云计算服务的IAM 相关标准和协议(3)

大多数应用程序(网络应用程序或其他)都有内建授权模块，基于分配给用户的权限，授予或拒绝对特定应用程序功能或资源的访问。在集中管理的身份及访问管理架构中，应用程序特定授权模式(竖井)使得跨越所有应用程序中说明个人用户的访问权限变得十分困难。因此，XACML 的目标是提供一个标准化语言、访问控制方法和跨越所有应用程序的策略执行，实施一个共同的授权标准。这些授权决策是基于集中在用户角色和工作职能的各种授权策略和规则。简言之，实施一个共同认可的标准允许统一的授权政策(例如，用户对多个服务实施一个共同认可的标准策略)。

描述了在各种有着特有角色(授予权限)的卫生保健参与者之间的交互，对在卫生保健应用程序中存储的敏感病例进行访问。

说明了关于XACML 用例的具体步骤：

1. 卫生保健应用程序管理各种访问各种病例要素的医院同事(医师、注册护士、护士助手和卫生保健主管)。这个应用程序依赖于政策执行点(PEP )，并把请求交给政策执行点。

2. 政策执行点实际上是应用程序环境的接口。它接受访问请求，并在决策点(PDP)的帮助下评估这些请求，然后允许或者拒绝对资源(卫生保健记录)的访问。

3. 政策执行点把请求送到决策点。决策点是访问请求的主要决定点，决策点从可用的信息资源收集所有必需信息，并决定给予什么样访问。决策点应当位于可信网络并使用强访问控制策略，例如在用企业防火墙保护的企业可信网络。

4. 在评估之后，决策点把XACML 答复送到政策执行点处。

5. 政策执行点履行其责任，执行决策点的授权决定。

需求答复协议使用XACML 信息并作为其有效负载，通过这种方式实现交互。这样，使用XACML 来传达策略的评估，应对访问请求的决定。

5.7.1.4 开放式身份认证(OAuth)

OAuth 是新兴的认证标准，允许用户与另一个云计算服务提供商共享其存储在其他云计算服务提供商的私有资源(例如照片、视频、联系人名单和银行账户)，而不用出示认证信息(例如用户名和密码)。OAuth 是个开放式协议，其建立的目标是通过安全应用程序编程接口(API )实现授权，为台式机、移动及网络应用程序提供一个简单和标准的方法。对于应用程序开发者，OAuth 是用来发布和交互受保护数据的方法。对于云计算服务提供商，OAuth 提供了为用户访问他们在其他提供商上的数据的方法，同时保护他们的账户证书。

在企业内，OAuth 可能扮演重要的角色，它通过部署Web 服务单点登录模式，在可信服务提供商处实现单点登录。OAuth 促使一对服务授权进行交互，而不需要一个明确的身份联合结构。就像OpenID (开放式认证系统)，OAuth 的出发点是以消费者为中心的世界，并帮助用户服务访问跨提供商处的用户数据。Google 已发布了OpenID 和OAuth 协议的混合版本，以较少的步骤结合了授权和认证流程并加强了可用性。Google 的GData API 宣布支持OAuth 。(GData 也支持安全断言标记语言以实现浏览器单点登录。)(责任编辑：admin)