云计算服务的IAM 相关标准和协议

在之前的部分中，我们确立了对云计算服务应用标准的IAM 原理与实践的需求和益处。在这部分，我们将讨论有关IAM 的标准，这个标准是企业采用云计算服务的催化剂。目前正在基于业务和运作准则来评估云计算服务的机构，应当考虑到云计算服务提供商的承诺以及对于身份及访问管理标准的支持。

5.7.1 机构的IAM 标准与规范

下面的IAM 的标准与规范将有助于机构在云计算中实施有效果、有效率的用户访问管理实践及流程。在用户及访问管理方面，面对云计算用户的挑战分为以下四类：

1. 应如何避免复制身份、属性和证书，并为用户提供单点登录的用户体验?安全断言标记语言(SAML )。

2. 应如何为用户账户自动化提供云计算服务以及自动化用户开通及移除的流程?服务供应标记语言(SPML )。

3. 应如何为用户账户提供合适的权限，并为用户管理权限权利?可扩展访问控制标记语言(XACML )。

4. 应如何授权云计算服务X进而在不披露证书的情况下，访问云计算服务Y中的数据?开放式身份认证(OAuth )。

5.7.1.1 安全断言标记语言(SAML)

SAML 是最成熟详细且被广泛采用的云计算用户基于浏览器的身份联合单点登录规范族。当用户通过了身份服务的认证后，就可以自由访问在信任域内提供的云计算服务，从而规避云计算专用的单点登录程序。由于SAML 支持代理(单点登录)，通过使用基于风险的认证策略，用户可以为某些云计算服务选择实施强认证(多因素认证)。使用机构的IdP (身份提供商)可以很容易实现，支持强认证和委派认证。通过实施强认证技术例如双因子认证，用户不那么容易遭受在互联网上稳步增长的钓鱼攻击。云计算服务的强认证对于保护用户证书不受中间人攻击也是可取的，例如当计算机或浏览器被攻陷而使用户遭受木马和僵尸网络攻击的情况。通过支持委派认证模式的SAML 标准，云计算服务提供商可以对用户机构委派认证策略。简言之，SAML 将使云计算服务提供商无须了解用户的认证需求。

描述了如何通过浏览器单点登录到Google Apps 。图片解释了Google 身份联合用户单点登录过程的具体步骤。

使用SAML 的单点登录处理步骤

1. 机构的用户试图访问在Google 上的应用程序，例如Gmail、Start Pages 或其他Google 服务。

2. Google 生成一个SAML 认证请求。SAML 请求是编码并内嵌到URL (统一资源定位符)中的，机构的IdP 支持单点登录服务。包含用户试图访问的Google 应用程序编码URL 的中继状态参数也同样内嵌在单点登录URL 中。这个中继状态参数的意思是一个不透明的标识符，传回时无须修改和检查。(责任编辑：admin)