針對(duì)金融機(jī)構(gòu)和智財(cái)權(quán)竊取的國(guó)際網(wǎng)絡(luò)間諜事件，成就了源源不斷的信息安全新聞。密碼和登錄名并不是抓人眼球的事件標(biāo)題，但是確實(shí)IT專家每天必須面對(duì)的安全問題。在云計(jì)算的應(yīng)用中也開始出現(xiàn)，軟件即服務(wù)(SaaS)和移動(dòng)計(jì)算已經(jīng)增加了管理用戶和其身份的管理復(fù)雜性。

安全從業(yè)者花了數(shù)十年開發(fā)方法來加強(qiáng)身份認(rèn)證，從而減少這些風(fēng)險(xiǎn)，同時(shí)保證易用性和盡可能的安全性。單點(diǎn)登錄(SSO)系統(tǒng)允許用戶一次性到一個(gè)中央應(yīng)用進(jìn)行身份認(rèn)證，并自動(dòng)認(rèn)證其他的應(yīng)用和系統(tǒng)。

幸運(yùn)的是，SSO服務(wù)在云端，即身份認(rèn)證即服務(wù)(AaaS)，為身份認(rèn)證管理交付了一些SaaS的好處。企業(yè)、政府和其他的機(jī)構(gòu)都因?yàn)楦鞣N原因采用AaaS，包括基于預(yù)算和時(shí)間擔(dān)憂擴(kuò)展用戶基礎(chǔ)。

用戶的范圍已經(jīng)超越了組織機(jī)構(gòu)的邊界;客戶、供應(yīng)商、承包商以及其他的組織機(jī)構(gòu)外的人現(xiàn)在可以訪問企業(yè)Web應(yīng)用。分配和管理這些用戶的訪問并不會(huì)一直同內(nèi)部目錄或者人力資源流程關(guān)聯(lián)。

身份認(rèn)證和身份管理系統(tǒng)非常復(fù)雜且昂貴，但是AaaS為身份認(rèn)證帶來了SaaS的成本優(yōu)勢(shì)。和身份認(rèn)證相關(guān)聯(lián)，管理雙因素身份認(rèn)證以及合并移動(dòng)設(shè)備也非常耗時(shí)。將這些轉(zhuǎn)移給服務(wù)提供商確實(shí)是個(gè)不錯(cuò)的選擇。

云和移動(dòng)時(shí)代 身份認(rèn)證即服務(wù)確保數(shù)據(jù)安全

選擇合適的AaaS提供商

AaaS基于安全斷言標(biāo)記語(yǔ)言(SAML)、WS聯(lián)合和OAuth這樣的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)為交換安全信息定義了協(xié)議，這些信息包括用戶和實(shí)施身份認(rèn)證組件，比如安全令牌。由于這些協(xié)議是廠商中立的，運(yùn)行不同身份認(rèn)證系統(tǒng)的組織機(jī)構(gòu)可以合并。AaaS提供商市場(chǎng)上包括Ping Identity、Okta、OneLogin、Centrify、Symplified和McAfee Cloud Identity Manager這些廠商。

由于很多AaaS提供商提供相同的核心身份認(rèn)證功能，他們就通過其他的服務(wù)和性能區(qū)別自身。部署AaaS的最終目標(biāo)就是控制應(yīng)用和系統(tǒng)帶的訪問，因此為了選出適合你的組織機(jī)構(gòu)的AaaS提供商，評(píng)估這些特性，并且考慮它同你的現(xiàn)有應(yīng)用和服務(wù)之間的互操作性。

一個(gè)AaaS提供商能夠支持認(rèn)證機(jī)制至關(guān)重要。密碼的局限性眾所周知，但是有時(shí)候密碼對(duì)于IT來說是必不可少的一部分。AaaS提供商可以減緩因?yàn)橹С置艽a策略導(dǎo)致的密碼風(fēng)險(xiǎn)，允許用戶定義自己的用戶基礎(chǔ)規(guī)則。例如，AaaS可能允許用戶定義最小的密碼長(zhǎng)度、密碼構(gòu)成規(guī)則、密碼生命周期和再用的最大時(shí)常。

雙因子認(rèn)證比現(xiàn)在部署移動(dòng)消息服務(wù)更簡(jiǎn)單。手機(jī)和其他的移動(dòng)設(shè)備排除了單獨(dú)雙因子設(shè)備的需求。谷歌為這些服務(wù)提供了雙因子認(rèn)證，而且銀行正在使用雙因子認(rèn)證來改善在線銀行的安全性。

并不是所有的應(yīng)用都支持標(biāo)準(zhǔn)，比如SAML和WS聯(lián)合。在這些案例中，密碼是必須的，而且密碼儲(chǔ)藏室是一個(gè)提供商服務(wù)的必備功能。

組織機(jī)構(gòu)擁有許多他們的身份認(rèn)證細(xì)節(jié)放在目錄中，比如活動(dòng)目錄和LDAP服務(wù)器。一個(gè)AaaS提供商的服務(wù)整合了這些存儲(chǔ)庫(kù)，允許更快且更簡(jiǎn)單的部署。由于很多組織機(jī)構(gòu)使用AaaS，將可能會(huì)繼續(xù)使用他們的目錄，理解如何保持目錄和AaaS存儲(chǔ)庫(kù)同步很重要。

AaaS提供商典型的提供應(yīng)用程序接口(API)，開發(fā)者可以用來合并身份認(rèn)證服務(wù)到公司的自定制應(yīng)用上。一些AaaS提供商也提供整合流行的SaaS應(yīng)用。如果單點(diǎn)登錄到你的SaaS提供商是你的需求，確保你的SaaS提供商支持候選的AaaS系統(tǒng)。

在AaaS系統(tǒng)中失敗了會(huì)導(dǎo)致多個(gè)應(yīng)用無法為廣大用戶使用。要考慮AaaS提供商的可靠性和穩(wěn)定性，服務(wù)水平協(xié)議(SLA)應(yīng)該明確給出可用率以及對(duì)于宕機(jī)時(shí)間的彌補(bǔ)。在你開始解決問題前，回顧一下需求;你可能需要文檔的應(yīng)用登錄日志信息。不要忘了找出這些具體信息。

AaaS廠商也可以基于他們的能力進(jìn)行評(píng)估，以其符合你的法規(guī)和報(bào)告需求。自服務(wù)報(bào)告且能夠生成審計(jì)信息應(yīng)該穩(wěn)定且可用。

也要考慮可用性問題，比如分配流程以及對(duì)于應(yīng)用門戶的支持，允許用戶，尤其是移動(dòng)用戶輕松訪問所支持的應(yīng)用。