Skip to Main Content

将身份安全扩展至 SSO 和 PAM 之外

The reality of modern security stacks

大多数 IT 和安全团队都已建立坚实的安全基线:通过集中式身份提供商 (IdP) 来执行单点登录 (SSO) 和多因素身份验证(MFA),部署终端防护系统来确保设备安全,并在许多情况下采用特权访问管理 (PAM) 机制来管理高级访问权限。这些管理措施构成了现代安全体系的核心基础,它们能有效减少攻击面,强化身份验证并保护高风险超级管理员账户,且通常能按预期运行。

问题在于这些工具所处的环境已发生变化。现代工作环境催生了更多应用程序、更多身份类型以及更多登录方式,远超传统身份管理系统的覆盖范围。

今天的现实是这样的:

  • SaaS 和 AI 快速扩张:各团队采用工具的速度远超 IT 部门评估、批准和进行联合身份管理的能力。影子 IT 成为常态,“官方”技术栈很少具备全栈能力,难以覆盖所有的使用场景。

  • 身份类型增多:如今的身份访问场景日益复杂,不再局限于“员工访问应用”这一模式。它还涵盖承包商、共享账户、服务账户、自动化流程以及需要受控访问凭据和数据访问权限的 AI 智能体等各种场景。即使在成熟的安全管理环境中,凭据依然是攻击者最常利用的一大突破口。

  • 访问路径增多:如今,用户可通过个人浏览器、非托管设备、非托管应用程序和构建管道登录。这导致凭据的存储、泄露和重复使用风险大幅上升。

这正是造成“访问-信任差距”的原因:虽然组织对可见应用程序和用户设置了严格的管理措施,但现代工作模式催生出大量游离于这些管理机制之外的身份、应用程序和凭据。为能完成工作,员工往往仍会使用这些未托管工具和凭据,通过各种变通方法绕过安全机制,从而增加了风险,降低了审计可信度。

The gap: What traditional tools don’t fully cover

SSO、IAM 和 PAM 固然至关重要,但它们都是为特定访问模式而打造的。问题并不在于这些工具失效,而在于它们并非专为以 SaaS 为体、AI 为用的现代组织打造的,难以管理此类组织的各种凭据和访问场景。

差距最常出现在以下方面:

  • SSO 覆盖范围止步于联合身份管理。许多应用由于时间和复杂性限制、缺乏 SAML/OIDC 支持、业务团队绕过 IT 安全团队直接采购工具或优先事项冲突等原因,从未纳入联合身份管理系统。但即使这些应用未接入 SSO 系统,组织仍需通过安全方式管理其访问权限。

  • IAM 可以看到账户,但看不到凭证行为。 IAM 可以告诉你谁有访问权限,但它通常无法告诉你凭据是否薄弱、是否被重复使用、是否存储在浏览器中、或者是否在团队内部非正式地共享。

  • PAM 通常过于繁琐,不适合日常访问场景。PAM 最适用于高风险系统和特权会话管理。但许多日常访问需求并不适合这一模式,尤其是 SaaS 管理员账户、共享供应商登录凭据以及“需要即时授权”的突发情况。当工具操作流程过于繁琐时,人们往往会选择绕开它。

结果便出现了熟悉的场景:组织拥有“完善”的身份管理措施,但其浏览器、电子表格、聊天记录和共享收件箱中却依然存在未托管凭据。风险往往在这些地方不断累积,成为审计和事件调查中最棘手的环节。

Where 1Password Enterprise Password Manager (EPM) fits

1Password Enterprise Password Manager (EPM) 作为凭据安全层,可将身份安全扩展至 IdP 和 PAM 系统无法完全覆盖的访问路径。

不同于个人密码管理器或轻量级保管库工具,EPM 作为身份验证架构的受控扩展运行。它执行集中化策略,通过 SSO 和 SCIM 与 IdP 生命周期集成,向 SIEM 提供可审计的遥测数据,并同时支持人类凭据与机器凭据管理。这一模式将凭据管理从用户便利性转向企业级管控,从而在不强制团队重构身份验证架构的前提下,有效弥补了传统工具遗留的凭据管理缺口。

