云计算中的身份认证与访问管理.

Presentation on theme: "云计算中的身份认证与访问管理."— Presentation transcript:

1 云计算中的身份认证与访问管理

2 OUTLINE 信任边界以及身份及访问管理 身份与访问管理（IAM） IAM体系架构与实践 云计算服务的IAM相关标准和协议
云计算授权管理 云计算服务提供商的IAM实践

3 信任边界以及身份及访问管理 在典型的机构中，应用程序部署在机构的范围之内，“信任边界”处于IT部门的检测控 制之下，几乎是静态的。 采用云计算服务之后，机构的信任边界将变成动态的，并且迁移到IT控制范围之外。 这种控制权的丢失，对已有的信任管理和控制模式（包括对于员工和承包商的可信来 源）形成了巨大挑战。

4 应对措施——采用更高级别的软件控制： 强认证 基于角色或生命的授权 准确属性的可靠来源 身份联合 单点登录（SSO） 用户行为监测以及审计
身份联合是个为处理多态、动态、松散耦合的信任关系而兴起的行业最佳实践，而信任关系则是机构外部和内部供应链及协作模式的特征。 身份联合使被机构信任边界分割的系统及应用程序能够实现交互。

5 身份与访问管理 （IAM，Identity And Access Management）

6 为什么要用IAM？ 需要IAM支持的云计算用例 提高运营效率 合规性管理 实现新的IT交付和部署模式
机构的员工及相关承包商使用身份联合来访问SaaS服务 IT管理员访问云计算服务提供商控制器，为使用企业身份的用户提供资源和访问能力 开发人员在PaaS平台为其合作伙伴用户创建账户 终端用户使用访问策略管理功能在域内及域外访问云计算中的存储服务 云计算服务提供商内的应用程序通过其他云计算服务访问存储

7 IAM面临的挑战 一个关键挑战：对访问内部及外部服务的不同用户群的访问管理。（用户的角色和职责 经常会因为业务因素而变化；机构内的人员流动）
机构使用的访问策略不一致，导致用户和访问管理过程效率低下，也在安全、合规性、 声誉等方面给机构带来极大风险。 从业务和IT驱动两方面处理IAM策略和架构，在保持控制的有效性的同时，解决效率低下 的核心问题。

8 IAM的定义 认证 认证是核实用户或系统身份的过程； 授权 审计
认证通常以为着更为可靠的识别形式。 授权 授权是确定用户或系统身份并授予权限的过程； 在数字服务方面，授权是认证的下一步骤； 授权被用来确定用户或服务是否具有执行某项操作所需的权限； 授权是策略的执行过程。 审计 审计是指查看和检查有关认证、授权的记录和活动，以确定IAM系统控制的完备性、核实与已 有安全策略及过程的符合性、检测安全服务中的违规事件，并给出相应的对策和整改建议。

9 IAM体系架构与实践 IAM并不是一个可以轻易部署并立即产生效果的整体解决方案，而是一个由各种技术 组件、过程和标准实践组成的体系结构。 标准的企业级IAM体系架构包含技术、服务和过程等几个层面，其部署体系架构的核 心是目录服务，目录服务是机构用户群的身份、证书和用户属性的信息库。

10 支持业务的IAM过程分类（一） 用户管理 为了有效治理和管理身份生命周期而进行的活动。 认证管理 授权管理
为了有效治理和管理实体的确定及实体声明内容的过程而进行的活动。 授权管理 为了有效治理和管理根据机构策略实体可访问资源权利的过程而进行的活动。

11 通过自动化或手动过程对IT资源授权的身份及数据的传输。
支持业务的IAM过程分类（二） 访问管理 响应实体请求访问机构内IT资源的访问控制策略的执行。 数据管理和供应 通过自动化或手动过程对IT资源授权的身份及数据的传输。 监控和审计 基于已定义的策略在机构内对用户访问资源合规的监控、审计及报告。

