电子商务安全(第2版) 课件 第13章-IBM电子商务安全解决方案

身份管理单点登录（SSO）IBMSecurity案例IBM电子商务安全解决方案IBMSecurityVerify可保护企业内外的用户和应用，同时作为云原生解决方案实现技术敏捷性和运营效率。除了单点登录和多因素身份验证之外，Verify还是一种现代化的模块化IDaaS（IdentifyasaService），可为基于风险的身份验证和自适应访问决策提供深入的AI支持上下文，为开发人员提供价值实现时间的引导式体验以及全面的云IAM功能。从隐私和同意管理到整体风险检测和身份分析，Verify可集中员工和消费者IAM进行任何混合云部署。身份管理IBMSecurityVerify集中式用户管理单点登录无密码身份验证多因素验证基于风险的身份验证和自适应访问用户生命周期管理身份分析云IAM身份管理IBMSecurityVerify提供了一个集中式用户管理界面，该界面可以通过管理UI进行管理，也可以通过

RESTAPI自动进行管理。支持通过跨域身份管理系统（SCIM2.0）进行完整的配置文件管理，以便从HR系统预配入站以及出站到应用程序和其他端点。将多个标识链接在一起，以便更轻松地进行用户迁移，并在用户帐户位于多个源（如社交提供者身份验证）时提供灵活的用户体验。身份管理集中式用户管理IBMSecurityVerify使用户能够毫不费力地启动任何应用程序。所有应用程序都会在用户登录时提供给用户。当用户更改角色时，会动态调整授权以自动添加和删除访问权限。当用户需要访问应用程序时，他们可以轻松地从其应用程序目录中请求访问权限。通过Verify的自适应访问功能提供的高级智能，用户不会受到影响其日常工作的多因素挑战的轰炸。身份管理单点登录在没有密码的情况下对用户进行身份验证，以提高用户敏捷性。在Verify中，您可以使用多种无密码方法

。这允许您完全绕过密码并使用WindowsHello或TouchID进行用户身份验证。身份管理无密码身份验证使用MFA方法验证用户，包括：知识问题短信、电子邮件、语音回拨一次性密码（OTP）基于时间的一次性密码（TOTP）推送通知审批（IBM验证应用程序）指纹和人脸识别的生物识别认证使用基于网络、地理位置、设备指纹识别以及用户和组属性等上下文条件的粒度访问策略来控制和保护应用程序。身份管理多因素验证

减少用户在Web应用程序之间的访问摩擦，而不会影响安全性。在验证策略管理器中创建访问规则，该见解来自IBMTrusteer，收集在预定义的无代码网页中。

使用来自IBMSecurityTrusteer平台的成熟且深入的见解，根据用户提供的上下文信息（如设备指纹识别、连接详细信息、位置和行为异常）生成风险评分。无需任何代码，便能主动保护应用程序。身份管理基于风险的身份验证和自适应访问

利用Verify的预配功能自动执行用户入职和离职。处理开箱即用适配器的

用户配置，例如Google，Microsoft365（Azure），Box，Salesforce，ZenDesk等。Verify还具有自定义连接选项，适用于支持SCIM2.0进行预配和取消预配的基于标准的应用。当用户帐号在应用上发生更改时，您可以通过Verify的管理控制台轻松协调更改。身份管理用户生命周期管理查看IAM环境的整体运行状况，并扫描跨用户、授权和应用程序的身份生命周期风险。深入挖掘个人用户和应用程序，以进一步了解违规行为和累积的AI驱动的风险评分。突出显示异常（如对等组中的非典型权利），并执行Verify建议的补救措施，如重新认证访问权限或删除权利。身份管理身份分析

身份和访问管理（即IAM）是一种安全规程，它使合适的实体（人员或事物）能够使用自己想要使用的设备，在需要时不受干扰地使用合适的资源（应用程序或数据）。IAM由特定系统和流程组成，它们允许IT管理员为每个实体分配单个数字身份，在他们登录时进行认证，授权他们访问指定的资源，以及监视和管理这些身份的整个生命周期。身份管理云IAM特权访问管理(PAM)基于角色的访问管理(RBAC)IAM访问管理身份管理单点登录（SSO）IBMSecurity案例IBM电子商务安全解决方案单点登录单点登录SSO（SingleSignOn）简而言之就是在一个多系统共存的环境下，用户在一处登录后，就不用再在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁，例如像阿里巴巴这样的网站，在网站的背后是成百上千的子系统，用户一次操作或交易可能涉及到几十个子系统的协作。单点登录单点登录（SSO）原理单点登录以Cookie作为凭证媒介通过JSONP实现通过token的方式通过jwt的方法单点登录以Cookie作为凭证媒介单点登录以Cookie作为凭证媒介Cookie不安全不能跨域实现免登单点登录通过JSONP实现单点登录通过JSONP实现能跨域实现免登Cookie不安全

