云計(jì)算與安全-云計(jì)算中的身份認(rèn)證與訪問(wèn)管理

云計(jì)算中的身份認(rèn)證與訪問(wèn)管理OUTLINE信任邊界以及身份及訪問(wèn)管理身份與訪問(wèn)管理（IAM）IAM體系架構(gòu)與實(shí)踐云計(jì)算服務(wù)的IAM相關(guān)標(biāo)準(zhǔn)和協(xié)議云計(jì)算中的IAM實(shí)踐云計(jì)算授權(quán)管理云計(jì)算服務(wù)提供商的IAM實(shí)踐信任邊界以及身份及訪問(wèn)管理在典型的機(jī)構(gòu)中，應(yīng)用程序部署在機(jī)構(gòu)的范圍之內(nèi)，“信任邊界”處于IT部門(mén)的檢測(cè)控制之下，幾乎是靜態(tài)的。采用云計(jì)算服務(wù)之后，機(jī)構(gòu)的信任邊界將變成動(dòng)態(tài)的，并且遷移到IT控制范圍之外。這種控制權(quán)的丟失，對(duì)已有的信任管理和控制模式（包括對(duì)于員工和承包商的可信來(lái)源）形成了巨大挑戰(zhàn)。應(yīng)對(duì)措施——采用更高級(jí)別的軟件控制：強(qiáng)認(rèn)證基于角色或生命的授權(quán)準(zhǔn)確屬性的可靠來(lái)源身份聯(lián)合單點(diǎn)登錄（SSO）用戶行為監(jiān)測(cè)以及審計(jì)身份聯(lián)合是個(gè)為處理多態(tài)、動(dòng)態(tài)、松散耦合的信任關(guān)系而興起的行業(yè)最佳實(shí)踐，而信任關(guān)系則是機(jī)構(gòu)外部和內(nèi)部供應(yīng)鏈及協(xié)作模式的特征。身份聯(lián)合使被機(jī)構(gòu)信任邊界分割的系統(tǒng)及應(yīng)用程序能夠?qū)崿F(xiàn)交互。身份與訪問(wèn)管理

（IAM，IdentityAndAccessManagement）為什么要用IAMIAM的挑戰(zhàn)IAM的定義為什么要用IAM？提高運(yùn)營(yíng)效率合規(guī)性管理實(shí)現(xiàn)新的IT交付和部署模式機(jī)構(gòu)的員工及相關(guān)承包商使用身份聯(lián)合來(lái)訪問(wèn)SaaS服務(wù)IT管理員訪問(wèn)云計(jì)算服務(wù)提供商控制器，為使用企業(yè)身份的用戶提供資源和訪問(wèn)能力開(kāi)發(fā)人員在PaaS平臺(tái)為其合作伙伴用戶創(chuàng)建賬戶終端用戶使用訪問(wèn)策略管理功能在域內(nèi)及域外訪問(wèn)云計(jì)算中的存儲(chǔ)服務(wù)云計(jì)算服務(wù)提供商內(nèi)的應(yīng)用程序通過(guò)其他云計(jì)算服務(wù)訪問(wèn)存儲(chǔ)需要IAM支持的云計(jì)算用例IAM面臨的挑戰(zhàn)一個(gè)關(guān)鍵挑戰(zhàn)：對(duì)訪問(wèn)內(nèi)部及外部服務(wù)的不同用戶群的訪問(wèn)管理。（用戶的角色和職責(zé)經(jīng)常會(huì)因?yàn)闃I(yè)務(wù)因素而變化；機(jī)構(gòu)內(nèi)的人員流動(dòng)）機(jī)構(gòu)使用的訪問(wèn)策略不一致，導(dǎo)致用戶和訪問(wèn)管理過(guò)程效率低下，也在安全、合規(guī)性、聲譽(yù)等方面給機(jī)構(gòu)帶來(lái)極大風(fēng)險(xiǎn)。從業(yè)務(wù)和IT驅(qū)動(dòng)兩方面處理IAM策略和架構(gòu)，在保持控制的有效性的同時(shí)，解決效率低下的核心問(wèn)題。IAM的定義認(rèn)證

