在之前的部分中，我們確立了對(duì)云計(jì)算服務(wù)應(yīng)用標(biāo)準(zhǔn)的IAM 原理與實(shí)踐的需求和益處。在這部分，我們將討論有關(guān)IAM 的標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)是企業(yè)采用云計(jì)算服務(wù)的催化劑。目前正在基于業(yè)務(wù)和運(yùn)作準(zhǔn)則來評(píng)估云計(jì)算服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)考慮到云計(jì)算服務(wù)提供商的承諾以及對(duì)于身份及訪問管理標(biāo)準(zhǔn)的支持。

5.7.1 機(jī)構(gòu)的IAM 標(biāo)準(zhǔn)與規(guī)范

下面的IAM 的標(biāo)準(zhǔn)與規(guī)范將有助于機(jī)構(gòu)在云計(jì)算中實(shí)施有效果、有效率的用戶訪問管理實(shí)踐及流程。在用戶及訪問管理方面，面對(duì)云計(jì)算用戶的挑戰(zhàn)分為以下四類：

1. 應(yīng)如何避免復(fù)制身份、屬性和證書，并為用戶提供單點(diǎn)登錄的用戶體驗(yàn)?安全斷言標(biāo)記語言(SAML )。

2. 應(yīng)如何為用戶賬戶自動(dòng)化提供云計(jì)算服務(wù)以及自動(dòng)化用戶開通及移除的流程?服務(wù)供應(yīng)標(biāo)記語言(SPML )。

3. 應(yīng)如何為用戶賬戶提供合適的權(quán)限，并為用戶管理權(quán)限權(quán)利?可擴(kuò)展訪問控制標(biāo)記語言(XACML )。

4. 應(yīng)如何授權(quán)云計(jì)算服務(wù)X進(jìn)而在不披露證書的情況下，訪問云計(jì)算服務(wù)Y中的數(shù)據(jù)?開放式身份認(rèn)證(OAuth )。

5.7.1.1 安全斷言標(biāo)記語言(SAML)

SAML 是最成熟詳細(xì)且被廣泛采用的云計(jì)算用戶基于瀏覽器的身份聯(lián)合單點(diǎn)登錄規(guī)范族。當(dāng)用戶通過了身份服務(wù)的認(rèn)證后，就可以自由訪問在信任域內(nèi)提供的云計(jì)算服務(wù)，從而規(guī)避云計(jì)算專用的單點(diǎn)登錄程序。由于SAML 支持代理(單點(diǎn)登錄)，通過使用基于風(fēng)險(xiǎn)的認(rèn)證策略，用戶可以為某些云計(jì)算服務(wù)選擇實(shí)施強(qiáng)認(rèn)證(多因素認(rèn)證)。使用機(jī)構(gòu)的IdP (身份提供商)可以很容易實(shí)現(xiàn)，支持強(qiáng)認(rèn)證和委派認(rèn)證。通過實(shí)施強(qiáng)認(rèn)證技術(shù)例如雙因子認(rèn)證，用戶不那么容易遭受在互聯(lián)網(wǎng)上穩(wěn)步增長(zhǎng)的釣魚攻擊。云計(jì)算服務(wù)的強(qiáng)認(rèn)證對(duì)于保護(hù)用戶證書不受中間人攻擊也是可取的，例如當(dāng)計(jì)算機(jī)或?yàn)g覽器被攻陷而使用戶遭受木馬和僵尸網(wǎng)絡(luò)攻擊的情況。通過支持委派認(rèn)證模式的SAML 標(biāo)準(zhǔn)，云計(jì)算服務(wù)提供商可以對(duì)用戶機(jī)構(gòu)委派認(rèn)證策略。簡(jiǎn)言之，SAML 將使云計(jì)算服務(wù)提供商無須了解用戶的認(rèn)證需求。

描述了如何通過瀏覽器單點(diǎn)登錄到Google Apps 。圖片解釋了Google 身份聯(lián)合用戶單點(diǎn)登錄過程的具體步驟。

使用SAML 的單點(diǎn)登錄處理步驟

1. 機(jī)構(gòu)的用戶試圖訪問在Google 上的應(yīng)用程序，例如Gmail、Start Pages 或其他Google 服務(wù)。

2. Google 生成一個(gè)SAML 認(rèn)證請(qǐng)求。SAML 請(qǐng)求是編碼并內(nèi)嵌到URL (統(tǒng)一資源定位符)中的，機(jī)構(gòu)的IdP 支持單點(diǎn)登錄服務(wù)。包含用戶試圖訪問的Google 應(yīng)用程序編碼URL 的中繼狀態(tài)參數(shù)也同樣內(nèi)嵌在單點(diǎn)登錄URL 中。這個(gè)中繼狀態(tài)參數(shù)的意思是一個(gè)不透明的標(biāo)識(shí)符，傳回時(shí)無須修改和檢查。(責(zé)任編輯：admin)