运用identity federation技术锁定你的云

构建一个私有云或一个混合云是一件大事，而安全性和身份管理则是规划过程中需要花大力气思考的重要环节。在本系列的第一部分中，我们提出了用于在私有云中确保数据安全性的七项最佳措施。身份联合技术可以使IT经理们更为容易地保护他们的云，而无需使最终用户访问数据的过程复杂化。

对一两个基于云计算的应用程序实施云计算化是一回事，但如果一个公司在云中拥有10个或更多个软件即服务、基础设施即服务或平台即服务的应用程序那绝对是另外一回事了。当用户们试图记住并使用多个凭证时，身份池就成为了一个严重的问题。

例如，一个正访问Saleforce.com的最终用户需要以一组凭证登录。同样是这样一位用户有可能必须要使用另一组凭证访问Amazon Web Service或一个托管网络应用程序。这就在多个云计算环境中带来一个新难题：欺诈身份池。

一般来说，对于私有云如何影响数据中心这个命题，IT团队主要有三个安全性方面的问题：

1.我如何能够改善最终用户的使用体验而又不失安全性的保障？

2.我如何能够使用一个ＷＡＮ而使我的虚拟环境安全发展并减少我的物理硬件所占有的空间？

3.我如何能够彻底地执行企业安全政策并仍然采用开放式访问技术？

我们很幸运，所有这些问题的答案都指向一个方向：身份联合技术。联合身份是指将一个人的电子身份、属性以及个人信息进行打包，然后将其存储在多个身份管理系统中。单点登陆（SSO）就是一个联合身份技术的实际应用，因为它在云中的整个IT系统、组织及不同应用中使用一个用户的身份验证。

诸如Ping Identity公司和Layer7这样的身份联合厂商采用一个现有的基础设施并在云中为其建立镜像。例如Ping Identity开发的PingFederate把企业身份扩展至云计算中。这一扩展赋予一个企业通过网络和基于云计算的应用程序控制用户管理、政策和访问方法的能力。使用标准的身份协议，PingFederate允许多种角色（如雇员、消费者、客户或合作伙伴）使用单一的用户名和密码访问多个云资源。

Citrix公司的OpenCloud Access (OCA)虚拟设备是另一个为身份联合和SSO创建访问入口的工具。一旦建立了认证，用户只需企业身份就可从一个入口访问所有基于云计算的应用程序。只需一次点击，最终用户就可以访问诸如Ceridian、Salesforce.com、GoToMeeting以及WebEx等的应用程序，所有这些应用程序在云中都有这他们自己的凭证组。在其早期阶段，OCA组件包括了107个预编译的云计算应用程序连接器；管理员们可以创建定制的HTTP或SAML连接器，这取决于端点上的云目的地。

身份联合不仅是一个用于SSO的工具，而且还可以用于数据中心安全和管理等方面。它为云计算经理们提供了一种集中管理安全性的方法，并为最终用户提供了访问众多基于云计算应用程序的单一登录方法。

标签： 安全 网络 云计算 云计算的应用 云计算应用

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。