認(rèn)證是核實(shí)用戶或系統(tǒng)身份的過(guò)程；

認(rèn)證通常以為著更為可靠的識(shí)別形式。授權(quán)

授權(quán)是確定用戶或系統(tǒng)身份并授予權(quán)限的過(guò)程；

在數(shù)字服務(wù)方面，授權(quán)是認(rèn)證的下一步驟；

授權(quán)被用來(lái)確定用戶或服務(wù)是否具有執(zhí)行某項(xiàng)操作所需的權(quán)限；

授權(quán)是策略的執(zhí)行過(guò)程。審計(jì)

審計(jì)是指查看和檢查有關(guān)認(rèn)證、授權(quán)的記錄和活動(dòng)，以確定IAM系統(tǒng)控制的完備性、核實(shí)與已

有安全策略及過(guò)程的符合性、檢測(cè)安全服務(wù)中的違規(guī)事件，并給出相應(yīng)的對(duì)策和整改建議。IAM體系架構(gòu)與實(shí)踐IAM并不是一個(gè)可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個(gè)由各種技術(shù)組件、過(guò)程和標(biāo)準(zhǔn)實(shí)踐組成的體系結(jié)構(gòu)。標(biāo)準(zhǔn)的企業(yè)級(jí)IAM體系架構(gòu)包含技術(shù)、服務(wù)和過(guò)程等幾個(gè)層面，其部署體系架構(gòu)的核心是目錄服務(wù)，目錄服務(wù)是機(jī)構(gòu)用戶群的身份、證書(shū)和用戶屬性的信息庫(kù)。支持業(yè)務(wù)的IAM過(guò)程分類(lèi)（一）用戶管理

為了有效治理和管理身份生命周期而進(jìn)行的活動(dòng)。認(rèn)證管理

為了有效治理和管理實(shí)體的確定及實(shí)體聲明內(nèi)容的過(guò)程而進(jìn)行的活動(dòng)。授權(quán)管理

為了有效治理和管理根據(jù)機(jī)構(gòu)策略實(shí)體可訪問(wèn)資源權(quán)利的過(guò)程而進(jìn)行的活動(dòng)。支持業(yè)務(wù)的IAM過(guò)程分類(lèi)（二）訪問(wèn)管理

響應(yīng)實(shí)體請(qǐng)求訪問(wèn)機(jī)構(gòu)內(nèi)IT資源的訪問(wèn)控制策略的執(zhí)行。數(shù)據(jù)管理和供應(yīng)

通過(guò)自動(dòng)化或手動(dòng)過(guò)程對(duì)IT資源授權(quán)的身份及數(shù)據(jù)的傳輸。監(jiān)控和審計(jì)

基于已定義的策略在機(jī)構(gòu)內(nèi)對(duì)用戶訪問(wèn)資源合規(guī)的監(jiān)控、審計(jì)及報(bào)告。IAM支持的業(yè)務(wù)活動(dòng)業(yè)務(wù)開(kāi)通證書(shū)及屬性管理權(quán)限管理合規(guī)管理身份聯(lián)合管理集中化的認(rèn)證和授權(quán)企業(yè)身份及訪問(wèn)管理的功能體系架構(gòu)云計(jì)算服務(wù)的IAM相關(guān)標(biāo)準(zhǔn)和協(xié)議機(jī)構(gòu)的IAM標(biāo)準(zhǔn)與規(guī)范身份及訪問(wèn)管理對(duì)用戶的標(biāo)準(zhǔn)、協(xié)議和規(guī)范企業(yè)和用戶認(rèn)證標(biāo)準(zhǔn)及協(xié)議的對(duì)比機(jī)構(gòu)的IAM標(biāo)準(zhǔn)與規(guī)范安全斷言標(biāo)記語(yǔ)言（SAML）