单点登录通过token的方式单点登录通过token的方式能跨域实现免登Cookie安全数据库的压力太大单点登录JWT方法JWT全称是JavaWebToken。其实就是特殊的token，理解起来就是携带着用户信息的token。所以JWT认证和token认证本质上是一样的。只不过token认证的用户信息是从数据库里查的。而JWT认证的用户信息是直接从token解析出来的。单点登录单点登录的好处：提高用户的效率。提高开发人员的效率。简化管理。单点登录思考题：单点登录的坏处？单点登录单点登录的坏处：难以重构。无人看守的桌面。

单点攻击。身份管理单点登录（SSO）IBMSecurity案例IBM电子商务安全解决方案案例VLI利用IBMSecurity解决方案更快、更安全地运送货物案例每年在巴西各地运输超过3800万吨的农产品、钢铁和矿物产品需要做些什么？对于VLI，它需要8000公里的铁路，100辆机车，6700辆铁路车厢，八个多式联运码头，四个战略位置的航运港口，8000名员工和1000名承包商。案例尽管物流和运输很复杂，但挑战远远超出了简单地将产品从A点移动到B点。作为铁路、港口和码头综合物流系统的所有者和运营商，VLI必须应对与合规、安保、安全和其他因素相关的无数政府法规。“我们是一家拥有许多政府法规的公司，”VLI首席信息安全官（CISO）ThiagoGalvao解释说。“在巴西，港口法规要求我们制定与安全相关的特定控制和流程。最后，法规与技术有关，因此身份管理对我来说很重要。案例作为装卸货物程序的一部分，卡车司机和铁路运营商不得不反复登录系统以访问报告和交易，从而减慢了流程并降低了生产率。尽管该公司拥有庞大的IT和开发团队，但无法跟踪或跟踪访问VLI服务器的特权用户。新员工入职并授予他们访问系统和应用程序的权限的过程花费了数周时间，因为它是手动处理的。该公司还依靠劳动密集型的基于纸张的流程来管理用户生命周期，并执行与用户访问相关的其他控制。案例当Galvao于2018年加入公司时，他立即意识到对身份和访问管理（IAM）解决方案的需求。“我们过去没有身份认同，我做了一个评估，并向董事会展示了风险，以及建立一个系统来控制用户访问的重要性。案例VLI是IBM首个在IBM安全身份和访问管理产品的整个产品组合中部署解决方案的客户。为了帮助进行集成和部署，VLI求助于IBM业务合作伙伴Qriar，这是一家专门从事网络安全解决方案的技术公司。Qriar自最初的RFP应答阶段以来一直与VLI合作。它在整个项目中与公司合作，从规划和定义架构到根据客户的需求和最佳实践推出、安装、配置和定制IBM产品。案例VLI分四个阶段推出了解决方案案例第一阶段于2019年9月开始，两个月后结束，重点是IGA。在此期间，该公司部署了IBMSecurityVerifyGovernance软件和MicrosoftAzureActiveDirectory平台。IBM软件可自动执行过去劳动密集型的流程，例如访问认证、访问请求和密码管理。它还提供详细的报告和重新认证活动，以确保用户仅获得完成工作所需的访问权限。案例在第2阶段，VLI部署了IBM特权访问管理套件中的三个解决方案：IBMSecurityVerifyPrivilegeVault、IBMSecurityVerifyPrivilegeManagerforClient和IBMSecurityVerifyPrivilegeManagerforServer技术。IBMSecurityVerifyPrivilegeVault软件无需共享特权用户的密码，从而帮助保护VLI最敏感的服务器。会话记录功能记录服务器上执行的所有操作，从而提供广泛的审计跟踪，并帮助VLI管理对严格身份治理要求的合规性。案例IBM安全验证权限管理器技术通过减少在端点上具有管理权限的非管理用户的数量，帮助VLI最大限度地降低恶意软件和勒索软件攻击的风险。VLI还可以配置受信任和不受信任的应用程序和命令的列表，并自定义提升策略。案例在第3阶段，VLI部署了IBMSecurityVerifyAccess（以前称为IBMSecurityAccessManager软件或ISAM）的企业版和虚拟企业版以及IBMSecurityDirectorySuiteEnterpriseEdition技术。案例除了简化身份验证架构之外，IBM安全验证访问软件还为基于Web和非基于Web的系统提供单点登录（SSO）功能，有助于提高生产线工作人员的工作效率。将来，该公司可以扩展其虚拟版本，以实现多因素识别或无需密码的登录。借助IBMSecurityDirectorySuite技术强大且可扩展的目录，VLI可以存储内部和外部用户的身份，并利用强大的复制和高可用性功能。案例目前，VLI处于第4阶段，涉及将其IGI解决方案与SAPERP集成。最终，IBM技术将连接到10多个关键的IT系统和子系统。它们还将帮助支持VLI的IAM标准，以便与现有和新