云计算服务的IAM 相关标准和协议
在之前的部分中,我们确立了对云计算服务应用标准的IAM 原理与实践的需求和益处。在这部分,我们将讨论有关IAM 的标准,这个标准是企业采用云计算服务的催化剂。目前正在基于业务和运作准则来评估云计算服务的机构,应当考虑到云计算服务提供商的承诺以及对于身份及访问管理标准的支持。
5.7.1 机构的IAM 标准与规范
下面的IAM 的标准与规范将有助于机构在云计算中实施有效果、有效率的用户访问管理实践及流程。在用户及访问管理方面,面对云计算用户的挑战分为以下四类:
1. 应如何避免复制身份、属性和证书,并为用户提供单点登录的用户体验?安全断言标记语言(SAML )。
2. 应如何为用户账户自动化提供云计算服务以及自动化用户开通及移除的流程?服务供应标记语言(SPML )。
3. 应如何为用户账户提供合适的权限,并为用户管理权限权利?可扩展访问控制标记语言(XACML )。
4. 应如何授权云计算服务X进而在不披露证书的情况下,访问云计算服务Y中的数据?开放式身份认证(OAuth )。
5.7.1.1 安全断言标记语言(SAML)
SAML 是最成熟详细且被广泛采用的云计算用户基于浏览器的身份联合单点登录规范族。当用户通过了身份服务的认证后,就可以自由访问在信任域内提供的云计算服务,从而规避云计算专用的单点登录程序。由于SAML 支持代理(单点登录),通过使用基于风险的认证策略,用户可以为某些云计算服务选择实施强认证(多因素认证)。使用机构的IdP (身份提供商)可以很容易实现,支持强认证和委派认证。通过实施强认证技术例如双因子认证,用户不那么容易遭受在互联网上稳步增长的钓鱼攻击。云计算服务的强认证对于保护用户证书不受中间人攻击也是可取的,例如当计算机或浏览器被攻陷而使用户遭受木马和僵尸网络攻击的情况。通过支持委派认证模式的SAML 标准,云计算服务提供商可以对用户机构委派认证策略。简言之,SAML 将使云计算服务提供商无须了解用户的认证需求。
描述了如何通过浏览器单点登录到Google Apps 。图片解释了Google 身份联合用户单点登录过程的具体步骤。
使用SAML 的单点登录处理步骤
1. 机构的用户试图访问在Google 上的应用程序,例如Gmail、Start Pages 或其他Google 服务。
2. Google 生成一个SAML 认证请求。SAML 请求是编码并内嵌到URL (统一资源定位符)中的,机构的IdP 支持单点登录服务。包含用户试图访问的Google 应用程序编码URL 的中继状态参数也同样内嵌在单点登录URL 中。这个中继状态参数的意思是一个不透明的标识符,传回时无须修改和检查。(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。