避免復(fù)制身份、屬性和證書(shū)，并為用戶提供單點(diǎn)登錄的用戶體驗(yàn)。服務(wù)供應(yīng)標(biāo)記語(yǔ)言（SPML）

為用戶賬戶自動(dòng)化提供云計(jì)算服務(wù)以及自動(dòng)化用戶開(kāi)通及移除的流程?？蓴U(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言（XACML）

為用戶賬戶提供合適的權(quán)限，并為用戶管理權(quán)限權(quán)利。開(kāi)放式身份認(rèn)證（OAuth）

授權(quán)云計(jì)算服務(wù)X進(jìn)而在不披露證書(shū)的情況下，訪問(wèn)云計(jì)算服務(wù)Y中的數(shù)據(jù)。安全斷言標(biāo)記語(yǔ)言（SAML）SAML是最成熟詳細(xì)且被廣泛采用的云計(jì)算用戶基于瀏覽器的身份聯(lián)合單點(diǎn)登錄規(guī)范族。當(dāng)用戶通過(guò)了身份服務(wù)的認(rèn)證后，就可以自由訪問(wèn)在信任域內(nèi)提供的云計(jì)算服務(wù)，從而規(guī)避云計(jì)算專(zhuān)用的單點(diǎn)登錄程序。通過(guò)實(shí)施強(qiáng)認(rèn)證技術(shù)例如雙因子認(rèn)證，用戶不那么容易遭受在互聯(lián)網(wǎng)上穩(wěn)步增長(zhǎng)的釣魚(yú)攻擊。云計(jì)算服務(wù)的強(qiáng)認(rèn)證對(duì)于保護(hù)用戶證書(shū)不受中間人攻擊也是可取的。通過(guò)支持委派認(rèn)證模式的SAML標(biāo)準(zhǔn)，云計(jì)算服務(wù)提供商可以對(duì)用戶機(jī)構(gòu)委派認(rèn)證策略。安全斷言標(biāo)記語(yǔ)言（SAML）1.機(jī)構(gòu)的用戶試圖訪問(wèn)在Google上的應(yīng)用程序，例如Gmail、StartPages或其他Google服務(wù)。2.Google生成一個(gè)SAML認(rèn)證請(qǐng)求。SAML請(qǐng)求是編碼并內(nèi)嵌到URL(統(tǒng)一資源定位符)中的，機(jī)構(gòu)的IdP支持單點(diǎn)登錄服務(wù)。包含用戶試圖訪問(wèn)的Google應(yīng)用程序編碼URL的中繼狀態(tài)參數(shù)也同樣內(nèi)嵌在單點(diǎn)登錄URL中。這個(gè)中繼狀態(tài)參數(shù)的意思是一個(gè)不透明的標(biāo)識(shí)符，傳回時(shí)無(wú)須修改和檢查。3.Google發(fā)送到用戶瀏覽器一個(gè)重定向URL。重定向URL包括編碼的SAML認(rèn)證請(qǐng)求，這個(gè)請(qǐng)求應(yīng)當(dāng)提交給機(jī)構(gòu)的IdP服務(wù)。4.IdP對(duì)SAML請(qǐng)求編碼，并為Google聲明使用者服務(wù)(ACS)和用戶目標(biāo)URL(中繼狀態(tài)參數(shù))提取URL。接下來(lái)IdP認(rèn)證用戶。IdP可以通過(guò)詢問(wèn)有效的登錄證書(shū)或者檢查有效會(huì)話cookie來(lái)認(rèn)證用戶。使用SAML的單點(diǎn)登錄處理步驟安全斷言標(biāo)記語(yǔ)言（SAML）5.IdP生成SAML答復(fù)，包含著認(rèn)證用戶的用戶名。按照SAML2.0規(guī)范，這個(gè)答復(fù)是使用合作伙伴公共和私有DSA/RSA密鑰，采用了數(shù)字簽名。