12 IAM支持的业务活动 业务开通 证书及属性管理 权限管理 合规管理 身份联合管理 集中化的认证和授权 企业身份及访问管理的功能体系架构

13 云计算服务的IAM相关标准和协议 机构的IAM标准与规范 身份及访问管理对用户的标准、协议和规范 企业和用户认证标准及协议的对比

14 机构的IAM标准与规范 安全断言标记语言（SAML） 避免复制身份、属性和证书，并为用户提供单点登录的用户体验。
服务供应标记语言（SPML） 为用户账户自动化提供云计算服务以及自动化用户开通及移除的流程。 可扩展访问控制标记语言（XACML） 为用户账户提供合适的权限，并为用户管理权限权利。 开放式身份认证（OAuth） 授权云计算服务X进而在不披露证书的情况下，访问云计算服务Y中的数据。

15 安全断言标记语言（SAML） SAML 是最成熟详细且被广泛采用的云计算用户基于浏览器的身份联合单点登录规范族。
当用户通过了身份服务的认证后，就可以自由访问在信任域内提供的云计算服务，从而规避云计算专 用的单点登录程序。 通过实施强认证技术例如双因子认证，用户不那么容易遭受在互联网上稳步增长的钓鱼攻击。 云计算服务的强认证对于保护用户证书不受中间人攻击也是可取的。 通过支持委派认证模式的SAML 标准，云计算服务提供商可以对用户机构委派认证策略。

16 安全断言标记语言（SAML） 1. 机构的用户试图访问在Google 上的应用程序， 例如Gmail、Start Pages 或其他Google 服务。 2. Google 生成一个SAML 认证请求。SAML 请求 是编码并内嵌到URL (统一资源定位符)中的，机构 的IdP 支持单点登录服务。包含用户试图访问的 Google 应用程序编码URL 的中继状态参数也同样 内嵌在单点登录URL 中。这个中继状态参数的意思 是一个不透明的标识符，传回时无须修改和检查。 3. Google 发送到用户浏览器一个重定向URL 。重 定向URL 包括编码的SAML 认证请求，这个请求应 当提交给机构的IdP 服务。 4. IdP 对SAML 请求编码，并为Google 声明使用 者服务(ACS )和用户目标URL (中继状态参数)提取 URL 。接下来IdP 认证用户。IdP 可以通过询问有 效的登录证书或者检查有效会话cookie 来认证用 户。 使用SAML 的单点登录处理步骤

17 安全断言标记语言（SAML） 5. IdP 生成SAML 答复，包含着认证用户的用户名。 按照SAML 2.0 规范，这个答复是使用合作伙伴公 共和私有DSA/RSA 密钥，采用了数字签名。 6. IdP 编码SAML 答复以及中继状态参数，并返回 这个信息到用户浏览器。IdP 提供一个机制，是浏 览器将这个信息提交Google 声明使用者服务。例 如，IdP 可以内嵌SAML 答复以及目标URL 并生成 表格，然后提供一个按钮，用户点击后将该表格提 交给Google 。IdP 也可以在页面上包含 JavaScript ，自动把表格提交给Google 。 7. Google 声明使用者服务使用IdP 公钥验证 SAML 答复。如果成功验证答复，声明使用者服务 将重定向用户到目标URL 。 8. 用户重定向到目标URL ，并登录Google Apps。 使用SAML 的单点登录处理步骤

18 服务供应标记语言(SPML) PML 是基于XML 框架，由结构化信息标准推动组织开发，用来在合作组织间交换用户、资源和服务供应 信息。SPML 是新兴的标准，可以帮助机构为云计算服务自动化用户身份的开通(例如，运行在客户网站的 应用程序或服务向Salesforce.com 提出请求，请求创建新账户)。当可以采用SPML 时，机构应当用它来 开通云计算服务中用户账户和配置文件。如果支持SPML ，软件即服务(SaaS )提供商便可以做到“即时开 通”，为新用户实时创建账户(相对于预注册用户)。在这种模式下，云计算服务提供商从SPML 的标记中提 取新用户的属性，迅速创建SPML 信息，并把需求传递给用户开通服务，以在云计算用户数据库中增加用 户身份。

19 服务供应标记语言(SPML) 人力资源系统使用SPML 请求向云计算中的 用户开通系统提出请求。
人力资源系统记录(请求当局)是一个SPML Web 服务客户端，在云计算服务提供商处 与SPML 用户开通服务的供应商相互作用， 后者负责在云计算服务中提供用户开通服务 (用户开通服务目标) SPML 用例

