身份经纪人的作用 SASE 解决方案

在我之前的博客中 身份意识 SASE 我讨论了零信任的作用 SASE以及身份在访问控制中的重要性。 另一个博客上 SASE 代理 解释了如何 SASE 解决方案通过身份提供商 (IdP) 对用户进行身份验证后获取用户身份。 总结一下，转发代理部分 SASE 解决方案通过 Kerberos、NTLM、Digest 和 Basic 身份验证方法对用户进行身份验证。 同时，强制门户通过 Kerberos 或 OIDC 对用户进行身份验证。 反向代理部分 SASE 解决方案通常使用 Kerberos 或 OIDC 来对用户进行身份验证。 VPN 网关 SASE 还使用 Ent 对用户进行身份验证erp上升认证数据库。 SASE 解决方案需要用户信息，例如验证用户凭据的身份提供商、用户的电子邮件地址、用户所属的组和角色等。 智威汤逊 （JSON Web 令牌）格式。 SASE 解决方案使用此信息（在 JWT 术语中称为声明）来实施特定于身份的访问控制。

身份经纪人

身份代理是一种充当中介的服务，通过以下方式促进最终用户的身份验证： SASE 各种身份提供商 (IdP) 的解决方案。 并非所有 IdP 都实施所有身份验证协议； 有些可能只实现 OIDC、OAuth2 或 SAMLv2。 自从 SASE 解决方案旨在与多个 IdP 配合使用，但由于需要支持不同的身份验证协议，其复杂性也会增加。 身份代理作为可信中介服务，可以使 SASE 解决方案是在后端使用单一身份验证协议，并让身份代理通过 IdP 支持的身份验证协议将身份验证过程代理给 IdP。

下图描绘了 SASE 有或没有身份代理的解决方案。

图片左侧显示 SASE 没有身份经纪人：

用户浏览器/应用程序进行身份验证 SASE 使用 Kerberos、NTLM、用户名/密码、用户名/摘要密码进行转发代理。  SASE 需要验证用户凭据。 它使用多个后端功能模块与各种 IdP/身份验证系统进行通信。 对于 Kerberos，服务票证在本地进行验证 SASE 数据平面，然后它通过 LDAP 或 SCIM 从 AD 等身份验证系统获取用户装饰。 对于用户名/密码，LDAP 后端还用于验证用户凭据。

SASE 反向代理和强制门户通过 OIDC（开放 ID 连接）或 SAMLv2 对用户进行身份验证。 如果后端 IdP 也是基于 OIDC 或 SAMLv2，则它将用户重定向到 IdP。 对于基于 LDAP 的系统，  SASE 预计将作为 IdP 工作，并使用 LDAP 到 AD 来验证用户凭据，并获取用户修饰以创建 JWT 形式的身份令牌。

VPN 网关是另一个用于远程访问的模块。 作为 IKEv2 隧道建立的一部分， VPN 网关对用户进行身份验证。 用户凭据通过本地数据库、RADIUS 服务器或 LDAP 服务器进行验证。

如您所见，需要多个数据平面组件来支持不同的协议，以便与各种用户浏览器和本机应用程序配合使用。 此外，他们不仅需要满足不同租户的多个 IdP，还需要满足租户环境中的多个 IdP 要求。

图片右侧显示 SASE 使用内置身份代理：

通过身份经纪人， SASE 数据平面得到极大简化。  SASE 数据平面只需要使用针对代理的一种身份验证协议。 上图中，OIDC只是协议 SASE 数据平面需要支持。 代理可以与多个 IdP 协调/联合身份验证会话。 身份代理还应根据来自 SAMLv2 安全令牌的用户信息、来自上游 IdP 服务器的 JWT 或来自本地数据库中或通过 LDAP 访问的用户信息创建 JWT。 也就是说，身份代理设计用于 SASE 预计在所有情况下都提供 JWT – 用户是否通过代理标头使用 Kerberos、通过 WWW 标头使用 Kerberos、OIDC、IKEv2 进行身份验证，以及 IdP 是否基于 OIDC、SAMLv2 还是 LDAP。

分解有多重优点 SASE 数据平面来自 SASE 身份经纪人。 下面列出了一些优点。

1. 模块化使得整个解决方案更加简单、不易出错，因此更加稳健。
2. 安全：身份代理可以与身份代理分开实例化 SASE 机密计算环境中的数据平面，以确保用于与 IdP 通信的密钥/密码/凭证即使在使用时也受到保护。
3. 可扩展性：可以支持具有较新身份验证协议的新 IdP，而不影响 SASE 数据平面。
4. 整合：身份代理解决方案也越来越多地被考虑用于其他应用程序。 耳鼻喉科erp上升可以使用身份经纪人自带 SASE 为其应用程序提供解决方案，而不是使用单独的身份代理服务/解决方案。

SASE 具体特点

身份代理功能确实可以在阻止直接访问方面发挥重要作用 SaaS/Cloud 通过执行策略检查并确保只有具有适当访问控制的经过身份验证的用户才能访问这些资源来提供服务。 此外，传统的身份代理可能无法很好地支持代理 Kerberos，而这对于代理 Kerberos 来说是至关重要的。 SASE 验证。 因此，身份代理支持代理 Kerberos 和其他内容非常重要 SASE 有效整合的要求 SASE 解决方案。 通过提供这些增强功能，身份代理可以提高身份验证的安全性和易用性 SASE 对于耳鼻喉科erp上升。

1. 确保基于身份的访问控制 SaaS 和 cloud 始终且确定地提供服务：Enterp越来越多地使用 SaaS 和 cloud 基础设施服务，可以从任何地方访问。 这是一个很大的优势，但也是许多企业的安全问题erp上升。 耳鼻喉科erp上升 want 限制对其数据的访问 SaaS/Cloud 为特定员工提供的服务，以及 SASE 预计将确保这一点。 但是，只有当用户流量达到 SaaS/Cloud 服务正在通过 SASE 数据平面。 如果交通要 SaaS/Cloud 直接服务，绕过 SASE 数据平面，预计访问将被拒绝。 身份代理可以帮助阻止这些访问。 通过配置 SaaS/Cloud 服务使用 SASE 身份代理，任何新的用户身份验证会话首先登陆 SASE 身份经纪人。 这 SASE 身份代理通过其策略检查可以阻止用户直接访问服务。
2. 支持 Kerberos 授予：对于许多用例，隐式授权授予类型和密码授予类型就足够了。 但是，这两种授权类型不足以支持 Kerberos 身份验证。 期望的是 SASE 数据平面一旦通过代理标头或来自用户（例如浏览器）的 WWW 标头接收到 Kerberos 服务票证，就会验证服务票证并从身份验证数据库获取相应的用户装饰。 由于代理用于验证凭证，因此 OIDC 协议实现需要增强以支持从代理发送服务票据 SASE 将数据平面发送给身份代理，并在凭证经过验证后获取 JWT。

最后的思考

身份经纪人确实可以在全面的 SASE （安全访问服务边缘）解决方案。 通过将身份经纪人集成到 SASE 架构，组织可以简化身份和访问管理 (IAM) 解决方案与他们的集成 SASE 基础设施。 这可以为用户带来更加简化和安全的身份验证和访问控制流程。

此外，通过实施零信任安全原则，身份代理可以帮助确保只有授权用户才能访问域内的资源。 SASE 环境。 这有助于降低数据泄露和其他安全事件的风险。

虽然行业分析师目前可能不会在以下背景下讨论身份经纪人： SASE，随着组织继续寻找增强 IT 环境安全性和效率的方法，这种情况可能会发生变化。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。