6.IdP編碼SAML答復(fù)以及中繼狀態(tài)參數(shù)，并返回這個(gè)信息到用戶瀏覽器。IdP提供一個(gè)機(jī)制，是瀏覽器將這個(gè)信息提交Google聲明使用者服務(wù)。例如，IdP可以內(nèi)嵌SAML答復(fù)以及目標(biāo)URL并生成表格，然后提供一個(gè)按鈕，用戶點(diǎn)擊后將該表格提交給Google。IdP也可以在頁(yè)面上包含JavaScript，自動(dòng)把表格提交給Google。7.Google聲明使用者服務(wù)使用IdP公鑰驗(yàn)證SAML答復(fù)。如果成功驗(yàn)證答復(fù)，聲明使用者服務(wù)將重定向用戶到目標(biāo)URL。8.用戶重定向到目標(biāo)URL，并登錄GoogleApps。使用SAML的單點(diǎn)登錄處理步驟服務(wù)供應(yīng)標(biāo)記語(yǔ)言(SPML)PML是基于XML框架，由結(jié)構(gòu)化信息標(biāo)準(zhǔn)推動(dòng)組織開(kāi)發(fā)，用來(lái)在合作組織間交換用戶、資源和服務(wù)供應(yīng)信息。SPML是新興的標(biāo)準(zhǔn)，可以幫助機(jī)構(gòu)為云計(jì)算服務(wù)自動(dòng)化用戶身份的開(kāi)通(例如，運(yùn)行在客戶網(wǎng)站的應(yīng)用程序或服務(wù)向S提出請(qǐng)求，請(qǐng)求創(chuàng)建新賬戶)。當(dāng)可以采用SPML時(shí)，機(jī)構(gòu)應(yīng)當(dāng)用它來(lái)開(kāi)通云計(jì)算服務(wù)中用戶賬戶和配置文件。如果支持SPML，軟件即服務(wù)(SaaS)提供商便可以做到“即時(shí)開(kāi)通”，為新用戶實(shí)時(shí)創(chuàng)建賬戶(相對(duì)于預(yù)注冊(cè)用戶)。在這種模式下，云計(jì)算服務(wù)提供商從SPML的標(biāo)記中提取新用戶的屬性，迅速創(chuàng)建SPML信息，并把需求傳遞給用戶開(kāi)通服務(wù)，以在云計(jì)算用戶數(shù)據(jù)庫(kù)中增加用戶身份。服務(wù)供應(yīng)標(biāo)記語(yǔ)言(SPML)人力資源系統(tǒng)使用SPML請(qǐng)求向云計(jì)算中的用戶開(kāi)通系統(tǒng)提出請(qǐng)求。人力資源系統(tǒng)記錄(請(qǐng)求當(dāng)局)是一個(gè)SPMLWeb服務(wù)客戶端，在云計(jì)算服務(wù)提供商處與SPML用戶開(kāi)通服務(wù)的供應(yīng)商相互作用，后者負(fù)責(zé)在云計(jì)算服務(wù)中提供用戶開(kāi)通服務(wù)(用戶開(kāi)通服務(wù)目標(biāo))SPML用例可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言(XACML)XACML是一個(gè)由結(jié)構(gòu)化信息標(biāo)準(zhǔn)推動(dòng)組織批準(zhǔn)的，通用的基于XML的對(duì)于策略管理和訪問(wèn)決斷的訪問(wèn)控制語(yǔ)言。它為通用策略語(yǔ)言提供一個(gè)XML模式，用來(lái)保護(hù)任何類(lèi)型的資源和在這些資源上制定訪問(wèn)決策。XACML標(biāo)準(zhǔn)不僅僅為策略語(yǔ)言提供模式，還提出了一個(gè)用來(lái)管理策略和訪問(wèn)判斷的處理環(huán)境模式。