先决条件 – 身份即服务 (IDaaS) 作为基于云的服务、IDaaS 中的服务类别和系统行为准则
身份即服务 (IDaaS)是指在订阅的基础上通过云提供的身份和访问管理服务。身份即服务通常完全在本地,并通过一组软件和硬件方式提供。
1.IDaaS的组成部分:
下面描述了满足 IDaaS 要求的 IDaaS 的关键组件:
- 政策执行点 –
- 政策决策点——
IDaaS 可以通过为安全策略的设计者提供推理机制来支持他们,从而在服务的配置阶段从现有应用程序中分析和派生与安全策略相关的任何元素。安全策略应该半自动或全自动衍生,并以定义的方法发布到云提供商的中央服务,以促进与云中其他合作伙伴服务的自动可靠让步。 - 政策资讯点 –
XACML 参考架构中的策略信息点为策略决策点提供用户信息以进行决策。在IDaaS中,这部分还维护了各个安全域中IDaaS之间的身份漫游。 - 政策管理点 –
它是一个端点,为租户部署的运算符提供功能,以查看派生的策略并按需配置。 - 编排引擎——
它是基础云提供商的核心服务,在提供商中构成授权基础设施(AAI)的生命周期。
该插件拦截身份验证请求并维护服务提供者的授权。当安全策略被提供给云平台时,策略执行点是一个可配置的模块,它取决于来自云提供商的编排引擎的安装过程的自适应信息。
2、IDaaS的要求:
以下是IDaaS的必要要求:
- 控制身份验证和授权基础设施 (AAI) 的生命周期
- 可扩展性
- 自动信任协商
- 身份漫游的隐私保护
- 表现
3.IDaaS互操作性:
身份即服务提供了一种相关机制,通过支持外部处理身份属性的标识逻辑和存储,以最少的开发工作将身份服务集成到单个应用程序中。 IDaaS 应用程序可以通过符合面向服务的架构 (SOA) 标准与其他分类系统分开,特别是如果用户希望这些服务互操作和联合。因此,云计算身份即服务应用程序必须基于一组开发中的行业标准来提供互操作性。以下是身份即服务互操作性下的必要服务:
- 以用户为中心的身份验证——
它通常采用信息卡的形式。 OpenID 和 CardSpace 规范支持此类数据对象。 - XACML 策略语言 –
它是一种通用授权策略语言,使分布式 ID 系统能够编写和执行自定义策略表达式。当 SAML 提供 ID 授权请求时,XACML 可以与 SAML 一起使用,XACML 根据其策略检查 ID 请求,并批准或拒绝该请求。 - SMPL 配置语言——
它是一种 XML 响应语言,用于集成和互操作服务供应请求。 SPML 是 OASIS 的供应服务技术委员会 (PSTC) 遵循面向服务架构 (SOA) 的标准。 - XDAS 审计系统——
分布式审计服务为访问系统的用户提供问责制,并在未经授权的用户或以未经授权的方式访问系统的用户尝试访问系统时暴露安全策略违规行为。