安全從業(yè)者花了數(shù)十年開發(fā)方法來加強身份認證，從而減少這些風險，同時保證易用性和盡可能的安全性。單點登錄(SSO)系統(tǒng)允許用戶一次性到一個中央應(yīng)用進行身份認證，并自動認證其他的應(yīng)用和系統(tǒng)。

幸運的是，SSO服務(wù)在云端，即身份認證即服務(wù)(AaaS)，為身份認證管理交付了一些SaaS的好處。企業(yè)、政府和其他的機構(gòu)都因為各種原因采用AaaS，包括基于預(yù)算和時間擔憂擴展用戶基礎(chǔ)。

用戶的范圍已經(jīng)超越了組織機構(gòu)的邊界;客戶、供應(yīng)商、承包商以及其他的組織機構(gòu)外的人現(xiàn)在可以訪問企業(yè)Web應(yīng)用。分配和管理這些用戶的訪問并不會一直同內(nèi)部目錄或者人力資源流程關(guān)聯(lián)。

身份認證和身份管理系統(tǒng)非常復(fù)雜且昂貴，但是AaaS為身份認證帶來了SaaS的成本優(yōu)勢。和身份認證相關(guān)聯(lián)，管理雙因素身份認證以及合并移動設(shè)備也非常耗時。將這些轉(zhuǎn)移給服務(wù)提供商確實是個不錯的選擇。

云和移動時代 身份認證即服務(wù)確保數(shù)據(jù)安全

選擇合適的AaaS提供商

AaaS基于安全斷言標記語言(SAML)、WS聯(lián)合和OAuth這樣的標準。這些標準為交換安全信息定義了協(xié)議，這些信息包括用戶和實施身份認證組件，比如安全令牌。由于這些協(xié)議是廠商中立的，運行不同身份認證系統(tǒng)的組織機構(gòu)可以合并。AaaS提供商市場上包括Ping Identity、Okta、OneLogin、Centrify、Symplified和McAfee Cloud Identity Manager這些廠商。

由于很多AaaS提供商提供相同的核心身份認證功能，他們就通過其他的服務(wù)和性能區(qū)別自身。部署AaaS的最終目標就是控制應(yīng)用和系統(tǒng)帶的訪問，因此為了選出適合你的組織機構(gòu)的AaaS提供商，評估這些特性，并且考慮它同你的現(xiàn)有應(yīng)用和服務(wù)之間的互操作性。

一個AaaS提供商能夠支持認證機制至關(guān)重要。密碼的局限性眾所周知，但是有時候密碼對于IT來說是必不可少的一部分。AaaS提供商可以減緩因為支持密碼策略導(dǎo)致的密碼風險，允許用戶定義自己的用戶基礎(chǔ)規(guī)則。例如，AaaS可能允許用戶定義最小的密碼長度、密碼構(gòu)成規(guī)則、密碼生命周期和再用的最大時常。

雙因子認證比現(xiàn)在部署移動消息服務(wù)更簡單。手機和其他的移動設(shè)備排除了單獨雙因子設(shè)備的需求。谷歌為這些服務(wù)提供了雙因子認證，而且銀行正在使用雙因子認證來改善在線銀行的安全性。

并不是所有的應(yīng)用都支持標準，比如SAML和WS聯(lián)合。在這些案例中，密碼是必須的，而且密碼儲藏室是一個提供商服務(wù)的必備功能。

組織機構(gòu)擁有許多他們的身份認證細節(jié)放在目錄中，比如活動目錄和LDAP服務(wù)器。一個AaaS提供商的服務(wù)整合了這些存儲庫，允許更快且更簡單的部署。由于很多組織機構(gòu)使用AaaS，將可能會繼續(xù)使用他們的目錄，理解如何保持目錄和AaaS存儲庫同步很重要。

AaaS提供商典型的提供應(yīng)用程序接口(API)，開發(fā)者可以用來合并身份認證服務(wù)到公司的自定制應(yīng)用上。一些AaaS提供商也提供整合流行的SaaS應(yīng)用。如果單點登錄到你的SaaS提供商是你的需求，確保你的SaaS提供商支持候選的AaaS系統(tǒng)。

在AaaS系統(tǒng)中失敗了會導(dǎo)致多個應(yīng)用無法為廣大用戶使用。要考慮AaaS提供商的可靠性和穩(wěn)定性，服務(wù)水平協(xié)議(SLA)應(yīng)該明確給出可用率以及對于宕機時間的彌補。在你開始解決問題前，回顧一下需求;你可能需要文檔的應(yīng)用登錄日志信息。不要忘了找出這些具體信息。

AaaS廠商也可以基于他們的能力進行評估，以其符合你的法規(guī)和報告需求。自服務(wù)報告且能夠生成審計信息應(yīng)該穩(wěn)定且可用。

也要考慮可用性問題，比如分配流程以及對于應(yīng)用門戶的支持，允許用戶，尤其是移動用戶輕松訪問所支持的應(yīng)用。