身份認證即服務
出自 MBA智库百科(https://wiki.mbalib.com/)
身份認證即服務(Identity as a Service; IDaaS)
目錄 |
隨著雲計算逐漸深入數據中心管理福地,基於雲計算的系統面臨新的挑戰。身份認證管理能夠有效保證跨多系統的用戶身份一致性。這項技術自動化戰略性IT任務,通過確保資源的穩定性從而維護企業安全結合用戶許可權和用戶身份的限制,允許員工只訪問自己許可權以內的數據。現在單點登錄技術(SSO)可以讓用戶一次性集中到一個中央應用進行身份認證,並自動認證其他的應用和系統。廠商將這項技術服務放到雲端,也就是身份認證即服務(IDaaS)。
身份認證即服務與數據安全[1]
針對金融機構和智財權竊取的國際網路間諜事件,成就了源源不斷的信息安全新聞。密碼和登錄名並不是抓人眼球的事件標題,但是確實IT專家每天必須面對的安全 問題。在雲計算的應用中也開始出現,軟體即服務(SaaS)和移動計算已經增加了管理用戶和其身份的管理複雜性。
安全從業者花了數十年開發方法來加強身份認證,從而減少這些風險,同時保證易用性和儘可能的安全性。單點登錄(SSO)系統允許用戶一次性到一個中央應用進行身份認證,並自動認證其他的應用和系統。
幸運的是,SSO 服務在雲端,即身份認證即服務(IDaaS),為身份認證管理交付了一些SaaS的好處。企業、政府和其他的機構都因為各種原因採用IDaaS,包括基於預算和時間擔憂擴展用戶基礎。
用戶的範圍已經超越了組織機構的邊界;客戶、供應商、承包商以及其他的組織機構外的人現在可以訪問企業Web應用。分配和管理這些用戶的訪問並不會一直同內部目錄或者人力資源流程關聯。身份認證和身份管理系統非常複雜且昂貴,但是IDaaS為身份認證帶來了SaaS的成本優勢。和身份認證相關聯,管理雙因素身份認證以及合併移動設備也非常耗時。將這些轉移給服務提供商確實是個不錯的選擇。
雲和移動時代身份認證即服務確保數據安全選擇合適的IDaaS提供商IDaaS基於安全斷言標記語言(SAML)、WS聯合和OAuth這樣的標準。這些標準為交換安全信息定義了協議,這些信息包括用戶和實施身份認證組件,比如安全令牌。由於這些協議是廠商中立的,運行不同身份認證系統的組織機構可以合併。
由於很多IDaaS提供商提供相同的核心身份認證功能,他們就通過其他的服務和性能區別自身。部署IDaaS的最終目標就是控制應用和系統帶的訪問,因此為了選出適合你的組織機構的IDaaS提供商,評估這些特性,並且考慮它同你的現有應用和服務之間的互操作性。一個IDaaS提供商能夠支持認證機制至關重要。密碼的局限性眾所周知,但是有時候密碼對於IT來說是必不可少的一部分。IDaaS提供商可以減緩因為支持密碼策略導致的密碼風險, 允許用戶定義自己的用戶基礎規則。例如,IDaaS可能允許用戶定義最小的密碼長度、密碼構成規則、密碼生命周期和再用的最大時常。
雙因數認證比現在部署移動消息服務更簡單。手機和其他的移動設備排除了單獨雙因數設備的需求。谷歌為這些服務提供了雙因數認證,而且銀行正在使用雙因數認證來改善線上銀行的安全性。並不是所有的應用都支持標準,比如SAML和WS聯合。在這些案例中, 密碼是必須的,而且密碼儲藏室是一個提供商服務的必備功能。
組織機構擁有許多他們的身份認證細節放在目錄中,比如活動目錄和LDAP伺服器。一個IDaaS提供商的服務整合了這些存儲庫,允許更快且更簡單的部署。由於很多組織機構使用IDaaS,將可能會繼續使用他們的目錄,理解如何保持目錄和IDaaS存儲庫同步很重要。
IDaaS提供商典型的提供應用程式介面(API),開發者可以用來合併身份認證服務到公司的自定製應用上。一些IDaaS提供商也提供整合流行的SaaS應用。如果單點登錄到你的SaaS提供商是你的需求,確保你的SaaS提供商支持候選的IDaaS系統。
在IDaaS系統中失敗了會導致多個應用無法為廣大用戶使用。要考慮IDaaS提供商的可靠性和穩定性,服務水平協議(SLA)應該明確給出可用率以及對於宕機時間的彌補。在你開始解決問題前,回顧一下需求;你可能需要文檔的應用登錄日誌信息。不要忘了找出這些具體信息。
IDaaS廠商也可以基於他們的能力進行評估,以其符合你的法規和報告需求。自服務報告且能夠生成審計信息應該穩定且可用。也要考慮可用性問題,比如分配流程以及對於應用門戶的支持, 允許用戶,尤其是移動用戶輕鬆訪問所支持的應用。
- ↑ 雲和移動時代——身份認證即服務確保數據安全[J].電腦與網路,2013,(16).