云计算服务的IAM 相关标准和协议(4)

描述了用户、合作伙伴网络应用程序、Google 服务以及终端用户的交互顺序。

1. 用户网络应用程序联络Google 授权服务，要求对一个或多个Google 服务的请求令牌。

2. Google 对内容进行验证，确保网络应用程序已注册，并以一个未授权请求令牌进行回复。

3. 网络应用程序引用请求令牌，重定向终端用户到Google 授权页面。

4. 在Google 授权页面上，用户被提示要求登录用户账户(为了验证)，然后授予或者拒绝网络应用程序对其Google 服务数据的有限访问。

5. 用户决定是否授予或拒绝网络应用程序的访问。如果用户拒绝访问，用户将被重定向到Google 页面而不是返回网络应用程序。

6. 如果用户授予访问，认证服务将重定向用户到通过Google 注册的网络应用程序指定页面。重定向包括已授权的请求令牌。

7. 网络应用程序传送请求到Google 授权服务，更换授权请求令牌为访问令牌。

8. Google 验证请求并返回有效的访问令牌。

9. 网络应用程序传递请求到正在讨论的Google 服务。签署请求，请求包含访问令牌。

10. 如果Google 服务识别令牌，将会提供被请求的数据。

5.7.2 身份及访问管理对用户的标准、协议和规范

下列协议和规范是面向用户云计算服务的，与企业云计算立场无关。

5.7.2.1 开放式认证系统(OpenID)

OpenID 是对用户认证和访问控制的开放的分散标准，允许用户使用相同的数字身份登录许多服务，例如使用支持OpenID 的服务实现单点登录用户体验。因此，OpenID 代替了使用登录用户名和密码的常用登录过程，而允许用户登录一次便获得对多个软件系统资源的访问。OpenID 主要针对由互联网公司提供的用户服务，这些公司包括Google 、eBay 、Yahoo! 、Microsoft 、AOL 、BBC 、PayPal 等。由于信任问题，采用OpenID 作为企业用途(例如非用户用途)几乎是不存在的。一些研究发现OpenID 可能加速钓鱼攻击，而这可能会损害用户证书。

5.7.2.2 信息卡(Information card)

信息卡是对于网络身份的另一个开放标准。这个标准自身是由信息卡基金会管理的，信息卡基金会的督导委员包括来自Google 、Microsoft 、PayPal 、Oracle Novell 和Equifax 的代表。基金会声明其任务是“保障数字身份的安全并取代传统的登录和密码，以此减少身份盗窃的事件”。这个标准的目标是为用户提供一个安全、一致、可抵御钓鱼攻击的用户接口，而并不需要用户名和密码。人们为了获得方便，可以使用信息卡数字身份跨越多个站点，而不用担心他们的登录信息陷入危险(类似使用OpenID 身份跨越多个站点)。信息卡协议是设计使用在高价值的情况下，例如银行业，对钓鱼攻击的抵御以及对安全认证机制例如智能卡的支持是关键的业务需求。(责任编辑：admin)