chundev
日期:2026-04-07 技術棧:Splashtop Business On-Prem / SAML 2.0 / PAM
Splashtop On-Prem 是遠端桌面連線工具,不是 PAM(特權帳號管理)平台。它選 SAML 不選 RADIUS 是因為應用層產品天然適合 SAML;它無法取代 CyberArk 的密碼保管庫和自動輪換,但在「廠商遠端維護」場景下,Splashtop 的帳號到期 + 排程存取 + 連線錄影已能覆蓋大部分需求。
| RADIUS | SAML 2.0 | |
|---|---|---|
| 設計場景 | 網路層認證(VPN、Wi-Fi、撥接) | 應用層認證(Web / Cloud 應用) |
| 協定 | UDP,port 1812/1813 | HTTPS,port 443 |
| 認證方式 | 帳密 → RADIUS Server 驗證 | 瀏覽器跳轉 → IdP 驗證 → 回傳 assertion |
| MFA 整合 | 需額外串接 | IdP 原生支援(Entra ID / Okta 內建 MFA) |
| 條件式存取 | 無法附帶 context | IdP 可附帶設備合規、地理位置、風險等級 |
CyberArk 官方建議從 RADIUS 遷移到 SAML,理由是 RADIUS 的 shared secret 機制相對脆弱。Microsoft 也建議 VPN 升級到 SAML 直接聯邦 Entra ID。
| 功能 | Splashtop On-Prem | CyberArk PAM |
|---|---|---|
| 定位 | 遠端桌面連線工具 | 特權帳號管理平台 |
| 核心功能 | 遠端連到一台電腦操作 | 密碼保管庫 + 自動輪換 + 特權 session 代理 |
| 密碼管理 | 無 | 集中保管,使用者不知道密碼 |
| Session 錄影 | 連線畫面錄影 | 特權 session 錄影 + 指令層級稽核 |
| JIT 權限 | 帳號到期自動停用 | 臨時授權,時間到自動收回 |
| 密碼輪換 | 無 | 自動輪換,策略驅動 |
| 價格帶 | 低(遠端工具級) | 高(企業資安級) |
CyberArk:所有特權操作必須經過 CyberArk,因為只有 CyberArk 知道密碼。使用者無法繞過——密碼每次用完自動換掉。
Splashtop:使用者透過 Splashtop 連線到目標機器的畫面,但如果知道目標機器的帳密,理論上可以繞過 Splashtop 從其他通道登入。
雖然 Splashtop 無法完全取代 CyberArk,但在「給廠商臨時存取」這個特定場景下,Splashtop 的覆蓋度很高。
| 需求 | CyberArk 做法 | Splashtop 做法 |
|---|---|---|
| 給廠商臨時帳號 | 建 user + safe + policy | 建 Member 帳號,設到期日自動停用 |
| 限定連線時段 | Policy time window | 排程存取 |
| 全程錄影 | PSM session recording | 內建連線錄影 |
| 限定存取範圍 | Safe + Target 設定 | 指派可存取的設備清單 |
| 做完自動收回 | 手動或 script | 帳號到期自動停用 |
Splashtop 雖然沒有密碼保管庫,但在遠端桌面架構下:
這不等於 CyberArk 的密碼注入(廠商從頭到尾不接觸密碼),但對於「廠商維護」場景已經是可接受的安全等級。
不要用「取代」的框架,而是依場景選擇工具: