如何實作基于 SaaS 的多租戶多因素認證（MFA）？

多因素認證（MFA）是保障企業身份安全的一種有效工具，但由于多因素認證在實施過程中的各類潛在問題而使管理者對其持保留态度。對于托管服務商（MSP）來說，每個客戶企業多多少少都會在實施多因素認證的過程中遇到困難。更好的解決辦法就是采用多租戶且基于 SaaS 的多因素認證工具（雲MFA），集中管理應用程式等各類 IT 資源。

1. MFA 的發展

過去，MFA多因素認證（也稱為雙因子認證 2FA）被認為是一種笨重的企業級解決方案，因其實施困難讓管理者和終端使用者都無法接受。管理者頭疼的是繁重的運維工作，而使用者則不喜歡登入每個資源的時候都必須經過令牌認證。

現在，智能手機在經曆了迅速發展後，使用者隻需使用手機 APP 就能輕松生成登入所需的動态令牌（OTP）以進行通路，甚至可以使用手機推送認證，連動态令牌也無需輸入。此外，許多 Web 應用程式現在都内置多因素認證功能，一定程度上也減輕了管理者的運維負擔。正是這種易用性和簡單配置推動了MFA多因素認證等安全功能的普及。

當然，除了上述進步的方面之外，多因素認證的實施仍然存在一個痛點，那就是內建到核心身份源（IdP）中，如果實施成功就能為企業帶來很多好處，包括為系統、應用程式和其他 IT 資源的核心身份提供更進階别的保護。但對管理者來說，自行配置多因素認證和身份源的內建并不容易。

2. MFA 的優缺點

在了解了MFA多因素認證的基本發展後，就要從托管服務商（MSP）和客戶的角度進一步介紹多因素認證的具體優勢和挑戰。

1）優點

毫無疑問，多因素認證的首要優勢就是安全性。在如今充滿資料洩露的資訊時代，托管服務商（MSP）和客戶企業已成為網絡攻擊的首要目标。攻擊者依靠竊取身份憑證侵入企業内網，最終很可能會造成重大損失。

為解決這一問題，多因素認證要求使用者提供登入名和密碼之外的其他身份驗證因素，在攻擊者和企業網絡之間又增加了一道安全屏障。這些額外的驗證因素通常包括智能手機上生成的動态令牌或短信驗證碼。此外還包括硬體令牌、生物識别（面部/指紋虹膜）和推送認證。還有一些多因素認證工具甚至根據使用者使用身份憑證登入時的 IP 位址判斷是否準許/拒絕通路（這便是基于條件通路政策的MFA多因素認證）。

這樣一來，除非使用者同時洩露登入密碼和多因素認證憑證，否則即便攻擊者竊取了登入密碼也無法接管賬号。谷歌安全部落格在評估不同形式的多因素認證時發現，基于裝置的多因素認證幾乎可以阻止所有針對賬号的攻擊。

除了提升安全性以外，MFA多因素認證的另一項關鍵優勢是廣泛适用性。托管服務商（MSP）可以适當借助 RADIUS 插件或 SDK 在系統和應用程式中強制執行多因素認證，甚至還可以對連接配接企業内網的 VPN 強制執行多因素認證保護網絡通路。

2）缺點

不可否認，多因素認證也存在不少缺點導緻企業放棄采用。首先就是對辦公效率的擔憂。在傳統的靜态密碼登入機制下，員工每月在賬号登入上花費的時間是36分鐘以上。這似乎隻是一個小數字，但在平均50名員工的企業中，相當于企業每年在賬号登入上要損失40多個小時。 采用MFA多因素認證後，終端使用者不僅需要輸入密碼，還需要輸入額外的身份驗證因素，導緻賬号登入的時間加倍。

除此之外，大多數多因素認證形式基于時間型動态令牌（TOTP），令牌有效時間有限。一旦令牌失效，使用者還需要等待新的令牌生成，這也影響了員工生産力。 多因素認證的另一個問題是實施的複雜性。為了讓該工具應用于所有資源，在整個企業範圍内推行，管理者需要一個工具涵蓋所有 IT 資源。例如，很多 Web 應用程式的單點登入（SSO）解決方案也會包含多因素認證，但是僅适用于通過 SSO 連接配接的應用程式。如果要保護系統、網絡等本地基礎架構，還需要另外部署多因素認證工具。這就增加了企業的 IT 安全預算和運維成本。

3. 揭曉更佳方案——多租戶 MFA，即雲 MFA

對于托管服務商而言，多因素認證的優勢和普通企業相等，但缺點會随着管理客戶的數量增加而成倍疊加。主要原因是不同的 IT 環境意味着不同的需求。有些 IT 環境可能部署了需要額外保護的作業系統，另一些可能需要對遠端員工的 VPN 進行通路認證。而托管服務商需要的是能夠滿足所有客戶安全需求的MFA多因素認證工具。

除此之外，托管服務商（MSP）還肩負着全面管理客戶 IT 需求的重任，是以經常需要和客戶遠端溝通或現場解決。隻是，這種管理模式在疫情爆發之後似乎就變得難以為繼，于是托管服務商（MSP）對于多因素認證的需求又多了一條無需去客戶現場實施互動。 多租戶的多因素認證（雲MFA）解決方案将支援托管服務商（MSP）從雲端統一管理所有客戶企業。理想情況下，多租戶的多因素認證工具将涵蓋不同功能，可以滿足客戶的定制化需求。

4. 身份目錄雲——基于 SaaS 的多租戶 MFA 方案

身份目錄雲（DaaS）是一個賬号登入網絡、終端、SaaS/本地應用、服務的一站式身份雲方案。它具有多租戶門戶（MTP），專為托管服務商（MSP）開發，支援企業通過統一身份管理平台将使用者對接到企業系統、應用程式、網絡等 IT 資源，進行身份和通路管理。适用于 Windows、Mac、Linux 等主要作業系統，以及各系統的應用程式和網絡基礎架構。

此外，DaaS 基于 SaaS 模式實作，管理者不必單獨設定 MFA 多因素認證解決方案，節約了部署成本。基于 SaaS 的 MFA 功能也能緊密內建到企業核心目錄服務中，確定管理者可以集中控制和保護終端使用者對所有 IT 資源的通路。

（本文來源于甯盾，僅供學習和參考，未經授權禁止轉載和複制。如欲了解雲MFA更多内容，可前往甯盾官網部落格解鎖更多幹貨）