EPM 帮助保护:

  • SSO 覆盖范围之外的应用程序:EPM 可为当前未进行联合身份管理、无法进行联合身份管理或永远不会优先进行联合身份管理的应用程序提供登录保护。

  • 共享访问和团队访问:EPM 可在确保个人责任归属和可审计性的同时,为凭据共享提供安全防护。

  • 非人类凭据和机器凭据:EPM 可保护 API 密钥、服务账户、令牌、CI/CD 密钥、自动化工作流和 AI 智能体。它为安全团队提供集中化策略和审计能力,同时避免迫使开发人员陷入复杂的工单驱动型 PAM 工作流。

  • 开发人员访问和开发运营团队访问:EPM 简化了对工程团队所用基础设施、云控制台、数据库及内部工具的安全访问流程。它摒弃了繁冗的特权访问工作流,转而将受控凭据管理机制无缝嵌入开发者已有工具和流程中,在降低操作阻力的同时,确保了企业级管控。

  • 大规模凭据治理: EPM 采用集中化控制、统一的策略和可衡量的安全规范,取代了临时凭据存储和共享方式。

简言之,IdP 负责管理身份与联合访问。PAM 负责管理风险最高的特权会话。EPM 则统辖这两者之间的凭据,负责管理传统工具无法完全覆盖的日常工作流、SaaS 应用和现代自动化工作流。

What makes EPM different from browser-based or consumer password managers?

与消费者密码管理器或轻量级团队保险库工具不同,1Password Enterprise Password Manager作为您身份架构的受控扩展。

EPM 能与 IdP 集成,以实施 SSO 和 MFA 机制,可通过自动配置和取消配置管理与生命周期流程保持同步,并对凭据的创建、存储和共享方式采用集中式管理策略。它能为共享访问提供具名责任制,可生成详细的审计跟踪记录,并提供可集成至 SIEM 及安全运维工作流的事件可视化功能。

除人工登录外,EPM 还支持 API 密钥、令牌和其他非人类凭据。换言之,它将治理范围扩展至自动化流程、CI/CD 管道和新兴的 AI 驱动型工作流。

结果不仅仅是密码存储,而是支持最小权限原则、审计准备和零信任成熟度的企业级凭证治理。

How 1Password works with your existing stack (SSO, PAM, SIEM, developer and cloud tools, etc.)

