云時代身份認證即服務確保數據安全

2013-09-25 15:25:59 51CTO　點擊量：評論 (0)

密碼和登錄名并不是抓人眼球的事件標題，但是確實IT專家每天必須面對的安全問題。在云計算的應用中也開始出現，軟件即服務(SaaS)和移動計算已經增加了管理用戶和其身份的管理復雜性。

針對金融機構和智財權竊取的國際網絡間諜事件，成就了源源不斷的信息安全新聞。密碼和登錄名并不是抓人眼球的事件標題，但是確實IT專家每天必須面對的安全問題。在云計算的應用中也開始出現，軟件即服務(SaaS)和移動計算已經增加了管理用戶和其身份的管理復雜性。

安全從業者花了數十年開發方法來加強身份認證，從而減少這些風險，同時保證易用性和盡可能的安全性。單點登錄(SSO)系統允許用戶一次性到一個中央應用進行身份認證，并自動認證其他的應用和系統。

幸運的是，SSO服務在云端，即身份認證即服務(AaaS)，為身份認證管理交付了一些SaaS的好處。企業、政府和其他的機構都因為各種原因采用AaaS，包括基于預算和時間擔憂擴展用戶基礎。

用戶的范圍已經超越了組織機構的邊界;客戶、供應商、承包商以及其他的組織機構外的人現在可以訪問企業Web應用。分配和管理這些用戶的訪問并不會一直同內部目錄或者人力資源流程關聯。

身份認證和身份管理系統非常復雜且昂貴，但是AaaS為身份認證帶來了SaaS的成本優勢。和身份認證相關聯，管理雙因素身份認證以及合并移動設備也非常耗時。將這些轉移給服務提供商確實是個不錯的選擇。

云和移動時代身份認證即服務確保數據安全

選擇合適的AaaS提供商

AaaS基于安全斷言標記語言(SAML)、WS聯合和OAuth這樣的標準。這些標準為交換安全信息定義了協議，這些信息包括用戶和實施身份認證組件，比如安全令牌。由于這些協議是廠商中立的，運行不同身份認證系統的組織機構可以合并。AaaS提供商市場上包括Ping Identity、Okta、OneLogin、Centrify、Symplified和McAfee Cloud Identity Manager這些廠商。

由于很多AaaS提供商提供相同的核心身份認證功能，他們就通過其他的服務和性能區別自身。部署AaaS的最終目標就是控制應用和系統帶的訪問，因此為了選出適合你的組織機構的AaaS提供商，評估這些特性，并且考慮它同你的現有應用和服務之間的互操作性。

一個AaaS提供商能夠支持認證機制至關重要。密碼的局限性眾所周知，但是有時候密碼對于IT來說是必不可少的一部分。AaaS提供商可以減緩因為支持密碼策略導致的密碼風險，允許用戶定義自己的用戶基礎規則。例如，AaaS可能允許用戶定義最小的密碼長度、密碼構成規則、密碼生命周期和再用的最大時常。

雙因子認證比現在部署移動消息服務更簡單。手機和其他的移動設備排除了單獨雙因子設備的需求。谷歌為這些服務提供了雙因子認證，而且銀行正在使用雙因子認證來改善在線銀行的安全性。

并不是所有的應用都支持標準，比如SAML和WS聯合。在這些案例中，密碼是必須的，而且密碼儲藏室是一個提供商服務的必備功能。

組織機構擁有許多他們的身份認證細節放在目錄中，比如活動目錄和LDAP服務器。一個AaaS提供商的服務整合了這些存儲庫，允許更快且更簡單的部署。由于很多組織機構使用AaaS，將可能會繼續使用他們的目錄，理解如何保持目錄和AaaS存儲庫同步很重要。

AaaS提供商典型的提供應用程序接口(API)，開發者可以用來合并身份認證服務到公司的自定制應用上。一些AaaS提供商也提供整合流行的SaaS應用。如果單點登錄到你的SaaS提供商是你的需求，確保你的SaaS提供商支持候選的AaaS系統。

在AaaS系統中失敗了會導致多個應用無法為廣大用戶使用。要考慮AaaS提供商的可靠性和穩定性，服務水平協議(SLA)應該明確給出可用率以及對于宕機時間的彌補。在你開始解決問題前，回顧一下需求;你可能需要文檔的應用登錄日志信息。不要忘了找出這些具體信息。

AaaS廠商也可以基于他們的能力進行評估，以其符合你的法規和報告需求。自服務報告且能夠生成審計信息應該穩定且可用。

也要考慮可用性問題，比如分配流程以及對于應用門戶的支持，允許用戶，尤其是移動用戶輕松訪問所支持的應用。