wxy 发表于:13年09月06日 11:44 [翻译] DOIT.com.cn
安全从业者花了数十年开发方法来加强身份认证,从而减少这些风险,同时保证易用性和尽可能的安全性。单点登录(SSO)系统允许用户一次性到一个中央应用进行身份认证,并自动认证其他的应用和系统。
幸运的是,SSO服务在云端,即身份认证即服务(AaaS),为身份认证管理交付了一些SaaS的好处。企业、政府和其他的机构都因为各种原因采用AaaS,包括基于预算和时间担忧扩展用户基础。
用户的范围已经超越了组织机构的边界;客户、供应商、承包商以及其他的组织机构外的人现在可以访问企业Web应用。分配和管理这些用户的访问并不会一直同内部目录或者人力资源流程关联。
身份认证和身份管理系统非常复杂且昂贵,但是AaaS为身份认证带来了SaaS的成本优势。和身份认证相关联,管理双因素身份认证以及合并移动设备也非常耗时。将这些转移给服务提供商确实是个不错的选择。
云和移动时代 身份认证即服务确保数据安全
选择合适的AaaS提供商
AaaS基于安全断言标记语言(SAML)、WS联合和OAuth这样的标准。这些标准为交换安全信息定义了协议,这些信息包括用户和实施身份认证组件,比如安全令牌。由于这些协议是厂商中立的,运行不同身份认证系统的组织机构可以合并。AaaS提供商市场上包括Ping Identity、Okta、OneLogin、Centrify、Symplified和McAfee Cloud Identity Manager这些厂商。
由于很多AaaS提供商提供相同的核心身份认证功能,他们就通过其他的服务和性能区别自身。部署AaaS的最终目标就是控制应用和系统带的访问,因此为了选出适合你的组织机构的AaaS提供商,评估这些特性,并且考虑它同你的现有应用和服务之间的互操作性。
一个AaaS提供商能够支持认证机制至关重要。密码的局限性众所周知,但是有时候密码对于IT来说是必不可少的一部分。AaaS提供商可以减缓因为支持密码策略导致的密码风险,允许用户定义自己的用户基础规则。例如,AaaS可能允许用户定义最小的密码长度、密码构成规则、密码生命周期和再用的最大时常。
双因子认证比现在部署移动消息服务更简单。手机和其他的移动设备排除了单独双因子设备的需求。谷歌为这些服务提供了双因子认证,而且银行正在使用双因子认证来改善在线银行的安全性。
并不是所有的应用都支持标准,比如SAML和WS联合。在这些案例中,密码是必须的,而且密码储藏室是一个提供商服务的必备功能。
组织机构拥有许多他们的身份认证细节放在目录中,比如活动目录和LDAP服务器。一个AaaS提供商的服务整合了这些存储库,允许更快且更简单的部署。由于很多组织机构使用AaaS,将可能会继续使用他们的目录,理解如何保持目录和AaaS存储库同步很重要。
AaaS提供商典型的提供应用程序接口(API),开发者可以用来合并身份认证服务到公司的自定制应用上。一些AaaS提供商也提供整合流行的SaaS应用。如果单点登录到你的SaaS提供商是你的需求,确保你的SaaS提供商支持候选的AaaS系统。
在AaaS系统中失败了会导致多个应用无法为广大用户使用。要考虑AaaS提供商的可靠性和稳定性,服务水平协议(SLA)应该明确给出可用率以及对于宕机时间的弥补。在你开始解决问题前,回顾一下需求;你可能需要文档的应用登录日志信息。不要忘了找出这些具体信息。
AaaS厂商也可以基于他们的能力进行评估,以其符合你的法规和报告需求。自服务报告且能够生成审计信息应该稳定且可用。
也要考虑可用性问题,比如分配流程以及对于应用门户的支持,允许用户,尤其是移动用户轻松访问所支持的应用。