身份认证即服务

出自 MBA智库百科(https://wiki.mbalib.com/)

身份认证即服务(Identity as a Service; IDaaS)

　　随着云计算逐渐深入数据中心管理福地，基于云计算的系统面临新的挑战。身份认证管理能够有效保证跨多系统的用户身份一致性。这项技术自动化战略性IT任务，通过确保资源的稳定性从而维护企业安全结合用户权限和用户身份的限制，允许员工只访问自己权限以内的数据。现在单点登录技术(SSO)可以让用户一次性集中到一个中央应用进行身份认证，并自动认证其他的应用和系统。厂商将这项技术服务放到云端，也就是身份认证即服务(IDaaS)。

　　针对金融机构和智财权窃取的国际网络间谍事件，成就了源源不断的信息安全新闻。密码和登录名并不是抓人眼球的事件标题，但是确实IT专家每天必须面对的安全 问题。在云计算的应用中也开始出现，软件即服务(SaaS)和移动计算已经增加了管理用户和其身份的管理复杂性。

　　安全从业者花了数十年开发方法来加强身份认证，从而减少这些风险，同时保证易用性和尽可能的安全性。单点登录(SSO)系统允许用户一次性到一个中央应用进行身份认证，并自动认证其他的应用和系统。

　　幸运的是，SSO 服务在云端，即身份认证即服务(IDaaS)，为身份认证管理交付了一些SaaS的好处。企业、政府和其他的机构都因为各种原因采用IDaaS，包括基于预算和时间担忧扩展用户基础。

　　用户的范围已经超越了组织机构的边界；客户、供应商、承包商以及其他的组织机构外的人现在可以访问企业Web应用。分配和管理这些用户的访问并不会一直同内部目录或者人力资源流程关联。身份认证和身份管理系统非常复杂且昂贵，但是IDaaS为身份认证带来了SaaS的成本优势。和身份认证相关联，管理双因素身份认证以及合并移动设备也非常耗时。将这些转移给服务提供商确实是个不错的选择。

　　云和移动时代身份认证即服务确保数据安全选择合适的IDaaS提供商IDaaS基于安全断言标记语言(SAML)、WS联合和OAuth这样的标准。这些标准为交换安全信息定义了协议，这些信息包括用户和实施身份认证组件，比如安全令牌。由于这些协议是厂商中立的，运行不同身份认证系统的组织机构可以合并。

　　由于很多IDaaS提供商提供相同的核心身份认证功能，他们就通过其他的服务和性能区别自身。部署IDaaS的最终目标就是控制应用和系统带的访问，因此为了选出适合你的组织机构的IDaaS提供商，评估这些特性，并且考虑它同你的现有应用和服务之间的互操作性。一个IDaaS提供商能够支持认证机制至关重要。密码的局限性众所周知，但是有时候密码对于IT来说是必不可少的一部分。IDaaS提供商可以减缓因为支持密码策略导致的密码风险， 允许用户定义自己的用户基础规则。例如，IDaaS可能允许用户定义最小的密码长度、密码构成规则、密码生命周期和再用的最大时常。

　　双因子认证比现在部署移动消息服务更简单。手机和其他的移动设备排除了单独双因子设备的需求。谷歌为这些服务提供了双因子认证，而且银行正在使用双因子认证来改善在线银行的安全性。并不是所有的应用都支持标准，比如SAML和WS联合。在这些案例中， 密码是必须的，而且密码储藏室是一个提供商服务的必备功能。

　　组织机构拥有许多他们的身份认证细节放在目录中，比如活动目录和LDAP服务器。一个IDaaS提供商的服务整合了这些存储库，允许更快且更简单的部署。由于很多组织机构使用IDaaS，将可能会继续使用他们的目录，理解如何保持目录和IDaaS存储库同步很重要。

　　IDaaS提供商典型的提供应用程序接口(API)，开发者可以用来合并身份认证服务到公司的自定制应用上。一些IDaaS提供商也提供整合流行的SaaS应用。如果单点登录到你的SaaS提供商是你的需求，确保你的SaaS提供商支持候选的IDaaS系统。

　　在IDaaS系统中失败了会导致多个应用无法为广大用户使用。要考虑IDaaS提供商的可靠性和稳定性，服务水平协议(SLA)应该明确给出可用率以及对于宕机时间的弥补。在你开始解决问题前，回顾一下需求；你可能需要文档的应用登录日志信息。不要忘了找出这些具体信息。

　　IDaaS厂商也可以基于他们的能力进行评估，以其符合你的法规和报告需求。自服务报告且能够生成审计信息应该稳定且可用。也要考虑可用性问题，比如分配流程以及对于应用门户的支持， 允许用户，尤其是移动用户轻松访问所支持的应用。