對雲中的身份認證管理系統重新評價

隨著越來越多的新安全風險的威脅，人們也漸漸重視確保企業資料安全和完整，身份認證管理軟體為説明企業確保資料安全，可以對訪問不同資料的使用者進行管理。

認證管理保證了跨越多個系統的使用者身份的一致性。 該技術自動化戰略性的IT任務，在結合使用者許可權和使用者身份的限制上，允許員工只訪問自己許可權以內的資料。 其目的就是通過確保資源的穩定性來維護企業安全。 此外，隨著雲計算越來越多地深入到資料中心管理，基於雲計算的系統也遇到越來越多的困難。

為確保與動作一致，政府的規章制度要求企業對使用者的身份進行審計。 但是最近，由於其他原因身份管理變得更加重要。 在過去的幾年裡，行動裝置的使用已經激增，員工使用雲資源在不同的設備上工作的現象已經變得普遍。 身份管理系統允許員工在多個設備上使用相同的身份。

全面的身份管理系統還可以處理可擴充性問題。 在一個小型企業中，追蹤每個員工的帳號並不是一件具有挑戰性的工作。 但是隨著設備和員工數量的增加，追蹤帳號使用就變得非常困難。

雲中的身份管理更加複雜

技術趨勢是週期性的，身份管理就是一個完美的例子，一切舊的又變成新的。

很多年前，我在一家大型保險公司工作。 當時我們有一台伺服器，存儲了所有的東西。 但是隨著我們終端使用者的增加，該伺服器很快就不夠用了，我們不得不將資源移到新的伺服器上。

那時，每個伺服器有自己的許可權機制，每個使用者需要多個使用者帳號——每個伺服器都得有一個。 如果使用者需要重置密碼，每個伺服器上的密碼也都要重置。 這種分離的使用者帳戶是一個巨大的管理負擔。

最後，微軟的活動目錄和Novell目錄服務等技術説明我們解決了這些問題。 即使在現在，活動目錄允許使用者擁有單獨的一套證書，在整個組織中都可以使用。

問題是，組織經常結合使用已有的資源和雲資源，這又會產生多個帳號問題。 儘管有例外(如微軟Office 365)，但大多數雲應用和組織中的本地活動目錄不同步。 例如，我的雲備份和我的本地活動目錄不同步。 雲計費應用程式也不例外。 常見的情況是，終端使用者通過活動目錄帳號訪問本地資源，同時也擁有獨立的雲應用帳號。

這就產生了一些問題。 首先，隨著組織使用越來越多的雲應用，需要記住的使用者名和密碼的數量也暴漲。 儘管有人認為分離的帳號能夠改善整體的安全性，但真正的經驗表明，每個使用者積累的一套認證資訊不得不將記錄下來保存，從而產生了安全風險。

分離帳號產生的另外一個問題是，增加管理負擔。 設立新的使用者帳號會變成一個耗費時間的過程，因為每個使用者的雲應用必須另外單獨設立。 同樣，密碼設置也變得複雜，比如，使用者說不清楚到底哪個密碼需要重置。

為了解決這些問題，認證管理提供給使用者一套可以普遍使用的單獨的認證。 雖然減少使用者認證的數量能夠擺脫煩人的認證管理現狀，重要的是要記住，更多的是認證管理，而不僅僅是提供給最終使用者single sign-on功能。

活動目錄的限制

很多組織使用活動目錄作為認證使用者的首要機制，因此考慮什麼樣的活動目錄能夠用於身份管理系統是有意義的。

一般來說，活動目錄可以提供使用者認證和資源的存取控制(比如，活動目錄內部資源和應用群組原則安全的資源)。 活動目錄帳號允許訪問網路共用檔或本地應用。

活動目錄認證還提供外部資源的存取控制。 Windows Server允許創建聯合信任，允許一個活動目錄森林信任另一個。 如果活動目錄和另外的資源比如雲應用之間沒有信任關係，然後它沒有為資源執行身份驗證的許可權。 這種的信任關係在一個組織中的終端使用者需要訪問另個收購的組織網路中的資源的情況下很有説明。 這些類型的特性無需更改多個系統就可以對使用者進行驗證。 這種集中認證對管理員來說是一種福利，因為它消除了成倍的手工任務。

【編輯推薦】

雲應用成功意味著終端使用者身份認證管理【責任編輯：簫韻 TEL：（010）68476606】