20 可扩展访问控制标记语言(XACML) XACML 是一个由结构化信息标准推动组织批准的，通用的基于XML 的对于策略管理和访问决断的访问控 制语言。它为通用策略语言提供一个XML 模式，用来保护任何类型的资源和在这些资源上制定访问决策。 XACML 标准不仅仅为策略语言提供模式，还提出了一个用来管理策略和访问判断的处理环境模式。 XACML 中还规定了应用程序环境能用来与决策点交流的请求/答复协议。访问请求的答复也使用XML 进 行了规定。

21 可扩展访问控制标记语言(XACML) 关于XACML 用例的具体步骤：
1. 卫生保健应用程序管理各种访问各种病例要素的医院同事(医师、注册护士、护士助手和卫生保健主管)。这个应用程序依赖于政策执行点(PEP )，并把请求交给政策执行点。 2. 政策执行点实际上是应用程序环境的接口。它接受访问请求，并在决策点(PDP)的帮助下评估这些请求，然后允许或者拒绝对资源(卫生保健记录)的访问。 3. 政策执行点把请求送到决策点。决策点是访问请求的主要决定点，决策点从可用的信息资源收集所有必需信息，并决定给予什么样访问。决策点应当位于可信网络并使用强访问控制策略，例如在用企业防火墙保护的企业可信网络。 4. 在评估之后，决策点把XACML 答复送到政策执行点处。 5. 政策执行点履行其责任，执行决策点的授权决定。 XACML 用例

22 开放式身份认证(OAuth) OAuth 是新兴的认证标准，允许用户与另一个云计算服务提供商共享其存储在其他云计算服务提供商的 私有资源(例如照片、视频、联系人名单和银行账户)，而不用出示认证信息(例如用户名和密码)。OAuth 是个开放式协议，其建立的目标是通过安全应用程序编程接口(API )实现授权，为台式机、移动及网络应 用程序提供一个简单和标准的方法。对于应用程序开发者，OAuth 是用来发布和交互受保护数据的方法。 对于云计算服务提供商，OAuth 提供了为用户访问他们在其他提供商上的数据的方法，同时保护他们的 账户证书。

23 开放式身份认证(OAuth) 1. 用户网络应用程序联络Google 授权服务，要求对一个或多个Google 服务的请求令牌。

24 开放式身份认证(OAuth) 6. 如果用户授予访问，认证服务将重定向用户到通过Google 注册的网络应用程序指定页面。重定向包括已授权的请求令牌。 7. 网络应用程序传送请求到Google 授权服务，更换授权请求令牌为访问令牌。 8. Google 验证请求并返回有效的访问令牌。 9. 网络应用程序传递请求到正在讨论的Google 服务。签署请求，请求包含访问令牌。 10. 如果Google 服务识别令牌，将会提供被请求的数据。 OAuth 用例

25 身份及访问管理对用户的标准、协议和规范 开放式认证系统(OpenID) 信息卡(Information card)
为用户提供一个安全、一致、可抵御钓鱼攻击的用户接口，而并不需要用户名和密码。 开放式身份认证(OATH) 基于用户识别模块(SIM )的认证(使用全球移动通信系统GSM/ 通用无线分组业务GPRS 用户识别模块)。 基于公钥基础设施(PKI )的认证(使用X.509v3 证书)。 基于一次性密码(OTP )的认证。 开放式身份认证应用程序接口(OpenAuth)