EPM 旨在作为补充层融入现代安全堆栈。它有助团队扩大防护范围,降低凭据风险,同时最大化现有工具的价值。

使用 SSO 和你的 IdP

  • EPM 为 SSO 系统之外的应用提供安全访问保障,这意味着即使应用“未接入 SSO”,仍然“处于治理范围”。

  • 这减少了为了降低密码风险而匆忙推进联合项目的压力。

  • 它为采用联合管理措施的应用和未纳入联合管理机制的应用提供统一的访问体验,降低了人们因另寻解决方法而触发风险的概率。

结合 IAM 和生命周期管理

  • EPM 还支持未集成至 IdP 的应用程序中的入职和离职工作流。

  • 当共享凭据在人员变动或员工离职后仍然有效时,它能降低“孤立账户访问”的风险。

  • 它有助将访问工作流付诸实践,同时不会增加人工负担。

使用 PAM

  • EPM 能够覆盖日常访问场景,弥补 PAM 的不足,这些场景通常因 PAM 过于繁重或复杂而难以适用。

  • 它能够保护共享管理员凭据、开发人员凭据、供应商账户以及仍需管控和问责的运营登录凭据。

  • 它通过让 PAM 专注于风险最高的系统,减少特权凭据的蔓延,同时还能降低总体暴露风险。

使用 SIEM 和安全操作

  • EPM 提供以凭据为中心的可视化功能,弥补了众多技术栈的不足。

  • 它为共享访问场景提供符合审计要求的报告,确保责任可追溯性。

  • 当事件涉及凭据泄露或可疑访问模式时,它能提供更完善的背景调查信息。

结合开发人员工具和云工具

  • EPM 支持现代构建环境和云环境,在这些环境中,凭据的使用者不局限于人类。

  • 密钥、令牌和基础架构凭据是驱动 CI/CD 和自动化工作流的关键要素,而 EPM 能有力保障它们的安全。

  • 它减少了凭据无序散布在各种存储库、脚本、工单和共享文档中的场景。

  • 它有助为需要受控访问凭据和数据访问权限的 AI 智能体工作流做好充分准备。

Why this matters for organizations

凭据管理缺口不仅是技术问题,更会引发真正的业务风险、拖累运营效率并加剧审计压力。EPM 有助组织提升安全成效,并优化工作流程。

安全成效

  • 通过加强凭证的创建、存储、共享和使用方式,减少基于凭证攻击的风险。

  • 减少浏览器和非正式渠道中的未托管凭据。

  • 提升共享访问的可追责性和可审计性。

  • 为 AI 时代做好更充分的准备,随着 AI 时代的到来,令牌、自动化及机器身份正在不断拓展身份安全边界。

业务结果

  • 无需采用高风险变通方案即可实现快速访问,避免后续拖慢团队进度。

  • 减少因密码重置、访问请求和共享登录混乱带来的 IT 负担。

  • 即使 SSO 系统覆盖不全,也能对游离在该系统外的大量应用实现更一致的治理。

  • 无需增加工具或人手即可获得更可靠的审计结果。

EPM 让团队将讨论焦点从“我们是否需要再添加一个工具?”转向“我们是否需要扩大覆盖范围,填补现有工具未能解决的缺口?”

When teams typically add EPM

团队通常在意识到一个反复出现的模式后才会采用 EPM:他们已斥资部署身份和访问管理系统,但游离于这些系统外的凭据风险仍时而出现,难以管控。

“我们已启用 SSO,但无法覆盖所有应用”

  • 许多应用程序未实现联邦化,甚至可能永远不会实现。

  • EPM 能够确保非 SSO 应用的访问安全,使身份安全不再局限于 IdP 覆盖范围。

  • 它可以让团队立即提升安全覆盖范围,同时持续完善其 SSO 路线图。

“密码仍然保存在浏览器中”

  • 将密码存储在浏览器中固然方便,但这并非有效的治理手段。

  • EPM 采用集中式存储、权限控制和策略执行机制,取代了浏览器分散存储凭据的模式。

  • 它规范了设备和浏览器之间的安全行为,降低了密码重复使用和意外泄露风险。

“我们正在共享不应共享的凭据”

  • 共享凭据很常见,尤其是在 SaaS 管理账户、供应商门户和团队工具中。

  • EPM 借助完善的访问控制和审计治理机制实现安全共享。

  • 它能有效替代电子表格、聊天消息和共享收件箱等高危数据共享方式。

“PAM 对于日常访问来说显得很繁琐”

  • PAM 虽然功能强大,但许多日常访问需求并不适合采用操作繁琐的特权会话模型。

  • EPM 提供简单便捷、易于操作的方式,高效保障日常特权凭据的安全。

  • 它降低了团队为能顺利推进工作而绕过访问管理机制的可能性。

“我们缺乏对凭据健康状况的可见性”

  • 如果无法识别安全性低、重复使用或共享的凭据,就无法降低风险。

  • EPM 使凭据健康状况变得可见且可控,便于团队能够长期、持续地衡量改进效果。

  • 这通常成为内部一致性的关键驱动因素,因为它将凭证风险转化为具体的、可行的洞察。

各大组织在身份管理、SSO 和特权访问管理系统方面投入巨大。然而,攻击者仍能利用这些系统覆盖范围之外的凭据实施不法之事。问题并不在于组织是否已部署身份管理工具,而在于这些工具能否充分反映现代工作模式的真实运行场景。1Password Enterprise Password Manager 将治理范围扩展至传统工具无法完全覆盖的应用程序、共享访问和自动化流程。它不但能降低风险,增强审计结果可信度,还能让团队在不降低管理力度的情况下加快工作进度。

了解 EPM 如何融入您的环境