 上运行。

NetIQ 为您的业务提供动力

通过身份管理,NetIQ 帮助企业实现基于身份的安全。NetIQ 还使企业能够有效、安全地与消费者互动。

阅读宣传单

NetIQ 高级身份验证

高级身份验证如何帮助我完成 MFA?

近年来,多因素身份验证已在大多数行业中普及。虽然处理受监管信息的组织需要双因素身份验证来确保合规性,但其广泛采用的主要原因是高违规率和不断上升的数字安全风险。规模较大的组织之所以采用NetIQ 高级身份验证,原因如下: 

  • 投资于一个不会将其锁定为专有实施或设备的框架的吸引力。 
  • 提供多种认证选项。为用户提供的认证选项越多,就越容易找到适合每个用户(员工、承包商、客户、病人、公民等)情况的方法。 
  • 该框架提供了一个集中报告系统,说明每个用户验证的方式和时间。它简化了合规报告和安全审计。

由于其灵活性,分布在不同地域的大型企业都喜欢 Advanced Authentication 的 Docker 外形所提供的简化部署和管理模式。OpenText 还提供高级身份验证托管 SaaS 服务。

无密码身份验证有哪些常见方法?

具体来说,多因素身份验证是指在特定会话中使用不同的方法(你知道什么、你拥有什么、你是什么),但实际上,强身份验证部署往往涉及身份验证方法的混合和匹配。下面是一些常见的例子: 

对于无需密码的访问,eBay 和雅虎等服务可以配置为只需在其移动应用程序(您所拥有的)上轻触复选框即可通过。在平台服务方面,微软在使用 Authenticator 应用程序时采用了不同的免密码方法: 

  • 验证设备- 触摸手指 ID(您的身份)进入 Authenticator 应用程序,然后批准访问(您的身份)。
  • 新设备- 触摸手指 ID(您的设备)进入 Authenticator 应用程序;选择 Microsoft 服务(您的设备 - 移动设备,在这种情况下也是访问服务的浏览器实例(通常是台式机))上显示的正确号码选项,然后批准访问(您的设备 - 移动设备)。 

虽然这些方案可以提供更强的防护,防止网络钓鱼攻击,但它们在速度和简易性(步骤数量)方面各有不同。每个组织可根据其评估的风险和承受能力,决定要实施多少个身份验证点。与密码相比,上述所有方案的优势在于,它们不需要用户记住另一套凭证,在用户使用的不同服务中得到普遍复制,比传统的用户名和密码更难泄露。手机是物理设备,指纹是生物特征,OTP 具有时间敏感性。NetIQ 高级身份验证支持上述用例和更多用例。

高级身份验证在优化数字资产可用性方面能发挥什么作用?

简化数字访问的安全问题是保护企业和向用户(员工、消费者等)提供服务之间的平衡。在理想情况下,安全团队要做的是将用户身份验证的强度与访问请求带来的风险相匹配。风险越低,身份验证的侵入性就越低。影响衡量用户请求风险的特征包括 

  • 信息或服务本身固有的风险。 
  • 授予用户的访问权限级别--超级用户的账户一旦被黑,就会给组织带来巨大风险。 
  • 与情况相关的风险--例如,上班时间在办公室内与半夜从黑客温床远渡重洋。  
  • 预期行为 - 该用户通常会访问这些信息,还是第一次访问?  

因此,优化数字访问体验的一个重要组成部分,就是针对所访问信息的不同敏感级别采用不同的身份验证策略。风险较低的个性化内容通常不需要任何类型的身份验证。高度敏感的信息可能需要多次身份验证。到目前为止,除了身份验证之外,这种使用案例还涉及到多种技术: 

  • 身份管理,以衡量所访问数字内容的固有风险,并有效管理用户权限。 
  • 风险服务用于衡量与当前访问请求相关的风险。为进行完整的风险计算,该服务需要纳入身份管理中的资源风险信息。 
  • 风险服务调用的身份验证实现。  

除上述三个组成部分外,身份验证选项越多,就越容易根据情况进行匹配。安全团队可以对每种风险级别范围内可用的每种身份验证类型进行评估和排序。他们可能会确定,某些被动身份验证类型(Windows Hello、语音、类型)可能需要针对较高风险情况进行分层。高级身份验证NetIQ身份和访问管理产品组合的一个组成部分。

如何利用高级身份验证建立适应性访问管理环境?

您可以将前面描述的情况视为适应性环境,但有些组织需要更高的安全级别。为了在应用层和资源层达到零信任安全级别,企业希望创建一种安全态势,即默认安全行为假定环境充满敌意。在这一层面,自适应访问要求能够在用户的整个网络会话期间测量风险,并在达到预定义的风险阈值时调用验证请求和/或授权变更。除了上一个方案中列出的标准外,还需要收集这些额外的指标: 

  • 能够根据需要在每次额外的访问请求中重新评估风险(即值得保护的高风险资源)。
  • 风险引擎需要能够通过会话收集最新的背景和行为风险信息。

除了在整个会话过程中收集风险信息外,还能根据这些信息采取行动。自适应访问管理是一种调用以下操作的能力:

  • 调用多因素身份验证方法,如一次性密码 (OTP)、生物识别,甚至被动方法,如类型匹配、面部或声音 ID。
  • 限制授权,限制在会话期间可以访问或保存的内容。
  • 在高风险情况下,应完全中断会议。

简而言之,访问管理就是识别威胁并作出反应的能力。侵入性最小的选择是重新验证或加强身份验证。对风险评分引发的身份验证失败的可能反应是终止会话。 

NetIQ 高级身份验证支持哪些方法和集成?

NetIQ 高级身份验证通过 RADIUS、SAML、OIDC/OAuth2、ADFS、Kerberos、REST、MobileAPIs、comAPIs 和本地 Microsoft 插件与第三方产品集成。

NetIQ 高级身份验证框架支持许多开箱即用的方法,以及其他专门的集成。合作伙伴和客户还可以利用 AA 的 SDK 配置自己的集成。

相关产品和解决方案

OpenText™ NetIQ™ Access Manager

在移动、云和传统平台上实现单点登录和访问控制

查看所有相关产品

我们能提供什么帮助?

脚注