26 企业和用户认证标准及协议的对比 身份及访问管理标准和协议 提供商 企业云计算用户的需求 云计算服务提供商的需求 SAML
身份管理软件提供商例如Sun 、Oracle、CA 、IBM 以及Novell ，身份管理服务提供商例如Microsoft Azure、Symplified、TriCipher 以及Ping Identity 支持强认证和网站单点登录，避免复制身份，只分享选定的属性以保护用户隐私 使用户能够委派认证并选择认证方法（例如，使用企业身份的双因素认证），这样有利于云计算服务的使用 XACML 由Sun、CA、IBM、Jericho Systems、Oracle、Red Hat 以及Securent（思科）支持 一种标准方式用以跨越多样化云计算服务表达授权策略，以及通过应用程序表达授权和执行 支持由企业级应用和管理员需求的体现复杂策略的授权 OAuth 通过服务提供商的应用程序接口支持，提供商包括Google、Twitter、Facebook 和Plaxo 与一个云计算服务提供商存储的保护数据的交互和发布，并可由另一个云计算服务提供商通过使用标准应用程序接口访问而不会披露证书 使用户可以访问其位于另一个服务提供商处的数据，而同时保护用户的账户及证书信息 OpenID 由许多服务提供商支持，提供商包括Google、IBM 、Microsoft、Yahoo!、Orange、PayPal、VeriSign、Yandex、AOL 和USTREAM 由于信任问题未被采用 对于用户参加的身份联合服务支持单点登录 OATH 由许多认证硬件和软件提供商支持，包括VeriSign 、SanDisk、Gemalto和Entrust 不相关 OpenAuth 仅由美国在线支持，用户可以访问美国在线的合作伙伴服务 支持美国在线用户通过使用美国在线或美国在线即时消息用户身份访问美国在线合作伙伴的应用程序

27 云计算中的IAM实践 IAM自动化流程的组成部分 用户管理、新用户 用户管理、用户修改 认证管理 授权管理 层次 软件即服务 平台即服务
基础设施即服务 用户管理、新用户 有能力的 不成熟的 认知阶段 用户管理、用户修改 认证管理 授权管理 身份及访问管理方面的SPI成熟度模式对比

28 云计算身份管理 着重于云计算中用户身份的生命周期管理。
生命管理周期包括，用户开通、移除、身份联合、单点登录、密码或证书管理、配制文件管理、行政管理。 通过使用身份联合、内部的面向互联网的身份提供商，或者云计算身份管理服务提供商及机构，可以避免复制身份和属性以及存储这些信息到云计算服务提供商。

29 身份联合（单点登录） 为用户实施支持单点登录的身份联合的机构的方式： 在企业边缘之内实施企业身份提供商
集成可信的基于云计算的身份管理服务提供商

30 身份联合（单点登录）——企业身份提供商 云计算服务把认证委派给机构身份提供商 机构在云计算服务提供商领域的信任圈内进行身份联合
信任圈可以创建在所有通过授权委派认证的身份提供商的领域 优点： 机构可以利用在IAM基础设施的现有投资，并将其延伸到云计算中 内部策略、流程以及访问管理框架方面都是一致的 可以直接监督服务水平协议和身份提供商的安全性 可采用增量投资来强化现有身份架构，以支持身份联合 缺点： 没有为了支持身份联合而改变基础设施，由于增加了 对非员工例如用户的生命周期管理，可能造成新的无效率事例 用户数据的多主复制

31 身份管理即服务 在云计算中建立身份提供商，机构应当与云计算服务提供商合作，委派认证给云计算身份服务提供商。
云计算身份服务商会在云计算用户访问任何云计算服务之前对用户进行认证。 优点： 隐藏了与各种云计算服务提供商所支持的不同身份联合标准相集成的复杂性 只需对架构进行少量改变 缺点： 依靠第三方身份管理服务，服务可见度降低，包括实施和架构的细节 可能无法生成符合内部合规需要的定制报告 身份属性管理变得复杂

32 云计算服务提供商的IAM实践 IAM的功能包含在云计算服务设计标准里，其目标是通过使用用户管理和身份联合标 准把认证及授权委派给用户
对用户开通云计算服务账号，包括管理员账号 为服务到服务的集成开通云计算服务 为用户提供基于身份联合标准的单点登录支持 支持内部及法规政策的合规需求 基于内部政策和法规合规情况的用户行为监控、记录和报告

33 云计算服务提供商的IAM实践 软件即服务 用户的责任 云计算服务提供商的责任 平台即服务 基础设施即服务 用户开通 配置文件管理
投资支持 合规管理 云计算服务提供商的责任 认证服务 账户管理策略 身份联合 平台即服务 基础设施即服务 用户开通 特权用户管理 用户密钥分配 开发者用户管理 终端用户管理