云计算与安全云计算中的身份认证与访问管理.研究报告.pptx

云计算中的身份认证与访问管理;OUTLINE;信任边界以及身份及访问管理;应对措施——采用更高级别的软件控制： 强认证 基于角色或生命的授权 准确属性的可靠来源 身份联合 单点登录（SSO） 用户行为监测以及审计 ;身份与访问管理（IAM，Identity And Access Management）;为什么要用IAM？ 提高运营效率 合规性管理 实现新的IT交付和部署模式 ;IAM面临的挑战 一个关键挑战：对访问内部及外部服务的不同用户群的访问管理。（用户的角色和职责经常会因为业务因素而变化；机构内的人员流动） 机构使用的访问策略不一致，导致用户和访问管理过程效率低下，也在安全、合规性、声誉等方面给机构带来极大风险。 从业务和IT驱动两方面处理IAM策略和架构，在保持控制的有效性的同时，解决效率低下的核心问题。;IAM的定义 认证 认证是核实用户或系统身份的过程； 认证通常以为着更为可靠的识别形式。 授权 授权是确定用户或系统身份并授予权限的过程； 在数字服务方面，授权是认证的下一步骤； 授权被用来确定用户或服务是否具有执行某项操作所需的权限； 授权是策略的执行过程。 审计 审计是指查看和检查有关认证、授权的记录和活动，以确定IAM系统控制的完备性、核实与已 有安全策略及过程的符合性、检测安全服务中的违规事件，并给出相应的对策和整改建议。;IAM体系架构与实践;支持业务的IAM过程分类（一） 用户管理 为了有效治理和管理身份生命周期而进行的活动。 认证管理 为了有效治理和管理实体的确定及实体声明内容的过程而进行的活动。 授权管理 为了有效治理和管理根据机构策略实体可访问资源权利的过程而进行的活动。;支持业务的IAM过程分类（二） 访问管理 响应实体请求访问机构内IT资源的访问控制策略的执行。 数据管理和供应 通过自动化或手动过程对IT资源授权的身份及数据的传输。 监控和审计 基于已定义的策略在机构内对用户访问资源合规的监控、审计及报告。;IAM支持的业务活动 业务开通 证书及属性管理 权限管理 合规管理 身份联合管理 集中化的认证和授权 ;云计算服务的IAM相关标准和协议;机构的IAM标准与规范 安全断言标记语言（SAML） 避免复制身份、属性和证书，并为用户提供单点登录的用户体验。 服务供应标记语言（SPML） 为用户账户自动化提供云计算服务以及自动化用户开通及移除的流程。 可扩展访问控制标记语言（XACML） 为用户账户提供合适的权限，并为用户管理权限权利。 开放式身份认证（OAuth） 授权云计算服务X进而在不披露证书的情况下，访问云计算服务Y中的数据。;安全断言标记语言（SAML） SAML 是最成熟详细且被广泛采用的云计算用户基于浏览器的身份联合单点登录规范族。 当用户通过了身份服务的认证后，就可以自由访问在信任域内提供的云计算服务，从而规避云计算专 用的单点登录程序。 通过实施强认证技术例如双因子认证，用户不那么容易遭受在互联网上稳步增长的钓鱼攻击。 云计算服务的强认证对于保护用户证书不受中间人攻击也是可取的。 通过支持委派认证模式的SAML 标准，云计算服务提供商可以对用户机构委派认证策略。;安全断言标记语言（SAML） 1. 机构的用户试图访问在Google 上的应用程序，例如Gmail、Start Pages 或其他Google 服务。 2. Google 生成一个SAML 认证请求。SAML 请求是编码并内嵌到URL (统一资源定位符)中的，机构的IdP 支持单点登录服务。包含用户试图访问的Google 应用程序编码URL 的中继状态参数也同样内嵌在单点登录URL 中。这个中继状态参数的意思是一个不透明的标识符，传回时无须修改和检查。 3. Google 发送到用户浏览器一个重定向URL 。重定向URL 包括编码的SAML 认证请求，这个请求应当提交给机构的IdP 服务。 4. IdP 对SAML 请求编码，并为Google 声明使用者服务(ACS )和用户目标URL (中继状态参数)提取URL 。接下来IdP 认证用户。IdP 可以通过询问有效的登录证书或者检查有效会话cookie 来认证用户。;安全断言标记语言（SAML） 5. IdP 生成SAML 答复，包含着认证用户的用户名。按照SAML 2.0 规范，这个答复是使用合作伙伴公共和私有DSA/RSA 密钥，采用了数字签名。 6. IdP 编码SAML 答复以及中继状态参数，并返回这个信息到用户浏览器。IdP 提供一个机制，是浏览器将这个信息提交Google 声明使用者服务。例如，IdP 可以内嵌SAML 答复以及目标URL 并生成表格，然后提供一个按钮，用户点击后将该表格提交给Google 。Id