管理身份和访问企业应用程序的控制仍然是当今的 IT 面临的最大挑战之一。虽然企
业可以在没有良好的身份和访问管理策略的前提下利用若干云计算服务,从长远来说延伸
企业身份管理服务到云计算确是实现按需计算服务战略的先导。因此对企业基于云的身份
和访问管理(IAM)是否准备就绪进行一个诚实的评估,以及理解云计算供应商的能力,
是采纳现今公认为不成熟的云生态系统的必要前提。
我们将讨论以下几个在云中实施成功有效的身份管理必不可少的 IAM 功能:
•身份供应/取消供应(provisioning/deprovisioning)
•认证
•联盟
•授权和用户配置文件管理,安全是整个过程的关键考虑因素。
身份供应:对企业采纳云计算服务机构的主要挑战之一是在云端安全和及时地管理报
到(供应,即创建和更新帐户)和离职(取消供应,即删除用户帐户)的用户。此外,已
经实行内部用户管理的企业将寻求将这些进程和实践引伸到云端服务。
认证:当机构开始利用云端服务时,以可信赖及易于管理方式来认证用户是一个至关
重要的要求。机构必须解决跟身份认证有关的挑战,例如凭证管理、强认证(通常定义为
多因素身份认证)、委派身份认证、及跨越所有云服务类型的信任管理。
联盟:在云计算环境,联盟身份管理在使企业能够利用所选择的身份提供商(IdP)
去认证云用户提供了至关重要的作用的。在这方面,身份提供商(IdP)与服务提供商
(SP)以安全的方式交换身份属性也是一个重要的要求。机构在考虑云联盟身份管理应该
了解的以下各种挑战和可能的解决方案,这包括有关身份生命周期管理、可用的认证方法
来保护机密性和完整性;与此同时支持不可抵赖性。
授权和用户配置文件管理:为用户配置文件和访问控制方针的要求,取决于用户是否
以自己的名义行事(如消费者)或作为一个机构(如雇主,大学,医院的成员,或其他企
业)。在 SPI 环境下的访问控制的要求包括建立可信任用户配置文件和规则信息,不但用
它来控制在云端服务的访问,而且运行方式符合审核的要求。
身份供应-建议
由云供应商提供的身份供应功能目前没有足以满足企业的需求。客户应避免专用的解
决方案诸如创建云供应商独有的自定义连接器,因为这些加剧了管理的复杂性。
客户应利用由云供应商提供标准的连接器,这些最好是建立在服务供应标记语言
SPML 模式上。若您的云供应商目前尚未提供,您应该要求 SPML 支持。云客户应修改或
扩展其权威身份数据库(authoritative repositories),以便它包括在云端的应用和进
程。
认证-建议
云提供商和客户企业都应考虑与凭证管理和强认证相关的挑战,并实施符合成本效益
的解决方案来适当地减少风险。SaaS 和 PaaS 提供商通常提供的选择是内置的认证服务