云计算的SaaS服务安全统一管理用户

　　其实，对于SaaS服务安全统一管理用户的身份，并赋予用户访问应用的权限是一个很大的挑战，通过使用这种专用的T支撑架构，可以使他们更专注于业务系统自身的设计与实现。在云服务环境下，这类企业与机构或者是私有云的使用主体，或者成为CP，或CP的合作伙伴，因阻此他们必须考虑他们现有的IAM基础设施服务如何能快速扩展到云服务环境，为自己的业务或其他群体如小型机构、CP和政府机构中的公有云应用提供T基础设施服务。

　　这类机构将面临解要提供1AM支持的场景会有如下几种T管理员访问服务控制合，为使用企业身份的用户提供资源和访问能力，如Newco．comn的T管理员在亚马逊弹性计算云中提供虚拟机及虚拟机管理，并在其中配置了虚拟机操作（如开始、停止、挂起和删除等）的身份、权利和证书；开发人员在PaaS平台为其合作伙伴用户创建账户，例如，Newco，com开发人员在Force，com中为签约的Partners．corm员工提供账户，而后者执行New／co．com的业务流程；终端用户使用访问策略管理功能在域内及域外访问云服务中的存储服务（如亚马进S2储存服务）并与用户分享文件和对象。

　　机构的员工及相关承包商使用联邦身份联合来访问SaS服务，例如，销售和支持人员使用企业身份和凭证访问问Salesforce．com；CP内的应用程序（如亚马逊弹性计算云）通过其他云计算服务（如Mosso）访问存储此外，一些小型机构也面临着如何构建适用于云环境中企业自有应用安全管控的挑战，因为方面关键业务应用仍然是（在某段时间内将依旧是）在企业内部部署，T依旧需要控制用户对这些应用的访问。

　　另一方面，他们的一部分应用需要从一个传统的受控环境迁移到一个超出其T信任边界的云环境中去，其机构内现有的IAM产品在云环境下是否仍然在安全管理方面起着至关重要的作用；他们可能还要面临着如何从以前的以Microsoft以Active－Directory为中心的身份认证环境迁移到一个其T服务来自于多样异构的环境中去的问题。这些问题对于一个已在内部部署on－premise）AM且进行大量投资的大型企业而言，是一个迫在眉睫的问题。而对一些具备AM实践经验的服务供应商来说，云服务环境的到来将带给他们一些令人激动的机遇，他们可以基于已有的IAM技术积累和实践经验，在云环境下提供基于云服务基础设施提供公有的AM服务。综上所述，可以看出，IAM在云服务环境下IAM的应用场景应分为三大类，如图26－7所示：企业自建IAM：企业将一部分传统应用利用laS或PaaS服务迁移至云环境，为保护他们的应用，他们需要构建支持其云中自有应用的AM。

　　小编结语：云服务内部IAM：为保护多租户环境下SaS应用安全，并提供CP提供的多个SaS应用的单点登录和多个CP间的应用联邦身份访问，CP或第三方合作伙伴构建的AM服务云环境下的公用IAM服务：由第三方服务提供商（ISP）基于laS或PaaS云环境构的AM服务，是一种SaaS服务。