XACML中還規(guī)定了應(yīng)用程序環(huán)境能用來(lái)與決策點(diǎn)交流的請(qǐng)求/答復(fù)協(xié)議。訪問(wèn)請(qǐng)求的答復(fù)也使用XML進(jìn)行了規(guī)定?？蓴U(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言(XACML)關(guān)于XACML用例的具體步驟：1.衛(wèi)生保健應(yīng)用程序管理各種訪問(wèn)各種病例要素的醫(yī)院同事(醫(yī)師、注冊(cè)護(hù)士、護(hù)士助手和衛(wèi)生保健主管)。這個(gè)應(yīng)用程序依賴于政策執(zhí)行點(diǎn)(PEP)，并把請(qǐng)求交給政策執(zhí)行點(diǎn)。2.政策執(zhí)行點(diǎn)實(shí)際上是應(yīng)用程序環(huán)境的接口。它接受訪問(wèn)請(qǐng)求，并在決策點(diǎn)(PDP)的幫助下評(píng)估這些請(qǐng)求，然后允許或者拒絕對(duì)資源(衛(wèi)生保健記錄)的訪問(wèn)。3.政策執(zhí)行點(diǎn)把請(qǐng)求送到?jīng)Q策點(diǎn)。決策點(diǎn)是訪問(wèn)請(qǐng)求的主要決定點(diǎn)，決策點(diǎn)從可用的信息資源收集所有必需信息，并決定給予什么樣訪問(wèn)。決策點(diǎn)應(yīng)當(dāng)位于可信網(wǎng)絡(luò)并使用強(qiáng)訪問(wèn)控制策略，例如在用企業(yè)防火墻保護(hù)的企業(yè)可信網(wǎng)絡(luò)。4.在評(píng)估之后，決策點(diǎn)把XACML答復(fù)送到政策執(zhí)行點(diǎn)處。5.政策執(zhí)行點(diǎn)履行其責(zé)任，執(zhí)行決策點(diǎn)的授權(quán)決定。XACML用例開(kāi)放式身份認(rèn)證(OAuth)OAuth是新興的認(rèn)證標(biāo)準(zhǔn)，允許用戶與另一個(gè)云計(jì)算服務(wù)提供商共享其存儲(chǔ)在其他云計(jì)算服務(wù)提供商的私有資源(例如照片、視頻、聯(lián)系人名單和銀行賬戶)，而不用出示認(rèn)證信息(例如用戶名和密碼)。OAuth是個(gè)開(kāi)放式協(xié)議，其建立的目標(biāo)是通過(guò)安全應(yīng)用程序編程接口(API)實(shí)現(xiàn)授權(quán)，為臺(tái)式機(jī)、移動(dòng)及網(wǎng)絡(luò)應(yīng)用程序提供一個(gè)簡(jiǎn)單和標(biāo)準(zhǔn)的方法。對(duì)于應(yīng)用程序開(kāi)發(fā)者，OAuth是用來(lái)發(fā)布和交互受保護(hù)數(shù)據(jù)的方法。對(duì)于云計(jì)算服務(wù)提供商，OAuth提供了為用戶訪問(wèn)他們?cè)谄渌峁┥躺系臄?shù)據(jù)的方法，同時(shí)保護(hù)他們的賬戶證書(shū)。開(kāi)放式身份認(rèn)證(OAuth)1.用戶網(wǎng)絡(luò)應(yīng)用程序聯(lián)絡(luò)Google授權(quán)服務(wù)，要求對(duì)一個(gè)或多個(gè)Google服務(wù)的請(qǐng)求令牌。2.Google對(duì)內(nèi)容進(jìn)行驗(yàn)證，確保網(wǎng)絡(luò)應(yīng)用程序已注冊(cè)，并以一個(gè)未授權(quán)請(qǐng)求令牌進(jìn)行回復(fù)3.