重新評(píng)估云中的身份認(rèn)證管理系統(tǒng)
認(rèn)證管理保證了跨越多個(gè)系統(tǒng)的用戶身份的一致性。該技術(shù)自動(dòng)化戰(zhàn)略性的IT任務(wù),結(jié)合用戶權(quán)限和用戶身份的限制,允許員工只訪問自己權(quán)限以內(nèi)的數(shù)據(jù)。目的是通過確保資源的穩(wěn)定性從而維護(hù)企業(yè)安全。另外,隨著云計(jì)算越來越多地深入到數(shù)據(jù)中心管理,基于云計(jì)算的系統(tǒng)面臨新的挑戰(zhàn)。
政府的規(guī)章制度要求企業(yè)對(duì)用戶的身份進(jìn)行審計(jì),以確保與動(dòng)作一致。但是最近,身份管理由于其他原因變得更加重要。在過去的幾年里,移動(dòng)設(shè)備的使用已經(jīng)激增,員工使用云資源在不同的設(shè)備上工作的現(xiàn)象已經(jīng)變得普遍。身份管理系統(tǒng)允許員工在多個(gè)設(shè)備上使用相同的身份。
全面的身份管理系統(tǒng)還可以處理可擴(kuò)展性問題。在一個(gè)小型企業(yè)中,追蹤每個(gè)員工的帳號(hào)并不是一件具有挑戰(zhàn)性的工作。但是隨著設(shè)備和員工數(shù)量的增加,追蹤帳號(hào)使用就變得非常困難。
云中的身份管理更加復(fù)雜
技術(shù)趨勢(shì)是周期性的,身份管理就是一個(gè)完美的例子,一切舊的又變成新的。
很多年前,我在一家大型保險(xiǎn)公司工作。當(dāng)時(shí)我們有一臺(tái)服務(wù)器,存儲(chǔ)了所有的東西。但是隨著我們終端用戶的增加,該服務(wù)器很快就不夠用了,我們不得不將資源移到新的服務(wù)器上。
那時(shí),每個(gè)服務(wù)器有自己的權(quán)限機(jī)制,每個(gè)用戶需要多個(gè)用戶帳號(hào)——每個(gè)服務(wù)器都得有一個(gè)。如果用戶需要重置密碼,每個(gè)服務(wù)器上的密碼也都要重置。這種分離的用戶帳戶是一個(gè)巨大的管理負(fù)擔(dān)。
最后,微軟的活動(dòng)目錄和Novell目錄服務(wù)等技術(shù)幫助我們解決了這些問題。即使在現(xiàn)在,活動(dòng)目錄允許用戶擁有單獨(dú)的一套證書,在整個(gè)組織中都可以使用。
問題是,組織經(jīng)常結(jié)合使用已有的資源和云資源,這又會(huì)產(chǎn)生多個(gè)帳號(hào)問題。盡管有例外(如微軟Office 365),但大多數(shù)云應(yīng)用和組織中的本地活動(dòng)目錄不同步。例如,我的云備份和我的本地活動(dòng)目錄不同步。云計(jì)費(fèi)應(yīng)用程序也不例外。常見的情況是,終端用戶通過活動(dòng)目錄帳號(hào)訪問本地資源,同時(shí)也擁有獨(dú)立的云應(yīng)用帳號(hào)。
這就產(chǎn)生了一些問題。首先,隨著組織使用越來越多的云應(yīng)用,需要記住的用戶名和密碼的數(shù)量也暴漲。盡管有人認(rèn)為分離的帳號(hào)能夠改善整體的安全性,但真正的經(jīng)驗(yàn)表明,每個(gè)用戶積累的一套認(rèn)證信息不得不將記錄下來保存,從而產(chǎn)生了安全風(fēng)險(xiǎn)。
分離帳號(hào)產(chǎn)生的另外一個(gè)問題是,增加管理負(fù)擔(dān)。設(shè)立新的用戶帳號(hào)會(huì)變成一個(gè)耗費(fèi)時(shí)間的過程,因?yàn)槊總€(gè)用戶的云應(yīng)用必須另外單獨(dú)設(shè)立。同樣,密碼設(shè)置也變得復(fù)雜,比如,用戶說不清楚到底哪個(gè)密碼需要重置。
為了解決這些問題,認(rèn)證管理提供給用戶一套可以普遍使用的單獨(dú)的認(rèn)證。雖然減少用戶認(rèn)證的數(shù)量能夠擺脫煩人的認(rèn)證管理現(xiàn)狀,重要的是要記住,更多的是認(rèn)證管理,而不僅僅是提供給最終用戶single sign-on功能。
活動(dòng)目錄的限制
很多組織使用活動(dòng)目錄作為認(rèn)證用戶的首要機(jī)制,因此考慮什么樣的活動(dòng)目錄能夠用于身份管理系統(tǒng)是有意義的。
一般來說,活動(dòng)目錄可以提供用戶認(rèn)證和資源的訪問控制(比如,活動(dòng)目錄內(nèi)部資源和應(yīng)用組策略安全的資源)。活動(dòng)目錄帳號(hào)允許訪問網(wǎng)絡(luò)共享文件或本地應(yīng)用。
活動(dòng)目錄認(rèn)證還提供外部資源的訪問控制。Windows Server允許創(chuàng)建聯(lián)合信任,允許一個(gè)活動(dòng)目錄森林信任另一個(gè)。如果活動(dòng)目錄和另外的資源比如云應(yīng)用之間沒有信任關(guān)系,然后它沒有為資源執(zhí)行身份驗(yàn)證的權(quán)限。這種的信任關(guān)系在一個(gè)組織中的終端用戶需要訪問另個(gè)收購的組織網(wǎng)絡(luò)中的資源的情況下很有幫助。這些類型的特性無需更改多個(gè)系統(tǒng)就可以對(duì)用戶進(jìn)行驗(yàn)證。這種集中認(rèn)證對(duì)管理員來說是一種福利,因?yàn)樗顺杀兜氖止と蝿?wù)。
責(zé)任編輯:廖生玨
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計(jì)落地:鼓勵(lì)“光儲(chǔ)充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計(jì) -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運(yùn)
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實(shí)踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進(jìn)這個(gè)行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動(dòng)化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計(jì)落地:鼓勵(lì)“光儲(chǔ)充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計(jì) -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運(yùn)
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲(chǔ)能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市
-
山西省首座電力與通信共享電力鐵塔試點(diǎn)成功
-
中國電建公司公共資源交易服務(wù)平臺(tái)摘得電力創(chuàng)新大獎(jiǎng)
-
電力系統(tǒng)對(duì)UPS的技術(shù)要求