什麼是NetIQ Advanced Authentication ?
概述
基於標準的整合框架,提供多種身份驗證方法。此框架可作為服務或本地部署,旨在作為所有身分驗證組織範圍內的整合和管理中心點。 為了獲得管理和安全控制的中心點,組織通常使用此框架來鞏固其身份驗證孤島。該框架遵循聯邦資訊處理標準 (FIPS) 140-2 加密,並與 FIDO 2 方法、所有 FIDO U2F 設備和 OATH 令牌整合。除了伺服器端身份驗證功能之外, Advanced Authentication還可以在 Windows、Mac OS X 和 Linux 上運行。
NetIQ 為您的業務提供動力
透過身分管理, NetIQ 透過基於身分的安全性幫助他們實現業務。它提供了一套全面的身份和存取服務,使工作人員能夠在任何地方、在任何設備上、在任何地點、在正確的時間安全地存取資源。 NetIQ 也使組織能夠有效、安全地與消費者互動。
NetIQ Advanced Authentication
高級身份驗證如何説明我進行 MFA?
近年來,多因素身份驗證在大多數行業中已變得司空見慣。雖然處理受監管資訊的組織需要兩因素合規性,但其廣泛採用主要是由於高洩漏率和不斷上升的數位安全風險。較大的組織轉向NetIQ 高級身份驗證的原因如下:
- 投資一個不會將其鎖定在專有實現或設備中的框架的吸引力。
- 提供多種身份驗證選項。提供給使用者的身份驗證選項清單越大,就越容易找到適合每個使用者(員工、承包商、客戶、患者、公民等)情況的方法。
- 該框架提供了一個集中式報告系統,用於說明每個使用者如何以及何時進行身份驗證。它簡化了合規性報告和安全審計。
由於其靈活性,大型且地理位置分散的組織喜歡由Advanced Authentication的 Docker 外形規格。這些容器可以配置為擴展到分散或集中式驗證熱點的任意組合。 OpenText 還提供Advanced Authentication 作為託管 SaaS 產品。
無密碼身份驗證有哪些常見方法?
具體來說,多重身份驗證是針對特定會話使用不同的方法(您知道的、擁有的、您是什麼),但實際上,強身份驗證部署通常涉及身份驗證方法的混合和匹配。以下是一些常見範例:
對於無密碼訪問,eBay 和 Yahoo 等服務可以配置為只需輕觸其行動應用程式上的複選框即可獲得批准(您擁有的內容)。通過他們的平台服務,Microsoft 在與他們的 Authenticator 應用程式一起使用時採取了一種稍微不同的無密碼方法:
- 已驗證設備 – 觸摸手指 ID(您是什麼)以進入 Authenticator 應用程式,然後批准訪問許可權(您擁有的內容)。
- 新設備 – 觸摸手指 ID(您是什麼)以進入 Authenticator 應用程式;選擇 Microsoft 服務上顯示正確數位的選項(您擁有的 – 行動裝置,在這種情況下,它也是瀏覽器實例(通常是桌面)訪問服務,然後批准訪問(您擁有的 – 行動裝置)。
雖然這些選項可以更好地防禦網路釣魚攻擊,但它們的速度和簡單性(步驟數)各不相同。根據評估的風險及其容忍度,每個組織可以決定要實施多少個身分驗證點。所有上述選項都比密碼具有優勢,因為它們不需要使用者記住另一組憑證,這些憑證通常在使用者使用的不同服務上複製,比傳統的使用者名稱和密碼更難洩露。手機是實體設備,指紋是生物辨識的,OTP 是時間敏感的。 NetIQ Advanced Authentication 支援上述用例以及更多。
高級身份驗證在優化數字資產的可用性方面發揮什麼作用?
簡化數位訪問的安全方面是保護業務和交付給使用者(員工、消費者等)之間的平衡。理想情況下,安全團隊想要做的是將使用者的身份驗證強度與訪問請求帶來的風險相匹配。風險越低,身份驗證的侵入性就越小。影響衡量使用者請求風險的特徵包括:
- 信息或服務本身的固有風險。
- 授予使用者的訪問級別 – 超級使用者在帳戶被駭客入侵時會給組織帶來重大風險。
- 與這種情況相關的風險——例如在工作時間在辦公室內,而不是在半夜從駭客溫床到半個地球。
- 預期行為 – 此使用者是通常訪問此資訊還是第一次訪問此資訊?
因此,優化數位訪問體驗的一個重要組成部分是將不同的身份驗證策略應用於所訪問資訊的不同敏感級別。風險可以忽略不計 個性化內容通常不需要任何類型的身份驗證。高度敏感的資訊可能需要多個身份驗證實例。到目前為止,此用例涉及身份驗證以外的多種技術:
- 身份治理,用於衡量正在訪問的數位內容的固有風險,以及有效管理用戶權利的方法。
- 風險服務,用於衡量與其當前訪問請求的上下文相關的風險。為了進行完整的風險計算,此服務需要合併標識治理中的資源風險資訊。
- 風險服務調用的身份驗證實現。
除了上面列出的三個元件之外,身份驗證選項的數量越多,就越容易將其與具體情況相匹配。安全團隊可以對每個風險等級範圍可用的每種身分驗證類型進行評估和排名。他們可能會確定某些被動身份驗證類型(Windows Hello、語音、類型)可能需要分層以應對較高風險的情況。 Advanced Authentication 是NetIQ身分和存取管理產品組合的整合部分。
如何使用高級身份驗證來構建自適應訪問管理環境?
可以將前面所述的方案視為自適應環境,但某些組織需要更高的安全級別。為了在應用程式層和資源層達到零信任級別的安全,組織希望創建一種安全態勢,其中預設安全行為假定處於敵對環境。在此級別,自適應訪問要求能夠在整個使用者的 Web 工作階段中測量風險,並在達到預定義的風險閾值時調用身份驗證請求和/或授權更改。除了上一方案中列出的條件外,還需要收集以下附加指標:
- 能夠根據需要重新評估每個額外訪問請求的風險(即,值得此類保護的高風險資源)。
- 風險引擎需要能夠通過會話收集更新的上下文和行為風險資訊。
除了在整個會議期間收集風險資訊外,還有採取行動的能力。自適應存取管理是呼叫以下操作的能力:
- 調用多因素身份驗證方法,例如一次性密碼 (OTP)、生物識別,甚至是被動方法,例如類型匹配、人臉或語音 ID。
- 限制授權,限制在該會話期間可以訪問或保存的內容。
- 對於高風險情況,請完全中斷會話。
簡而言之,訪問管理是識別威脅並做出回應的能力。侵入性最小的選擇是重新驗證或加強身份驗證。對風險評分調用的身份驗證失敗的可能反應是終止會話。
有哪些方法和集成NetIQ Advanced Authentication 支持?
NetIQ Advanced Authentication 透過 RADIUS、SAML、OIDC/OAuth2、ADFS、Kerberos、REST、MobileAPI、comAPI 和本機 Microsoft 外掛程式與第三方產品整合。
這NetIQ Advanced Authentication 框架支援許多開箱即用的方法,以及其他專門的整合。合作夥伴和客戶還可以選擇利用 AA 的 SDK 來配置自己的整合。