網(wǎng)絡(luò)應(yīng)用程序引用請(qǐng)求令牌，重定向終端用戶到Google授權(quán)頁(yè)面。4.在Google授權(quán)頁(yè)面上，用戶被提示要求登錄用戶賬戶(為了驗(yàn)證)，然后授予或者拒絕網(wǎng)絡(luò)應(yīng)用程序?qū)ζ銰oogle服務(wù)數(shù)據(jù)的有限訪問(wèn)。5.用戶決定是否授予或拒絕網(wǎng)絡(luò)應(yīng)用程序的訪問(wèn)。如果用戶拒絕訪問(wèn)，用戶將被重定向到Google頁(yè)面而不是返回網(wǎng)絡(luò)應(yīng)用程序。OAuth用例開(kāi)放式身份認(rèn)證(OAuth)6.如果用戶授予訪問(wèn)，認(rèn)證服務(wù)將重定向用戶到通過(guò)Google注冊(cè)的網(wǎng)絡(luò)應(yīng)用程序指定頁(yè)面。重定向包括已授權(quán)的請(qǐng)求令牌。7.網(wǎng)絡(luò)應(yīng)用程序傳送請(qǐng)求到Google授權(quán)服務(wù)，更換授權(quán)請(qǐng)求令牌為訪問(wèn)令牌。8.Google驗(yàn)證請(qǐng)求并返回有效的訪問(wèn)令牌。9.網(wǎng)絡(luò)應(yīng)用程序傳遞請(qǐng)求到正在討論的Google服務(wù)。簽署請(qǐng)求，請(qǐng)求包含訪問(wèn)令牌。10.如果Google服務(wù)識(shí)別令牌，將會(huì)提供被請(qǐng)求的數(shù)據(jù)。OAuth用例身份及訪問(wèn)管理對(duì)用戶的標(biāo)準(zhǔn)、協(xié)議和規(guī)范開(kāi)放式認(rèn)證系統(tǒng)(OpenID)OpenID是對(duì)用戶認(rèn)證和訪問(wèn)控制的開(kāi)放的分散標(biāo)準(zhǔn)，允許用戶使用相同的數(shù)字身份登錄許多服務(wù)OpenID主要針對(duì)由互聯(lián)網(wǎng)公司提供的用戶服務(wù)由于信任問(wèn)題，采用OpenID作為企業(yè)用途(例如非用戶用途)幾乎是不存在的信息卡(Informationcard)為用戶提供一個(gè)安全、一致、可抵御釣魚(yú)攻擊的用戶接口，而并不需要用戶名和密碼。開(kāi)放式身份認(rèn)證(OATH)基于用戶識(shí)別模塊(SIM)的認(rèn)證(使用全球移動(dòng)通信系統(tǒng)GSM/通用無(wú)線分組業(yè)務(wù)GPRS用戶識(shí)別模塊)?；诠€基礎(chǔ)設(shè)施(PKI)的認(rèn)證(使用X.509v3證書(shū))?；谝淮涡悦艽a(OTP)的認(rèn)證。開(kāi)放式身份認(rèn)證應(yīng)用程序接口(OpenAuth)企業(yè)和用戶認(rèn)證標(biāo)準(zhǔn)及協(xié)議的對(duì)比身份及訪問(wèn)管理標(biāo)準(zhǔn)和協(xié)議提供商企業(yè)云計(jì)算用戶的需求云計(jì)算服務(wù)提供商的需求SAML身份管理軟件提供商例如Sun、Oracle、CA、IBM以及Novell，身份管理服務(wù)提供商例如MicrosoftAzure、Symplified、TriCipher以及PingIdentity支持強(qiáng)認(rèn)證和網(wǎng)站單點(diǎn)登錄，避免復(fù)制身份，只分享選定的屬性以保護(hù)用戶隱私使用戶能夠委派認(rèn)證并選擇認(rèn)證方法（例如，使用企業(yè)身份的雙因素認(rèn)證），這樣有利于云計(jì