управление идентификацией в облаке

Моя компания планирует разместить некоторые приложения в общедоступном облаке. Насколько я понимаю, для управления идентификацией в облаке у нас есть 3 варианта.

  1. Федерация
  2. Предоставление
  3. Айдентика как услуга

Насколько я понимаю федерацию, любой доступ к облачным службам может быть перехвачен и указан поставщику удостоверений в организации, который затем выполнит аутентификацию и авторизацию, предоставит токен, и приложение может проверить токен и разрешить/запретить доступ

Для подготовки вместо того, чтобы поставщик удостоверений находился внутри организации, он может быть расположен в облаке и может ссылаться на хранилища удостоверений в облаке, которые предоставляются в пакетном режиме или в режиме реального времени в соответствии со стандартами, такими как SPML или SCIM.

Верно ли приведенное выше понимание?


federated-identity claims-based-identity identity-management
person Jimm    schedule 18.08.2013    source источник
comment
Когда вы говорите, что доступ к облачным сервисам можно перехватить, что вы имеете в виду?   -  person Frank Caron    schedule 20.08.2013

Ответы (1)


arrow_upward
0
arrow_downward

Приложение, развернутое в облаке, имеет мало общего с федерацией удостоверений или удостоверением как услугой. Вы вполне можете использовать аутентификацию с помощью форм в облачной службе.

Вопрос в том, хотите ли вы, чтобы ваше приложение отвечало за аутентификацию пользователей или нет. Если вы решите не делать этого (что, вероятно, хорошо), вам придется полагаться на механизм аутсорсинга идентификации. Методы для этого называются, среди прочего, «удостоверением на основе утверждений», «федерацией удостоверений» и включают ряд протоколов (например, SAML, SAML-P, WS-Federation, OAuth). Они зависят от систем, которые вы хотите использовать для аутентификации пользователей:

  1. SAML/WS-Fed обычно используются для предприятий (например, с использованием AD)
  2. OAuth в основном используется системами, ориентированными на потребителя (например, Facebook и т. д.).

Таким образом, в зависимости от того, где находятся ваши пользователи, вам может потребоваться реализовать один или другой (или оба).

Идентификация как услуга означает, что вы используете внешнего поставщика услуг для обработки аутентификации у этих поставщиков. Это не является обязательным требованием, и вы можете создать эту возможность самостоятельно.

Без подробностей о вашей инфраструктуре и вашем приложении трудно дать какое-либо руководство: ASP.NET? Джава? nodejs?Azure? АМС? Героку? Где ваши пользователи?

person Eugenio Pace    schedule 21.08.2013