)算服務(wù)的使用XACML由Sun、CA、IBM、JerichoSystems、Oracle、RedHat以及Securent（思科）支持一種標(biāo)準(zhǔn)方式用以跨越多樣化云計(jì)算服務(wù)表達(dá)授權(quán)策略，以及通過(guò)應(yīng)用程序表達(dá)授權(quán)和執(zhí)行支持由企業(yè)級(jí)應(yīng)用和管理員需求的體現(xiàn)復(fù)雜策略的授權(quán)OAuth通過(guò)服務(wù)提供商的應(yīng)用程序接口支持，提供商包括Google、Twitter、Facebook和Plaxo與一個(gè)云計(jì)算服務(wù)提供商存儲(chǔ)的保護(hù)數(shù)據(jù)的交互和發(fā)布，并可由另一個(gè)云計(jì)算服務(wù)提供商通過(guò)使用標(biāo)準(zhǔn)應(yīng)用程序接口訪問(wèn)而不會(huì)披露證書(shū)使用戶可以訪問(wèn)其位于另一個(gè)服務(wù)提供商處的數(shù)據(jù)，而同時(shí)保護(hù)用戶的賬戶及證書(shū)信息OpenID由許多服務(wù)提供商支持，提供商包括Google、IBM、Microsoft、Yahoo!、Orange、PayPal、VeriSign、Yandex、AOL和USTREAM由于信任問(wèn)題未被采用對(duì)于用戶參加的身份聯(lián)合服務(wù)支持單點(diǎn)登錄OATH由許多認(rèn)證硬件和軟件提供商支持，包括VeriSign、SanDisk、Gemalto和Entrust不相關(guān)不相關(guān)OpenAuth僅由美國(guó)在線支持，用戶可以訪問(wèn)美國(guó)在線的合作伙伴服務(wù)不相關(guān)支持美國(guó)在線用戶通過(guò)使用美國(guó)在線或美國(guó)在線即時(shí)消息用戶身份訪問(wèn)美國(guó)在線合作伙伴的應(yīng)用程序云計(jì)算中的IAM實(shí)踐身份及訪問(wèn)管理方面的SPI成熟度模式對(duì)比層次軟件即服務(wù)平臺(tái)即服務(wù)基礎(chǔ)設(shè)施即服務(wù)用戶管理、新用戶有能力的不成熟的認(rèn)知階段用戶管理、用戶修改有能力的不成熟的不成熟的認(rèn)證管理有能力的認(rèn)知階段有能力的授權(quán)管理認(rèn)知階段不成熟的不成熟的IAM自動(dòng)化流程的組成部分用戶管理、新用戶用戶管理、用戶修改認(rèn)證管理授權(quán)管理云計(jì)算身份管理著重于云計(jì)算中用戶身份的生命周期管理。生命管理周期包括，用戶開(kāi)通、移除、身份聯(lián)合、單點(diǎn)登錄、密碼或證書(shū)管理、配制文件管理、行政管理。通過(guò)使用身份聯(lián)合、內(nèi)部的面向互聯(lián)網(wǎng)的身份提供商，或者云計(jì)算身份管理服務(wù)提供商及機(jī)構(gòu)，可以避免復(fù)制身份和屬性以及存儲(chǔ)這些信息到云計(jì)算服務(wù)提供商。身份聯(lián)合（單點(diǎn)登錄）為用戶實(shí)施支持單點(diǎn)登錄的身份聯(lián)合的機(jī)構(gòu)的方式：在企業(yè)邊緣之內(nèi)實(shí)施企業(yè)身份提供商集成可信的基于云計(jì)算的身份管理服務(wù)提供商身份聯(lián)合（單點(diǎn)登錄）——企業(yè)身份提供商云計(jì)算服務(wù)把認(rèn)證委派給機(jī)構(gòu)身份提供商機(jī)構(gòu)在云計(jì)算服務(wù)提供商